Good to Know Database

Ausgabedatei von tcpdump filtern


Mit dem Kommandozeilen-Programm tcpdump kann der gesamte Netzwerkverkehr mitgeschnitten und in einer Ausgabedatei gespeichert werden (siehe Netzwerk-Kommunikation mit tcpdump mitschneiden). Wenn Sie aus dem gesamten Mitschnitt nur bestimmte Pakete benötigen, können Sie die Ausgabedatei mit verschiedenen Programmen filtern.

Filtern mit tcpdump

Aus einem bereits vorhanden Mitschnitt können Sie auch bestimmte Pakete heraus filtern. Dabei können die gleichen Filterregeln verwendet werden, welche Sie bereits von tcpdump kennen. Mit dem folgenden Befehl wird zum Beispiel die SIP-Kommunikation (Port 5060) aus dem Mitschnitt capture.pcap heraus gefiltert und in der Datei filtered_capture.pcap port abgespeichert.

[root@centos5 ~]# tcpdump -r capture.pcap -s0 -w filtered_capture.pcap port 5060

Filtern mit tshark

Das Programm tshark können Sie ebenfalls zum Filtern von Mitschnitten verwenden. Der folgende Befehl liest die Datei capture.pcap ein und speichert nur die SIP-Pakete in die Datei filtered_capture.pcap.

[root@centos5 ~]# tshark -r capture.pcap -w filtered_capture.pcap sip

Wenn Sie versuchen einen Mitschnitt mit mehr als 2GB zu öffnen, erhalten Sie die folgende Fehlermeldung. Um den Mitschnitt dennoch mit tshark zu filtern, müssen Sie diesen vorher splitten (siehe Ausgabedatei von tcpdump in mehrere Teile splitten).

[root@centos5 ~]# tshark -r capture.pcap -w filtered_capture.pcap sip
tshark: The file "capture.pcap" could not be opened: Value too large for defined data type.


Dieser Eintrag wurde am 02.07.2011 erstellt und zuletzt am 24.01.2016 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_7_1333.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer