Netzwerk-Traffic unter Linux mit Wireshark und tcpdump analysieren
Die Überwachung des Netzwerkverkehrs ist essenziell, um Sicherheitsprobleme zu erkennen und zu lösen. Diese Anleitung zeigt, wie du Wireshark und tcpdump effektiv nutzt.
1. Wireshark installieren und nutzen
- Installiere Wireshark:
- Debian/Ubuntu:
sudo apt install wireshark - RedHat/CentOS:
sudo yum install wireshark
- Debian/Ubuntu:
- Starte Wireshark:
- Befehl:
wireshark
- Befehl:
- Verkehr auf einer Schnittstelle erfassen:
- Wähle die gewünschte Netzwerkschnittstelle aus der Liste.
- Starte die Aufzeichnung, indem du auf den grünen Start-Button klickst.
- Filter nutzen:
- Beispiel:
ip.addr == 192.168.1.100zeigt nur Verkehr zu einer bestimmten IP-Adresse.
- Beispiel:
2. tcpdump installieren und nutzen
- Installiere tcpdump:
- Debian/Ubuntu:
sudo apt install tcpdump - RedHat/CentOS:
sudo yum install tcpdump
- Debian/Ubuntu:
- Grundlegende Nutzung:
- Erfasse Verkehr auf einer Schnittstelle:
sudo tcpdump -i eth0 - Speichere die Ausgabe in einer Datei:
sudo tcpdump -i eth0 -w traffic.pcap
- Erfasse Verkehr auf einer Schnittstelle:
- Verkehr filtern:
- Nur HTTP-Verkehr:
sudo tcpdump -i eth0 port 80 - Nur Verkehr zu einer bestimmten IP-Adresse:
sudo tcpdump -i eth0 host 192.168.1.100
- Nur HTTP-Verkehr:
3. Ergebnisse analysieren
- Öffne tcpdump-Ausgaben mit Wireshark:
- Befehl:
wireshark traffic.pcap
- Befehl:
- Nutze Filter in Wireshark, um spezifische Protokolle oder IP-Adressen anzuzeigen.
- Analysiere Pakete für verdächtigen oder unerwarteten Traffic.
4. Sicherheitshinweise
- Starte Wireshark oder tcpdump nur mit Root-Rechten, wenn nötig.
- Verwende Filter, um die Menge der erfassten Daten zu reduzieren und die Analyse zu erleichtern.
- Sichere erfasste Daten, da sie sensible Informationen enthalten können.