Difference between revisions of "Kommandozeilenwerkzeuge"

From
Jump to: navigation, search
(termshark)
(ssh und VPN-Tunnel)
 
(57 intermediate revisions by 2 users not shown)
Line 1: Line 1:
== Kommandozeilenwerkzeuge ==
+
= ip (iproute2) =
  
=== ip ===
+
'''Hinweis:''' Der Befehl <tt>ip</tt> ersetzt alte Tools wie <tt>ifconfig</tt>, <tt>route</tt>, <tt>arp</tt> & Co. und unterstützt sowohl IPv4 als auch IPv6. Änderungen sind **nicht persistent** – für dauerhafte Konfigurationen z. B. NetworkManager, systemd-networkd oder <tt>/etc/network/interfaces</tt> nutzen.
<pre>
+
 
Der Befehl ip (Teil von iproute2) ersetzt ifconfig, route, arp & Co.
+
== Allgemeine Syntax ==
 +
<tt>ip [OPTIONEN] OBJEKT BEFEHL</tt>
  
 +
Typische Objekte:
 +
* <tt>addr (a)</tt> → IP-Adressen
 +
* <tt>link (l)</tt> → Interfaces
 +
* <tt>route (r)</tt> → Routing
 +
* <tt>neigh (n)</tt> → ARP / Neighbor
 +
* <tt>rule</tt> → Policy Routing
  
### Allgemeine Syntax
 
  ip [OPTIONEN] OBJEKT BEFEHL
 
  
  
Typische Objekte:
+
== Interfaces (Link-Ebene) ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Alle Interfaces anzeigen
 +
| <tt>ip link show</tt><br><tt>ip l</tt>
 +
| Zeigt alle Netzwerkinterfaces.
 +
|-
 +
| Einzelnes Interface anzeigen
 +
| <tt>ip link show eth0</tt>
 +
| Details zu einem Interface.
 +
|-
 +
| Interface aktivieren / deaktivieren
 +
| <tt>ip link set eth0 up</tt><br><tt>ip link set eth0 down</tt>
 +
| Interface hoch- oder runterfahren.
 +
|-
 +
| MTU setzen
 +
| <tt>ip link set eth0 mtu 1500</tt>
 +
| Maximum Transmission Unit ändern.
 +
|-
 +
| MAC-Adresse ändern
 +
| <tt>ip link set eth0 address aa:bb:cc:dd:ee:ff</tt>
 +
| MAC-Adresse anpassen.
 +
|}
  
addr (oder a) → IP-Adressen
 
  
link (oder l) → Interfaces
 
  
route (oder r) → Routing
+
== IP-Adressen (Layer 3) ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| IP-Adressen anzeigen
 +
| <tt>ip addr show</tt><br><tt>ip a</tt>
 +
| Zeigt alle IP-Adressen eines Hosts.
 +
|-
 +
| IP-Adresse hinzufügen
 +
| <tt>ip addr add 192.168.1.10/24 dev eth0</tt>
 +
| Neue IP-Adresse einem Interface zuweisen.
 +
|-
 +
| IP-Adresse löschen
 +
| <tt>ip addr del 192.168.1.10/24 dev eth0</tt>
 +
| IP-Adresse entfernen.
 +
|-
 +
| Nur IPv4 / IPv6
 +
| <tt>ip -4 addr</tt><br><tt>ip -6 addr</tt>
 +
| Filtert nach IP-Version.
 +
|}
  
neigh (oder n) → ARP / Neighbor
 
  
rule → Policy Routing
 
  
 +
== Routing ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Routing-Tabelle anzeigen
 +
| <tt>ip route show</tt><br><tt>ip r</tt>
 +
| Zeigt alle Routen.
 +
|-
 +
| Default-Gateway setzen
 +
| <tt>ip route add default via 192.168.1.1</tt>
 +
| Standard-Gateway festlegen.
 +
|-
 +
| Route zu Netzwerk hinzufügen
 +
| <tt>ip route add 10.0.0.0/24 via 192.168.1.254</tt>
 +
| Neue Route eintragen.
 +
|-
 +
| Route löschen
 +
| <tt>ip route del 10.0.0.0/24</tt>
 +
| Route entfernen.
 +
|}
  
### Interfaces (Link-Ebene)
 
Alle Interfaces anzeigen
 
ip link show
 
ip l
 
  
Einzelnes Interface anzeigen
 
ip link show eth0
 
  
Interface aktivieren / deaktivieren
+
== ARP / Neighbor-Tabelle ==
ip link set eth0 up
+
{| class="wikitable sortable"
ip link set eth0 down
+
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Nachbarn anzeigen
 +
| <tt>ip neigh show</tt><br><tt>ip n</tt>
 +
| Zeigt ARP / Neighbor-Tabelle.
 +
|-
 +
| ARP-Eintrag hinzufügen
 +
| <tt>ip neigh add 192.168.1.20 lladdr aa:bb:cc:dd:ee:ff dev eth0</tt>
 +
| Statischen ARP-Eintrag setzen.
 +
|-
 +
| ARP-Eintrag löschen
 +
| <tt>ip neigh del 192.168.1.20 dev eth0</tt>
 +
| ARP-Eintrag entfernen.
 +
|-
 +
| ARP-Cache leeren
 +
| <tt>ip neigh flush all</tt>
 +
| Alle Einträge löschen.
 +
|}
  
