AA_baustelle.tif

© Chode,123RF

Netzwerk-Traffic im Griff

Netstat und Tcpdump

Die Shortcuts stellen wieder einige Befehle und die dazugehörigen Schalter vor, um Ihre Netzwerkverbindungen im Auge zu behalten.

Während Sie mit Netstat einen schnellen Überblick über die aus- und eingehenden TCP/UDP-Verbindungen und die gewählte Route im lokalen Netzwerk erhalten, untersucht Tcpdump Ihre Verbindungen noch etwas detaillierter. Sie können zum Beispiel gezielt nach Daten suchen, die über einen bestimmten Port gehen und sich nur Verbindungen zwischen zwei Rechnern im Netzwerk anzeigen lassen.

Shortcuts & Schalter

Befehl Erklärung
Netstat
netstat zeigt TCP/UDP-Verbindungen sowie bestehende Socket-Verbindungen von Systemanwendungen
sudo netstat -tupen zeigt aktive TCP/UDP-Verbindungen an (-tu) und welchem User sie gehören (-e), löst die Namen der IP-Adressen nicht auf (geht wesentlich schneller) (-n) und zeigt aufrufende Anwendungen und Prozessnummern (PID) (-p)
lsof -p PID besteht eine Verbindung zwischen einem lokalen Prozess und einer entfernten IP-Adresse, listet dieses Kommando alle offenen Dateien auf, die zu dem Prozess gehören
netstat -tua zeigt dank -a auch Programme an, die auf eingehende Verbindungen lauschen
netstat -i listet die erkannten Netzwerkschnittstellen auf, etwa die Netzwerkkarte und die WLAN-Karte
netstat -r liest die Kernel-Routing-Tabelle. Der letzte Eintrag in der zweiten Spalte zeigt die IP-Adresse des Routers/Access Points, in dessen Netzwerk Sie sich gerade befinden
netstat -tul zeigt aufgrund der Option -l nur die empfangsbereiten TCP/UDP-Verbindungen. Da die Option -n fehlt, löst diese Anfrage auch die Namen der IP-Adressen auf, was etwas dauert
netstat -tuo Die Option -o zeigt einen Timer, der die verbleibende Zeit aktiver TCP-Verbindungen anzeigt und rückwärts zählt (erster Wert in der Klammer ist ein Sekundenwert)
netstat -tuc Zeigt die TCP/UDP-Verbindungen an und aktualisiert die Anzeige permanent (-c). So können Sie das Auftauchen und Verschwinden von Verbindungen live verfolgen
Tcpdump
sudo tcpdump -D zeigt die verfügbaren Netzwerkschnittstellen an
sudo tcpdump -i wlan0 wlan0 ersetzen Sie durch die mit dem Internet verbundene Netzwerkschnittstelle, alternativ verwenden Sie statt wlan0 den Eintrag $(netstat -rn | | tr -s ' ' | | cut -d " " -f8 | | tail -n1), um die Netzwerkschnittstelle automatisch zu identifizieren (Leerzeichen zwischen ' ' und " " beachten)
sudo tcpdump -i wlan0 -q port 22 schneidet nur Verbindungen mit, die über den SSH-Port 22 gehen und zeigt dank -q nur die beteiligten Hostnamen und ihre Ports an sowie den Umfang der TCP-Pakete
sudo tcpdump -i wlan0 -qn host 192.168.0.171 zeigt nur die grundlegenden Verbindungsdaten des Rechners mit der IP-Adresse 192.168.0.171 an, löst Hostnamen nicht auf
sudo tcpdump -i wlan0 -qn host 192.168.0.171 and port 80 zeigt nur Traffic des Rechners 192.168.0.171 auf dem HTTP-Port an, Merkmale lassen sich also kombinieren
sudo tcpdump -i wlan0 -qn src host 192.168.0.171 and dst 80.237.227.154 and port 80 fischt nur die Verbindungen zwischen zwei bestimmten Rechnern heraus, die über Port 80 gehen, wobei sich die Anfragen über and kombinieren lassen
sudo tcpdump -i wlan0 host sonne and \( erde or mond \) präsentiert den Datenverkehr zwischen dem Host sonne und dem Rechner mond respektive dem Rechner erde
sudo tcpdump -i wlan0 -A zeigt die in den übertragenen Paketen auftauchenden ASCII-Zeichen an
sudo tcpdump -i wlan0 -F filter lässt Tcpdump einen Filter verwenden, dessen Inhalt Sie vorher definieren, etwa port 80
sudo tcpdump -i wlan0 -w datei Tcpdump schreibt seine Ausgabe in eine Datei namens datei, allerdings nicht im Textformat. Um die Datei zu lesen, verwenden Sie den folgenden Befehl
sudo tcpdump -i wlan0 -r datei liest die eben erstellte datei aus. Alternativ lassen kann auch Wireshark die mit Tcpdump erstellte Datei lesen
Einem Freund empfehlen