Diese Frage wurde bereits von Scott in seinem englischsprachigen Blog beantwortet. Ich gebe sie an dieser Stelle wieder, um nicht immer wieder danach suchen zu müssen.
Das Kommando lautet:
tcpdump -c 20 -s 0 -i eth1 -A host 192.168.1.1 and tcp port http
Die Parameter bedeuten:
- -c 20: Beendet den Vorgang, nachdem 20 Pakete aufgezeichnet wurden.
- -s 0: Die mitgeschnittenen Nutzdaten sollen ungekürzt wiedergegeben werden.
- -i eth1: Zeichne nur Pakete an der Netzwerkschnittstelle eth1 auf.
- -A: Gebe alle Pakete in ASCII aus.
- host 192.168.1.1: Zeichne nur Pakete auf, die von Host 192.168.1.1 kommen.
- and tcp port http: Zeichne nur HTTP-Pakete auf.
Ergänzt man den Befehl noch um -w DATEINAME wird die Aufzeichnung in eine Datei statt auf die Standardausgabe geschrieben.
Danke, toller Tipp! Ich nehme an mit HTTPS (Port 443) wird das wegen Verschlüßelung nicht funktionieren.
Hallo,
eine HTTPS-Verbindung mit tcpdump mitzuschneiden, wird keine großen Einblicke erlauben. Die Parameter für den Verbindungsaufbau lassen sich damit hingegen schon analysieren.
Möchten Sie auch den den Inhalt in der Verbindung sehen, hilft evtl. das Programm ssldump weiter.