MTU setzen
 
ip link set eth0 mtu 1500
 
  
MAC-Adresse ändern
 
ip link set eth0 address aa:bb:cc:dd:ee:ff
 
  
 +
== Policy Routing ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Routing-Regeln anzeigen
 +
| <tt>ip rule show</tt>
 +
| Zeigt Policy Routing Regeln.
 +
|-
 +
| Regel hinzufügen
 +
| <tt>ip rule add from 192.168.2.0/24 table 100</tt>
 +
| Neue Regel definieren.
 +
|-
 +
| Tabelle anzeigen
 +
| <tt>ip route show table 100</tt>
 +
| Routen der Tabelle 100 anzeigen.
 +
|}
  
### IP-Adressen (Layer 3)
 
IP-Adressen anzeigen
 
ip addr show
 
ip a
 
  
IP-Adresse hinzufügen
 
ip addr add 192.168.1.10/24 dev eth0
 
  
IP-Adresse löschen
+
== Netzwerk-Namespaces ==
ip addr del 192.168.1.10/24 dev eth0
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Namespaces anzeigen
 +
| <tt>ip netns list</tt>
 +
| Alle vorhandenen Network Namespaces.
 +
|-
 +
| Namespace erstellen
 +
| <tt>ip netns add testns</tt>
 +
| Neuen Namespace erstellen.
 +
|-
 +
| Befehl im Namespace ausführen
 +
| <tt>ip netns exec testns ip addr</tt>
 +
| IP-Adressen innerhalb eines Namespace prüfen.
 +
|}
  
Nur IPv4 / IPv6
 
ip -4 addr
 
ip -6 addr
 
  
  
### Routing
+
== Monitoring & Debugging ==
Routing-Tabelle anzeigen
+
{| class="wikitable sortable"
ip route show
+
! Aktion
ip r
+
! Befehl
 +
! Beschreibung
 +
|-
 +
| Link-Status live beobachten
 +
| <tt>ip monitor</tt>
 +
| Zeigt alle Änderungen in Echtzeit.
 +
|-
 +
| Nur Adress-Änderungen beobachten
 +
| <tt>ip monitor addr</tt>
 +
| Live-Überwachung von IP-Adressen.
 +
|}
  
Default-Gateway setzen
 
ip route add default via 192.168.1.1
 
  
Route zu Netz hinzufügen
 
ip route add 10.0.0.0/24 via 192.168.1.254
 
  
Route löschen
+
== Häufige Kurzformen ==
ip route del 10.0.0.0/24
+
{| class="wikitable sortable"
 +
! Langform
 +
! Kurz
 +
|-
 +
| <tt>ip addr</tt>
 +
| <tt>ip a</tt>
 +
|-
 +
| <tt>ip link</tt>
 +
| <tt>ip l</tt>
 +
|-
 +
| <tt>ip route</tt>
 +
| <tt>ip r</tt>
 +
|-
 +
| <tt>ip neigh</tt>
 +
| <tt>ip n</tt>
 +
|}
  
  
### ARP / Neighbor-Tabelle
 
Nachbarn anzeigen
 
ip neigh show
 
ip n
 
  
ARP-Eintrag hinzufügen
+
== Vergleich zu alten Befehlen ==
ip neigh add 192.168.1.20 lladdr aa:bb:cc:dd:ee:ff dev eth0
+
{| class="wikitable sortable"
 +
! Alt
 +
! Neu
 +
|-
 +
| <tt>ifconfig</tt>
 +
| <tt>ip addr, ip link</tt>
 +
|-
 +
| <tt>route</tt>
 +
| <tt>ip route</tt>
 +
|-
 +
| <tt>arp</tt>
 +
| <tt>ip neigh</tt>
 +
|-
 +
| <tt>brctl</tt>
 +
| <tt>ip link</tt>
 +
|}
  
ARP-Eintrag löschen
 
ip neigh del 192.168.1.20 dev eth0
 
  
ARP-Cache leeren
+
== Mini-Spickzettel ==
ip neigh flush all
+
* <tt>ip a</tt> – Adressen 
 +
* <tt>ip l</tt> – Interfaces 
 +
* <tt>ip r</tt> – Routing 
 +
* <tt>ip n</tt> – ARP / Neighbor 
 +
* <tt>ip monitor</tt> – Live-Events
  
 +
[[#top|oben]]
  
### Policy Routing (Grundlagen)
 
Routing-Regeln anzeigen
 
ip rule show
 
  
Regel hinzufügen
+
= ifconfig (Legacy: net-tools) =
ip rule add from 192.168.2.0/24 table 100
 
  
Tabelle anzeigen
+
'''Hinweis:''' <tt>ifconfig</tt> gehört zum veralteten Paket net-tools. Es wird durch <tt>ip</tt> (iproute2) ersetzt. Änderungen sind **nicht persistent** – gelten nur bis zum Neustart oder Interface-Reset.
ip route show table 100
 
  
 +
== Interfaces anzeigen ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Alle aktiven Interfaces
 +
| <tt>ifconfig</tt>
 +
| Zeigt alle aktuell aktiven Netzwerkinterfaces.
 +
|-
 +
| Alle Interfaces (auch inaktive)
 +
| <tt>ifconfig -a</tt>
 +
| Zeigt alle Interfaces, inklusive inaktiver.
 +
|-
 +
| Einzelnes Interface anzeigen
 +
| <tt>ifconfig eth0</tt>
 +
| Zeigt Details zu einem Interface.
 +
|}
  
