Linux: Trafficanalyse mittels tcpdump

0

Da ich gerade wiedet etwas an der Firewall an meine System geändert habe, sind mir in der Log-Datei geblockte Verbindunge aufgefallen, die von meinem System ausgehend nicht zugelassen wurden. Da die die Ziel-Hostnamen sowie die verwendeten Ports nicht sehr aussagekräftig waren, habe ich mir den Traffic mal mittels tcpdump angeschaut. Da man diese Befehle evtl. öfters noch mal brauchen kann, hier die wichtigsten

# Ziel-Adresse

tcpdump -nnvvvXX -i venet0 dst 87.106.81.128

# Quell-Port

tcpdump -nnvvvXX -i venet0 src port 25 and tcp

# Ziel-Adresse und Ziel-Port

tcpdump -nnvvvXX -i venet0 dst 87.106.81.128 and dst port 80 and tcp

# Mitschnitt in Datei

tcpdump -nnvvvXX -i venet0 -w capture.dump dst 87.106.81.128

Zur Erklärung nachfolgend die verwendeten Parameter:

-v, -vv, -vvv: Verbose Modues

-X:  Paket in ASCII und Binär ausgeben

-XX: Parameter -X inkl. ethernet header

-n:  Hostnamen nicht auflösen

-nn: Hostnamen oder Portsnamen nicht auflösen

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten