tcpdump onderschept en analyseert netwerkverkeer op de commandoregel.
sudo tcpdump -i eth0
sudo tcpdump -i any port 80
| Optie | Betekenis |
|---|---|
-i interface | Netwerkinterface (any voor alle) |
-n | Geen DNS-opzoeking |
-v / -vv | Meer details |
-c n | Stop na n pakketten |
-w bestand | Schrijf naar PCAP-bestand |
-r bestand | Lees PCAP-bestand |
-A | Toon pakketinhoud als ASCII |
-X | Toon als hex + ASCII |
| Filter | Beschrijving |
|---|---|
port 80 | Verkeer op poort 80 |
host 192.168.1.5 | Verkeer van/naar IP |
src host 10.0.0.1 | Alleen van bron-IP |
tcp | Alleen TCP |
udp port 53 | DNS-verkeer |
not port 22 | Alles behalve SSH |
HTTP-verzoeken bekijken:
sudo tcpdump -i eth0 -A port 80
DNS-opzoekingen:
sudo tcpdump -n udp port 53
Opslaan voor later analyseren:
sudo tcpdump -i eth0 -w /tmp/opname.pcap
Opgeslagen bestand analyseren:
tcpdump -r /tmp/opname.pcap
Sla captures op met -w en analyseer ze later in Wireshark voor een grafische weergave.