### Netzwerk-Namespaces
 
Namespaces anzeigen
 
ip netns list
 
  
Namespace erstellen
 
ip netns add testns
 
  
Befehl im Namespace ausführen
+
== Interface aktivieren / deaktivieren ==
ip netns exec testns ip addr
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Aktivieren
 +
| <tt>ifconfig eth0 up</tt>
 +
| Interface hochfahren.
 +
|-
 +
| Deaktivieren
 +
| <tt>ifconfig eth0 down</tt>
 +
| Interface herunterfahren.
 +
|}
  
  
### Monitoring & Debugging
 
Link-Status live beobachten
 
ip monitor
 
  
Nur Adress-Änderungen
+
== IP-Adresse setzen (IPv4) ==
ip monitor addr
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| IP-Adresse zuweisen
 +
| <tt>ifconfig eth0 192.168.1.10</tt>
 +
| IPv4-Adresse einem Interface zuweisen.
 +
|-
 +
| IP-Adresse mit Netzmaske
 +
| <tt>ifconfig eth0 192.168.1.10 netmask 255.255.255.0</tt>
 +
| IP mit Subnetzmaske konfigurieren.
 +
|-
 +
| IP-Adresse mit Broadcast
 +
| <tt>ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255</tt>
 +
| Zusätzlich Broadcast-Adresse setzen.
 +
|}
  
  
### Häufige Kurzformen (sehr gebräuchlich)
 
Langform Kurz
 
ip addr         ip a
 
ip link         ip l
 
ip route ip r
 
ip neigh ip n
 
  
 +
== MAC-Adresse ändern ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| MAC-Adresse setzen
 +
| <tt>ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff</tt>
 +
| MAC-Adresse ändern (Interface ggf. vorher down setzen).
 +
|}
  
### Vergleich zu alten Befehlen
 
Alt         Neu
 
ifconfig ip addr, ip link
 
route         ip route
 
arp         ip neigh
 
brctl         ip link
 
  
  
### Wichtige Hinweise
+
== MTU setzen ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| MTU konfigurieren
 +
| <tt>ifconfig eth0 mtu 1500</tt>
 +
| Maximum Transmission Unit anpassen.
 +
|}
  
Änderungen sind nicht persistent
 
  
Dauerhafte Konfiguration:
 
  
NetworkManager
+
== Promiscuous Mode ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Aktivieren
 +
| <tt>ifconfig eth0 promisc</tt>
 +
| Promiscuous Mode einschalten.
 +
|-
 +
| Deaktivieren
 +
| <tt>ifconfig eth0 -promisc</tt>
 +
| Promiscuous Mode ausschalten.
 +
|}
  
systemd-networkd
 
  
/etc/network/interfaces
 
  
ip ist IPv4 & IPv6-fähig
+
== Statistik anzeigen ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Statistik eines Interfaces
 +
| <tt>ifconfig eth0</tt>
 +
| Zeigt Pakete, Fehler, Bytes etc. an.
 +
|}
  
Skript-tauglich & konsistent
 
  
  
### Mini-Spickzettel
+
== Loopback konfigurieren ==
ip a          # Adressen
+
{| class="wikitable sortable"
ip l          # Interfaces
+
! Aktion
ip r          # Routing
+
! Befehl
ip n          # ARP
+
! Beschreibung
ip monitor    # Live-Events
+
|-
</pre>
+
| Loopback aktivieren
 +
| <tt>ifconfig lo 127.0.0.1 up</tt>
 +
| Loopback-Interface hochfahren (selten nötig).
 +
|}
  
  
=== ifconfig ===
 
<pre>
 
ifconfig gehört zum veralteten Paket net-tools.
 
Es wird durch ip (iproute2) ersetzt.
 
  
### Interfaces anzeigen
+
== Moderne Entsprechung (iproute2) ==
Alle aktiven Interfaces
+
{| class="wikitable sortable"
ifconfig
+
! ifconfig
 +
! ip
 +
|-
 +
| <tt>ifconfig</tt>
 +
| <tt>ip addr show</tt>
 +
|-
 +
| <tt>ifconfig -a</tt>
 +
| <tt>ip link show</tt>
 +
|-
 +
| <tt>ifconfig eth0 up</tt>
 +
| <tt>ip link set eth0 up</tt>
 +
|-
 +
| <tt>ifconfig eth0 down</tt>
 +
| <tt>ip link set eth0 down</tt>
 +
|-
 +
| <tt>ifconfig eth0 192.168.1.10</tt>
 +
| <tt>ip addr add 192.168.1.10/24 dev eth0</tt>
 +
|-
 +
| <tt>ifconfig eth0 mtu 1500</tt>
 +
| <tt>ip link set eth0 mtu 1500</tt>
 +
|}
  
Alle Interfaces (auch inaktive)
 
ifconfig -a
 
  
### Einzelnes Interface anzeigen
 
ifconfig eth0
 
  
### Interface aktivieren / deaktivieren
+
== Empfehlung ==
Aktivieren
+
* Nur lesen / Legacy: <tt>ifconfig</tt> 
ifconfig eth0 up
+
* Aktiv konfigurieren: <tt>ip</tt> 
 +
* Skripte neu schreiben: <tt>iproute2</tt>
  
Deaktivieren
+
[[#top | oben]]
ifconfig eth0 down
 
  
### IP-Adresse setzen (IPv4)
 
IP-Adresse zuweisen
 
ifconfig eth0 192.168.1.10
 
  
Mit Netzmaske
+
= tcpdump (Paketmitschnitt) =
ifconfig eth0 192.168.1.10 netmask 255.255.255.0
 
  
Mit Broadcast-Adresse
+
'''Hinweis:''' tcpdump ist das Standardwerkzeug zur Analyse von Netzwerkpaketen. Änderungen am System sind nicht notwendig; root oder entsprechende Capabilities können erforderlich sein.
ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255
 
  
 +
== Grundsyntax ==
 +
<tt>tcpdump [OPTIONEN] [FILTER]</tt>
  
!!! Nicht persistent – gilt nur bis zum Neustart oder Interface-Reset.
 
