Med Linux-kommandoen tcpdump kan du analysere pakker som sendes i nettverket ditt. Det finnes en rekke alternativer og filtre som kan brukes for å optimalisere analysen ytterligere.

Hva er Linux tcpdump?

For å analysere nettverkstrafikken din på Linux og eventuelt løse nettverksproblemer, er tcpdump et verdifullt verktøy. Kommandolinjeprogrammet er forhåndsinstallert på nesten alle vanlige Linux-distribusjoner, f.eks. Debian eller Ubuntu, og overfører informasjon om datapakker som sendes eller mottas på nettverket ditt. Til tross for navnet er Linux tcpdump ikke bare egnet for TCP-pakker, men kan også analysere UDP- og ICMP-pakker. For å bruke kommandoen trenger du imidlertid root-rettigheter.

Hvordan fungerer kommandoen tcpdump?

Analysen som utføres av tcpdump kalles ofte «sniffing». Med Linux-kommandoen tcpdump kan du angi hvilket nettverksgrensesnitt programmet skal overvåke. For å tilpasse og optimalisere prosessen tilbyr tcpdump et bredt utvalg av filtre. Kommandoen utføres fra kommandolinjen, og analyseresultatet vises deretter.

Hva er syntaksen til tcpdump?

Syntaksen til tcpdump i Linux er veldig enkel og ser slik ut:

$ tcpdump [Options] [Filter]
bash

Selv om det ikke er obligatorisk å angi alternativer, anbefales det å gjøre dette for å sikre at tcpdump bruker riktig nettverksgrensesnitt. I tillegg er bruk av filtre valgfritt, men svært nyttig. Uten filtre analyserer tcpdump alle pakker fra alle verter, noe som raskt kan bli overveldende og forvirrende.

Hvilke alternativer og filtre finnes i Linux-kommandoen tcpdump?

Det finnes mange alternativer og filtre for tcpdump. De viktigste er:

  • -A: Viser innholdet i en pakke som ASCII.
  • -c [Antall]: tcpdump avsluttes automatisk når et bestemt antall pakker er analysert.
  • -D: Med dette alternativet vises alle tilgjengelige grensesnitt.
  • -i [Grensesnitt]: Med dette alternativet bestemmer du hvilket grensesnitt som skal logges.
  • -s [Antall]: Dette alternativet bestemmer hvor mange byte som skal logges per pakke.

Du kan bruke disse filtrene i tcpdump:

  • dst: Kun pakker med den angitte verdien som destinasjon blir analysert. Dette kan være en vert, et nettverk, en port eller et portintervall.
  • host: Filteret sikrer at kun pakker med en bestemt IP-adresse eller et bestemt vertsnavn som kilde eller destinasjon tas med i beregningen.
  • net: Dette filteret tar kun hensyn til pakker som har en IP-adresse fra et angitt nettverksområde som kilde eller destinasjon.
  • port: Bruk dette filteret til å spesifisere en bestemt port mellom 0 og 65535 som skal analyseres eksklusivt.
  • portrange: Dette filteret inneholder et portområde mellom 0 og 65535.
  • proto: Dette filteret tar kun hensyn til pakker med en bestemt nettverksprotokoll. Filteret kan ha følgende verdier: arp, decnet, ether, fddi, ip, ip6, rarp, tcp, udp eller wlan.
  • src: For å analysere pakker basert på spesifikke kriterier som vert, nettverk, port eller portområde.

Eksempler på bruk av kommandoen tcpdump

Til slutt skal vi vise deg hvordan du bruker tcpdump. I eksemplene våre bruker vi sudo-kommandoen i Linux.

$ sudo tcpdump -D
bash

Sjekk hvilke nettverksgrensesnitt som er tilgjengelige.

$ sudo tcpdump -i wlx14a3c782966b
bash

Analyser kun grensesnittet med det angitte navnet.

$ sudo tcpdump -c 5 -i wlx14a3c782966b
bash

På denne måten får du tcpdump til å ta med bare fem pakker.

Go to Main Menu