Tcpdump beispiele
Version vom 29. Oktober 2020, 10:45 Uhr von Thomas.will (Diskussion | Beiträge) (→Pakete grösser 800 und kleiner 1000 Byte)
Pakete grösser 800 und kleiner 1000 Byte
- tcpdump -ni eth0 host 8.8.8. and greater 800 and less 1000
Pakete grösser 1300 Byte
- tcpdump -ni eth0 "ip[2:2] > 1300"
Filtern nach Mac Adresse
- tcpdump -ni ens3 ether host 52:54:00:04:19:7e
Pakete grösser 1200 Byte und kleiner als 1300
- tcpdump -ni eth0 "ip[2:2] > 1250" and "ip[2:2] < 1300"
ESP Pakete grösser 1300 Byte und kleiner als 1500 Byte
- tcpdump -ni eth0 esp and "ip[2:2] > 1300" and "ip[2:2] < 1500"
Pakete von und ins Netz 10.32.66.0/24
- tcpdump -ni eth0 net 10.32.66.0/24
PPPoE Pakete
- tcpdump -i ens12 ether[12:2] == 0x8863 or ether[0x0c:2] == 0x8864
Arp Pakete
- tcpdump -i ens12 ether[12:2] == 0x0806
Vlan Tagged Packets
- tcpdump -ni ens12 vlan 7
Nur Syn Packets
- tcpdump -ni ens9 'tcp[13] == 2'
- tcpdump -ni ens9 'tcp[tcpflags] == tcp-syn'
Syn Packets
- tcpdump -ni ens9 'tcp[13] & 2 == 2'
Nur Ack Packets
- tcpdump -ni ens9 'tcp[13] == 16'
- tcpdump -ni ens9 'tcp[tcpflags] == tcp-ack'
Ack Packets
- tcpdump -ni ens9 'tcp[13] & 16 == 16'
Höchstes Source Addr Byte 94
- tcpdump -ni ppp0 'ip[12] == 94'
Höchstes Dest Addr Byte 94
- tcpdump -ni ppp0 'ip[12] == 94'
TTL gleich 3
- tcpdump -nnni ens9 'ip[8] == 3'
Router Solicitation oder Router Advertisement
- tcpdump -i ens19 icmp6 && ip6[40] == 133 || icmp6 && ip6[40] == 133