  
### MAC-Adresse ändern
+
== Interfaces & Basisoptionen ==
MAC-Adresse setzen
+
{| class="wikitable sortable"
ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff
+
! Aktion
(Oft muss das Interface vorher down sein)
+
! Befehl
 +
! Beschreibung
 +
|-
 +
| Verfügbare Interfaces anzeigen
 +
| <tt>tcpdump -D</tt>
 +
| Listet alle verfügbaren Interfaces.
 +
|-
 +
| Auf bestimmtem Interface mitschneiden
 +
| <tt>tcpdump -i eth0</tt>
 +
| Pakete nur auf eth0 erfassen.
 +
|-
 +
| Alle Interfaces (Linux)
 +
| <tt>tcpdump -i any</tt>
 +
| Pakete auf allen Interfaces erfassen.
 +
|-
 +
| Ohne Namensauflösung (empfohlen)
 +
| <tt>tcpdump -n</tt>
 +
| Zeigt IPs numerisch an, kein DNS.
 +
|-
 +
| MAC-Adressen anzeigen
 +
| <tt>tcpdump -e</tt>
 +
| Zeigt Ethernet-Header mit MAC-Adressen.
 +
|}
  
  
### MTU setzen
+
== Ausgabe steuern ==
ifconfig eth0 mtu 1500
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Mehr Details (Verbose)
 +
| <tt>tcpdump -v</tt><br><tt>tcpdump -vv</tt><br><tt>tcpdump -vvv</tt>
 +
| Detailliertere Paketinformationen.
 +
|-
 +
| Nur Header, kein Payload
 +
| <tt>tcpdump -q</tt>
 +
| Paketinhalt wird nicht angezeigt.
 +
|-
 +
| Paketinhalt anzeigen (ASCII)
 +
| <tt>tcpdump -A</tt>
 +
| Zeigt Pakete in ASCII.
 +
|-
 +
| Paketinhalt anzeigen (HEX + ASCII)
 +
| <tt>tcpdump -X</tt>
 +
| Zeigt Pakete in HEX und ASCII.
 +
|-
 +
| Paketlänge begrenzen (Snaplen)
 +
| <tt>tcpdump -s 96</tt>
 +
| Nur die ersten 96 Bytes des Pakets erfassen.
 +
|}
  
  
### Promiscuous Mode
 
Aktivieren
 
ifconfig eth0 promisc
 
  
Deaktivieren
+
== Paketanzahl & Laufzeit ==
ifconfig eth0 -promisc
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Anzahl Pakete begrenzen
 +
| <tt>tcpdump -c 100</tt>
 +
| Stoppt nach 100 Paketen.
 +
|-
 +
| Zeitstempel anzeigen
 +
| <tt>tcpdump -tttt</tt>
 +
| Zeigt Datum und Uhrzeit für jedes Paket.
 +
|}
  
  
### Statistik anzeigen
 
ifconfig eth0
 
  
 +
== Mitschnitt in Datei (pcap) ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| In Datei schreiben
 +
| <tt>tcpdump -w capture.pcap</tt>
 +
| Pakete in einer pcap-Datei speichern.
 +
|-
 +
| Aus Datei lesen
 +
| <tt>tcpdump -r capture.pcap</tt>
 +
| Pakete aus einer Datei analysieren.
 +
|-
 +
| Rotierende Dateien
 +
| <tt>tcpdump -w dump.pcap -G 60 -W 10</tt>
 +
| Alle 60 Sekunden neue Datei, max. 10 Dateien.
 +
|}
  
### Loopback konfigurieren (selten nötig)
 
ifconfig lo 127.0.0.1 up
 
  
  
 +
== Klassische Filter (BPF) ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Nach Protokoll filtern
 +
| <tt>tcpdump tcp</tt><br><tt>tcpdump udp</tt><br><tt>tcpdump icmp</tt><br><tt>tcpdump arp</tt>
 +
| Zeigt nur Pakete des angegebenen Protokolls.
 +
|-
 +
| Nach Host
 +
| <tt>tcpdump host 192.168.1.10</tt><br><tt>tcpdump src host 192.168.1.10</tt><br><tt>tcpdump dst host 192.168.1.10</tt>
 +
| Filtert nach Quell- oder Zielhost.
 +
|-
 +
| Nach Port
 +
| <tt>tcpdump port 80</tt><br><tt>tcpdump tcp port 443</tt>
 +
| Filtert Pakete nach Port.
 +
|-
 +
| Nach Netz
 +
| <tt>tcpdump net 192.168.1.0/24</tt>
 +
| Pakete aus einem Subnetz.
 +
|}
  
