Met het Linux-commando tcpdump kunt u pakketten analyseren die binnen uw netwerk worden verzonden. Er zijn talrijke opties en filters beschikbaar om deze analyse verder te optimaliseren.

Wat is Linux tcpdump?

Voor het analyseren van uw netwerkverkeer op Linux en het mogelijk oplossen van netwerkproblemen is tcpdump een waardevolle optie. Het commandoregelprogramma is vooraf geïnstalleerd op bijna alle gangbare Linux-distributies, zoals Debian of Ubuntu, en verzendt informatie over datapakketten die op uw netwerk worden verzonden of ontvangen. Ondanks zijn naam is Linux tcpdump niet alleen geschikt voor TCP-pakketten, maar kan het ook UDP- en ICMP-pakketten analyseren. Om het commando te gebruiken, hebt u echter root-rechten nodig.

Hoe werkt het tcpdump-commando?

De analyse die door tcpdump wordt uitgevoerd, wordt gewoonlijk ‘sniffing’ genoemd. Met het Linux-commando tcpdump kunt u de netwerkinterface specificeren die door het programma moet worden gemonitord. Om het proces aan te passen en te optimaliseren, biedt tcpdump een breed scala aan filters. Het commando wordt uitgevoerd op de opdrachtregel en de resulterende analyse wordt dienovereenkomstig weergegeven.

Wat is de syntaxis van tcpdump?

De syntaxis van Linux tcpdump is heel eenvoudig en ziet er als volgt uit:

$ tcpdump [Options] [Filter]
bash

Hoewel het specificeren van opties niet verplicht is, wordt het aanbevolen om ervoor te zorgen dat tcpdump de juiste netwerkinterface in aanmerking neemt. Daarnaast is het gebruik van filters optioneel, maar zeer nuttig. Zonder filters analyseert tcpdump alle pakketten van alle hosts, wat al snel overweldigend en verwarrend kan worden.

Wat zijn de opties en filters van het Linux-commando tcpdump?

Er zijn talrijke opties en filters voor tcpdump. De belangrijkste zijn:

  • -A: Geeft de inhoud van een pakket weer als ASCII.
  • -c [Aantal]: tcpdump wordt automatisch beëindigd wanneer een bepaald aantal pakketten is geanalyseerd.
  • -D: Met deze optie worden alle beschikbare interfaces weergegeven.
  • -i [Interface]: Met deze optie bepaalt u welke interface moet worden geregistreerd.
  • -s [Hoeveelheid]: Deze optie bepaalt hoeveel bytes per pakket moeten worden geregistreerd.

Je kunt deze filters gebruiken voor tcpdump:

  • dst: Alleen pakketten waarvan de bestemming de opgegeven waarde heeft, worden geparseerd. Dit kan host, net, port of portrange zijn.
  • host: Het filter zorgt ervoor dat alleen pakketten in aanmerking worden genomen die een specifiek IP-adres of een specifieke hostnaam als bron of bestemming hebben.
  • net: Dit filter houdt alleen rekening met pakketten die een IP-adres uit een opgegeven netwerkbereik als bron of bestemming hebben.
  • port: Gebruik dit filter om een specifieke poort tussen 0 en 65535 op te geven die uitsluitend moet worden geanalyseerd.
  • portrange: Dit filter bevat een poortbereik tussen 0 en 65535.
  • proto: Dit filter houdt alleen rekening met pakketten met een specifiek netwerkprotocol. Het filter kan de volgende waarden hebben: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp of wlan.
  • src: Om pakketten te analyseren op basis van specifieke criteria, zoals host, netwerk, poort of poortbereik.

Voorbeelden voor het gebruik van het tcpdump-commando

Tot slot laten we u zien hoe u tcpdump kunt gebruiken. In onze voorbeelden gebruiken we het Linux-commando sudo.

$ sudo tcpdump -D
bash

Controleer welke netwerkinterfaces beschikbaar zijn.

$ sudo tcpdump -i wlx14a3c782966b
bash

Analyseer alleen de interface met de opgegeven naam.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

Door dit te doen, zorgt u ervoor dat tcpdump slechts vijf pakketten opneemt.

Ga naar hoofdmenu