Was ist tcpdump?
Zur Navigation springen
Zur Suche springen
Grundlegendes
- tcpdump ist eine freie Software zur Überwachung und Auswertung von Netzwerkverkehr.
- Sie wurde von Van Jacobson, Craig Leres und Steven McCanne geschrieben, wird aber mittlerweile von vielen anderen weiterentwickelt.
- Tcpdump arbeitet im Textmodus und wird über die Kommandozeile gesteuert.
- Tcpdump ist verfügbar für die meisten Unix-Systeme und Unix-Derivate, wie AIX, BSD, Linux, Solaris und wird von vielen Herstellern bereits im Grundsystem mitgeliefert.
- Für Windows steht die Portierung WinDump zur Verfügung.
- Aufgrund des direkten Zugriffs auf die Hardware benötigt der Benutzer zur Ausführung der Software unter Unix und vielen anderen Systemen die privilegierten Rechte des root-Benutzers (Ausnahme: unter BSD-Derivaten, Mac OS X, SunOS und Solaris reicht es, wenn der Benutzer die entsprechenden Rechte für die Netzwerk-Gerätedatei hat).
- Das Programm liest Daten in Form von Paketen, die über das Netzwerk gesendet werden, und stellt diese auf dem Bildschirm dar oder speichert sie in Dateien.
- Durch die Umstellung eines Netzwerkadapters in den Promiscuous Mode ist es darüber hinaus möglich, Pakete, die nicht für diesen Netzwerkadapter bestimmt sind, zu empfangen und auszuwerten.
- Zusätzlich ermöglicht tcpdump die Auswertung von vorher in Dateien gespeicherten Paketen.
- Mittels Parametern, die bei Programmstart auf der Kommandozeile angegeben werden müssen, steuert der Benutzer das Verhalten von tcpdump
- Manübergibt Filter an das Programm, nach denen die Pakete ausgewertet werden.
Haupteinsatzgebiete von tcpdump sind
- Fehlersuche in Programmen, die über das Netzwerk kommunizieren.
- Fehlersuche im Netzwerkaufbau selbst.
- Aufzeichnung und Darstellung der Kommunikation anderer Benutzer und Computer. Benutzern, die Zugriff auf Router oder Gateways innerhalb eines Netzwerkes haben, wird es hiermit ermöglicht, die *Kommunikation zwischen verschiedenen Teilnehmern des Netzwerkes zu überwachen und mitzuschneiden.
- Da einige Protokolle ihre Übertragung unverschlüsselt abwickeln, ist es auf diese Weise möglich, Passwörter und Benutzerdaten aus dem Netzwerk zu erhalten.
Weitere Analysemethoden
- Man kann tcpdump auch nutzen, um nur Dateien mitzuschneiden.
- Diese kann man dann mit anderen Programmen wie Wireshark auswerten.