### Moderne Entsprechung (empfohlen)
 
ifconfig                 ip
 
ifconfig                 ip addr show
 
ifconfig -a                 ip link show
 
ifconfig eth0 up         ip link set eth0 up
 
ifconfig eth0 down         ip link set eth0 down
 
ifconfig eth0 192.168.1.10 ip addr add 192.168.1.10/24 dev eth0
 
ifconfig eth0 mtu 1500         ip link set eth0 mtu 1500
 
  
  
 +
== Kombinierte Filter ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| AND / OR / NOT
 +
| <tt>tcpdump tcp and port 22</tt><br><tt>tcpdump host 192.168.1.10 and not port 22</tt><br><tt>tcpdump tcp port 80 or port 443</tt>
 +
| Kombination von Filtern für gezielte Paket-Auswahl.
 +
|}
  
### Empfehlung
 
  
Nur zum Lesen / Legacy: ifconfig
 
  
Aktiv konfigurieren: ip
+
== TCP-spezifische Filter ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| SYN-Pakete
 +
| <tt>tcpdump 'tcp[tcpflags] & tcp-syn != 0'</tt>
 +
| Zeigt alle SYN-Pakete.
 +
|-
 +
| SYN ohne ACK (Verbindungsaufbau)
 +
| <tt>tcpdump 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0'</tt>
 +
| Nur SYN-Pakete ohne ACK.
 +
|-
 +
| RST-Pakete
 +
| <tt>tcpdump 'tcp[tcpflags] & tcp-rst != 0'</tt>
 +
| Zeigt TCP-RST Pakete.
 +
|}
  
Skripte neu schreiben: iproute2
 
  
</pre>
 
  
 +
== Typische Praxisbeispiele ==
 +
{| class="wikitable sortable"
 +
! Zweck
 +
! Befehl
 +
|-
 +
| Kommt Traffic an?
 +
| <tt>tcpdump -i eth0 -n icmp</tt>
 +
|-
 +
| HTTP-Traffic sehen
 +
| <tt>tcpdump -i eth0 -n tcp port 80</tt>
 +
|-
 +
| DNS-Abfragen debuggen
 +
| <tt>tcpdump -i eth0 -n udp port 53</tt>
 +
|-
 +
| ARP-Probleme analysieren
 +
| <tt>tcpdump -i eth0 -n -e arp</tt>
 +
|}
  
=== tcpdump ===
 
<pre>
 
Standard-Werkzeug zur Paketmitschnitt-Analyse
 
  
### Grundsyntax
 
tcpdump [OPTIONEN] [FILTER]
 
  
### Interfaces & Basisoptionen
+
== Performance & Sicherheit ==
Verfügbare Interfaces anzeigen
+
{| class="wikitable sortable"
tcpdump -D
+
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Nur erste Pakete ansehen
 +
| <tt>tcpdump -c 20</tt>
 +
| Begrenzte Paketanzahl für schnelle Analyse.
 +
|-
 +
| Payload komplett mitschneiden
 +
| <tt>tcpdump -s 0</tt>
 +
| Ganze Pakete inkl. Payload speichern.
 +
|-
 +
| Root vermeiden (Capabilities)
 +
| <tt>sudo setcap cap_net_raw,cap_net_admin=eip $(which tcpdump)</tt>
 +
| tcpdump mit weniger Rechten ausführen.
 +
|}
  
Auf bestimmtem Interface mitschneiden
 
tcpdump -i eth0
 
  
Alle Interfaces (Linux)
 
tcpdump -i any
 
  
Ohne Namensauflösung (empfohlen)
+
== Häufige Stolperfallen ==
tcpdump -n
+
* Ohne <tt>-n</tt> → langsame DNS-Lookups. 
 +
* Große Mitschnitte ohne <tt>-c</tt> / <tt>-G</tt> → sehr große Dateien. 
 +
* <tt>-s 0</tt> erzeugt große pcap-Dateien. 
 +
* Traffic auf <tt>lo</tt> nicht vergessen.
  
MAC-Adressen anzeigen
 
tcpdump -e
 
  
  
### Ausgabe steuern
+
== Mini-Spickzettel 🧾 ==
Mehr Details (Verbose)
+
* <tt>tcpdump -i eth0 -n</tt> – Basis-Mitschnitt 
tcpdump -v
+
* <tt>tcpdump -i any icmp</tt> – ICMP auf allen Interfaces 
tcpdump -vv
+
* <tt>tcpdump -w file.pcap</tt> – In Datei schreiben 
tcpdump -vvv
+
* <tt>tcpdump -r file.pcap</tt> – Datei lesen 
 +
* <tt>tcpdump tcp port 443</tt> – HTTPs / TCP-Traffic
 +
[[#top | oben]]
  
