...
| Hinweis |
|---|
Hinweis: In vielen Fehlerszenarien (z.B. bei Audioproblemen) kann über den Befehl "nohup tcpdump -w dump.pcap -s0 -vv -C50M -Zroot &" (ohne Anführungszeichen) der zur Analyse notwendige Datenstrom aufgezeichnet und in eine Datei geschrieben werden. |
Die folgenden Parameter erlauben es den TCPdump-Befehl weiter zu spezifizieren:
| Parameter | Beschreibung |
|---|---|
| -i Interfacename<Interfacename> | Angabe des Interfaces, für das die Datenpakete protokolliert werden sollen. |
| -s0 | Angabe, dass die Datenpakete in vollständiger Länge protokolliert werden. |
| -w Dateiname.pcap | Schreibt den TCPdump in eine lokale Datei mit dem Namen "Dateiname.pcap" |
| -C50M | Gibt die Maximalgröße einer Dumpdatei an (z.B. 50MB), bevor begonnen wird in eine neue Dump-Datei zu schreiben. Die neue Datei wird dabei mit einer fortlaufenden Nummer gekennzeichnet. |
| hostIP-Adresse | Angabe einer einzelnen IP-Adresse |
| port Portnummer | Angabe eines einzelnen Ports |
| -ZrootZroot | Angabe des Benutzers |
Einige Beispiele für TCPdump-Befehle:
...
Die Ausgabe des TCPdumps am Monitor bzw. ein nicht in den Hintergrund verschobener TCPdump-Prozess kann mit der Tastenkombination "STRG + C" beendet werden. Ein TCPdump, der im Hintergrund läuft, kann über den folgenden Befehl beendet werden:
killall tcpdump
Zur Analyse der erstellten Dump-Dateien wird empfohlen selbige via sFTP auf einen lokalen Rechner zu kopieren und dort mit dem Programm "Wireshark" zu öffnen.
...