Nur Header, kein Payload
 
tcpdump -q
 
  
Paketinhalt anzeigen (ASCII / HEX)
+
= ping =
tcpdump -A      # ASCII
+
{| class="wikitable sortable"
tcpdump -X      # HEX + ASCII
+
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Einfacher Ping zu einer IP
 +
| <tt>ping 8.8.8.8</tt>
 +
| Sendet ICMP Echo Requests an die IP-Adresse 8.8.8.8, läuft unendlich, bis mit Ctrl+C gestoppt.
 +
|-
 +
| Ping mit begrenzter Anzahl von Paketen
 +
| <tt>ping -c 4 8.8.8.8</tt>
 +
| Sendet nur 4 Pakete und beendet automatisch.
 +
|-
 +
| Ping mit definierter Paketgröße
 +
| <tt>ping -s 100 8.8.8.8</tt>
 +
| Sendet Pakete mit 100 Bytes Payload.
 +
|-
 +
| Ping mit Timeout
 +
| <tt>ping -w 5 8.8.8.8</tt>
 +
| Beendet Ping nach 5 Sekunden.
 +
|-
 +
| Ping mit definierter Intervalldauer
 +
| <tt>ping -i 2 8.8.8.8</tt>
 +
| Sendet alle 2 Sekunden ein Paket.
 +
|-
 +
| Ping an einen Hostnamen
 +
| <tt>ping www.example.com</tt>
 +
| Löst den Hostnamen in eine IP-Adresse auf und pingt diese.
 +
|-
 +
| Ping nur einmal
 +
| <tt>ping -c 1 8.8.8.8</tt>
 +
| Sendet ein einzelnes Ping-Paket, praktisch für Skripte.
 +
|-
 +
| Ping über IPv6
 +
| <tt>ping6 google.com</tt>
 +
| Ping über IPv6-Adressen.
 +
|-
 +
| Ping ohne Namensauflösung
 +
| <tt>ping -n 8.8.8.8</tt>
 +
| Zeigt nur IP-Adressen, keine Hostnamen.
 +
|-
 +
| Ping im Quiet Mode
 +
| <tt>ping -q 8.8.8.8</tt>
 +
| Zeigt nur die Statistik am Ende.
 +
|-
 +
| Ping mit Zeitstempel
 +
| <tt>ping -D 8.8.8.8</tt>
 +
| Zeigt Zeitstempel für jedes Paket.
 +
|}
  
Paketlänge begrenzen (Snaplen)
 
tcpdump -s 96
 
  
 +
[[#top | oben]]
  
### Paketanzahl & Laufzeit
 
Anzahl begrenzen
 
tcpdump -c 100
 
  
Zeitstempel anzeigen
+
= termshark (Terminal Wireshark / TUI) =
tcpdump -tttt
 
  
 +
'''Hinweis:''' Termshark ist eine terminalbasierte Oberfläche für tshark. Es ermöglicht **Live-Captures, Filterung und Analyse** von Netzwerkpaketen ohne GUI. Ideal für Server oder SSH-Sessions. 
  
### Mitschnitt in Datei (pcap)
 
In Datei schreiben
 
tcpdump -w capture.pcap
 
  
Aus Datei lesen
 
tcpdump -r capture.pcap
 
  
Rotierende Dateien
+
== Installation ==
tcpdump -w dump.pcap -G 60 -W 10
+
{| class="wikitable sortable"
 +
! Plattform
 +
! Befehl
 +
|-
 +
| Debian / Ubuntu
 +
| <tt>sudo apt install termshark</tt>
 +
|-
 +
| macOS (Homebrew)
 +
| <tt>brew install termshark</tt>
 +
|-
 +
| Arch Linux
 +
| <tt>pacman -S termshark</tt>
 +
|-
 +
| Go-Installation (Universal)
 +
| <tt>go install github.com/gcla/termshark@latest</tt>
 +
|}
  
  
### Klassische Filter (BPF)
 
Nach Protokoll
 
tcpdump tcp
 
tcpdump udp
 
tcpdump icmp
 
tcpdump arp
 
  
Nach Host
+
== Starten von Termshark ==
tcpdump host 192.168.1.10
+
{| class="wikitable sortable"
tcpdump src host 192.168.1.10
+
! Zweck
tcpdump dst host 192.168.1.10
+
! Befehl / Option
 +
|-
 +
| Live Capture auf Interface
 +
| <tt>termshark -i eth0</tt>
 +
|-
 +
| Capture auf allen Interfaces anzeigen
 +
| <tt>termshark -D</tt>
 +
|-
 +
| Capture aus Datei lesen
 +
| <tt>termshark -r capture.pcap</tt>
 +
|-
 +
| Pakete während Capture speichern
 +
| <tt>termshark -i eth0 -w output.pcap</tt>
 +
|-
 +
| Capture mit BPF-Filter
 +
| <tt>termshark -i eth0 -f "tcp port 80"</tt>
 +
|-
 +
| Display-Filter beim Start (Wireshark-artig)
 +
| <tt>termshark -r file.pcap -Y "http"</tt>
 +
|}
  
Nach Port
 
tcpdump port 80
 
tcpdump tcp port 443
 
  
Nach Netz
 
tcpdump net 192.168.1.0/24
 
  
 +
== Display-Filter ==
 +
{| class="wikitable sortable"
 +
! Filter
 +
! Beispiel
 +
|-
 +
| TCP-Port
 +
| <tt>tcp.port == 443</tt>
 +
|-
 +
| IP-Adresse
 +
| <tt>ip.addr == 192.168.1.10</tt>
 +
|-
 +
| Protokoll
 +
| <tt>http</tt>, <tt>dns</tt>, <tt>icmp</tt>
 +
|-
 +
| Kombination
 +
| <tt>ip.src == 192.168.1.10 and tcp.port == 80</tt>
 +
|}
  
### Kombinierte Filter
+
*Shortcut zum Filtereingeben: <tt>/</tt>* 
AND / OR / NOT
+
*Filter löschen: <tt>Ctrl+L</tt>*
tcpdump tcp and port 22
 
tcpdump host 192.168.1.10 and not port 22
 
tcpdump tcp port 80 or port 443
 
  
  
### TCP-spezifische Filter
 
SYN-Pakete
 
tcpdump 'tcp[tcpflags] & tcp-syn != 0'
 
  
SYN ohne ACK (Verbindungsaufbau)
+
== Navigation & Paketansicht ==
tcpdump 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0'
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Shortcut / Methode
 +
|-
 +
| Pakete scrollen
 +
| <tt>↑ / ↓</tt>
 +
|-
 +
| Paketdetails aufklappen
 +
| <tt>Enter</tt>
 +
|-
 +
| Layer auf-/zuklappen
 +
| <tt>→ / ←</tt>
 +
|-
 +
| Zwischen Views wechseln
 +
| <tt>Tab</tt> (Packet List / Details / Bytes)
 +
|-
 +
| Payload als Hex/ASCII anzeigen
 +
| In Detailansicht
 +
|-
 +
| Feld kopieren
 +
| <tt>y</tt>
 +
|}
  
RST-Pakete
 
tcpdump 'tcp[tcpflags] & tcp-rst != 0'
 
  
  
### Typische Praxisbeispiele
+
== Suche ==
„Kommt Traffic an?“
+
{| class="wikitable sortable"
tcpdump -i eth0 -n icmp
+
! Aktion
 +
! Shortcut / Methode
 +
|-
 +
| Text / Pattern suchen
 +
| <tt>Ctrl+F</tt>
 +
|-
 +
| Nächste Übereinstimmung
 +
| <tt>n</tt>
 +
|-
 +
| Vorherige Übereinstimmung
 +
| <tt>Shift+n</tt>
 +
|}
  
HTTP-Traffic sehen
 
tcpdump -i eth0 -n tcp port 80
 
  
DNS-Abfragen debuggen
 
tcpdump -i eth0 -n udp port 53
 
  
ARP-Probleme analysieren
+
== Markieren & Sortieren ==
tcpdump -i eth0 -n -e arp
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Shortcut / Methode
 +
|-
 +
| Paket markieren
 +
| <tt>m</tt>
 +
|-
 +
| Markierungen löschen
 +
| <tt>Shift+M</tt>
 +
|-
 +
| Sortierung nach Spalte
 +
| Spaltenkopf / Pfeiltasten
 +
|}
  
  
### Performance & Sicherheit
 
Nur erste Pakete ansehen
 
tcpdump -c 20
 
  
Payload komplett mitschneiden
+
== Capture beenden ==
tcpdump -s 0
+
* <tt>q</tt> → Live Capture stoppen 
  
Root vermeiden (Capabilities)
 
sudo setcap cap_net_raw,cap_net_admin=eip $(which tcpdump)
 
  
  
### Häufige Stolperfallen
+
== Praxis-Beispiele ==
 +
{| class="wikitable sortable"
 +
! Zweck
 +
! Befehl
 +
|-
 +
| HTTP-Traffic live analysieren
 +
| <tt>termshark -i eth0 -f "tcp port 80"</tt>
 +
|-
 +
| DNS-Abfragen aus PCAP untersuchen
 +
| <tt>termshark -r capture.pcap -Y "dns"</tt>
 +
|-
 +
| Nur bestimmte IP filtern
 +
| <tt>termshark -i eth0 -Y "ip.addr == 192.168.1.10"</tt>
 +
|}
  
Ohne -n → langsame DNS-Lookups
 
  
Große Mitschnitte ohne -c / -G
 
  
-s 0 erzeugt sehr große Dateien
+
== Unterschiede zu Wireshark ==
 +
* Terminal-basiert, kein GUI 
 +
* Nutzt tshark als Engine 
 +
* Unterstützt alle Wireshark-Displayfilter 
 +
* Ideal für Server ohne GUI oder SSH-Sessions 
 +
* TCP/UDP-Reassembly, Copy Field, hierarchische Packet-Ansicht 
  
Traffic auf lo nicht vergessen
 
  
  
### Mini-Spickzettel 🧾
+
== Mini-Spickzettel ==
tcpdump -i eth0 -n
+
* <tt>termshark -i eth0</tt> – Live Capture 
tcpdump -i any icmp
+
* <tt>termshark -D</tt> – Interfaces anzeigen 
tcpdump -w file.pcap
+
* <tt>termshark -r file.pcap</tt> – PCAP öffnen 
tcpdump -r file.pcap
+
* <tt>termshark -i eth0 -w output.pcap</tt> – Mitschnitt speichern 
tcpdump tcp port 443
+
* <tt>termshark -i eth0 -f "tcp port 80"</tt> – BPF-Filter 
 +
* <tt>termshark -r file.pcap -Y "http"</tt> – Display-Filter 
 +
* Navigation: ↑↓, Enter, →/←, Tab 
 +
* Filter: /, Ctrl+L 
 +
* Suche: Ctrl+F, n / Shift+n 
 +
* Markieren: m / Shift+M 
 +
* Feld kopieren: y 
 +
* Beenden: q
 +
[[#top | oben]]
  
</pre>
 
  
=== termshark ===
+
= route (Routing) =
<pre>
 
Termshark ist im Grunde ein Terminal-basiertes Wireshark für Linux,
 
das auf tshark aufsetzt, aber mit einer interaktiven TUI (Text User Interface) arbeitet.
 
Damit kann man Netzwerkpakete live mitschneiden, filtern und analysieren,
 
ohne eine grafische Oberfläche zu brauchen.
 
  
 +
'''Hinweis:''' 
 +
* <tt>route</tt> ist die klassische Variante, noch in vielen Tutorials zu finden. 
 +
* <tt>ip route</tt> ist moderner, flexibler und unterstützt Features wie **Multipath-Routing** und **Policy Routing**. 
  
1️⃣ Starten von Termshark
 
Live Capture auf Interface
 
termshark -i eth0
 
  
 +
== Klassische route-Befehle ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Routing-Tabelle anzeigen
 +
| <tt>route -n</tt>
 +
| Zeigt alle Routen numerisch (ohne DNS-Auflösung).
 +
|-
 +
| Standardgateway setzen
 +
| <tt>sudo route add default gw 192.168.1.1</tt>
 +
| Setzt das Standardgateway für alle nicht lokal bekannten Ziele.
 +
|-
 +
| Standardgateway löschen
 +
| <tt>sudo route del default</tt>
 +
| Entfernt das Standardgateway.
 +
|-
 +
| Route zu einem Netzwerk hinzufügen
 +
| <tt>sudo route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.1</tt>
 +
| Fügt eine Route zu einem bestimmten Netzwerk hinzu.
 +
|-
 +
| Route zu einem Netzwerk löschen
 +
| <tt>sudo route del -net 10.0.0.0 netmask 255.255.255.0</tt>
 +
| Löscht eine Route zu einem bestimmten Netzwerk.
 +
|-
 +
| Route für ein Interface erzwingen
 +
| <tt>sudo route add -net 10.0.0.0 netmask 255.255.255.0 dev eth0</tt>
 +
| Leitet den Verkehr über ein bestimmtes Interface, ohne Gateway.
 +
|-
 +
| Temporäre Route entfernen (Interface)
 +
| <tt>sudo route del -net 10.0.0.0 netmask 255.255.255.0 dev eth0</tt>
 +
| Löscht die zuvor erstellte Route.
 +
|}
  
-i → Interface
 
  
Listet beim Start alle verfügbaren Interfaces auf, wenn keines angegeben ist.
 
  
Aus pcap-Datei öffnen
+
== Moderne Alternative: ip route ==
termshark -r capture.pcap
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Routing-Tabelle anzeigen
 +
| <tt>ip route show</tt>
 +
| Zeigt alle Routen.
 +
|-
 +
| Standardgateway setzen
 +
| <tt>sudo ip route add default via 192.168.1.1</tt>
 +
| Setzt das Standardgateway.
 +
|-
 +
| Standardgateway löschen
 +
| <tt>sudo ip route del default</tt>
 +
| Entfernt das Standardgateway.
 +
|-
 +
| Route zu einem Netzwerk hinzufügen
 +
| <tt>sudo ip route add 10.0.0.0/24 via 192.168.1.1</tt>
 +
| Fügt eine Route zu einem bestimmten Netzwerk hinzu.
 +
|-
 +
| Route zu einem Netzwerk löschen
 +
| <tt>sudo ip route del 10.0.0.0/24</tt>
 +
| Löscht eine Route zu einem bestimmten Netzwerk.
 +
|-
 +
| Route für ein Interface erzwingen
 +
| <tt>sudo ip route add 10.0.0.0/24 dev eth0</tt>
 +
| Verkehr über ein bestimmtes Interface ohne Gateway.
 +
|-
 +
| Temporäre Route entfernen (Interface)
 +
| <tt>sudo ip route del 10.0.0.0/24 dev eth0</tt>
 +
| Löscht die zuvor erstellte Route.
 +
|}
  
 +
[[#top | oben]]
  
-r → read from file
 
  
2️⃣ Interface-Auswahl & Optionen
+
= netstat =
Liste der Interfaces anzeigen
+
<pre>
termshark -D
+
netstat (Network Statistics) ist ein klassisches Linux-Tool, um Netzwerkverbindungen, Routing-Tabellen, offene Ports und Netzwerkstatistiken anzuzeigen. Es ist praktisch, um zu sehen, welche Programme mit dem Netzwerk kommunizieren und welche Ports offen sind. In modernen Linux-Distributionen wird es teilweise durch ss ersetzt, aber netstat ist immer noch weit verbreitet.
  
Capture mit BPF-Filter
+
</pre>
termshark -i eth0 -f "tcp port 80"
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Offene TCP/UDP-Ports anzeigen
 +
| <tt>netstat -tuln</tt>
 +
| Zeigt alle offenen TCP/UDP-Ports numerisch an.
 +
|-
 +
| Alle Verbindungen inklusive Prozess anzeigen
 +
| <tt>netstat -anp</tt>
 +
| Zeigt alle Verbindungen und die zugehörigen Prozesse (PID/Name).
 +
|-
 +
| Routing-Tabelle anzeigen
 +
| <tt>netstat -r</tt>
 +
| Zeigt die aktuelle Routing-Tabelle.
 +
|-
 +
| Netzwerkschnittstellenstatistiken
 +
| <tt>netstat -i</tt>
 +
| Zeigt Informationen zu allen Netzwerkinterfaces.
 +
|}
 +
[[#top | oben]]
  
  
-f → BPF-Filter (wie bei tcpdump)
+
= nmap =
 +
<pre>
  
Capture nur bestimmte Pakete speichern
+
nmap (Network Mapper) ist ein mächtiges Tool zur Netzwerkerkundung und Sicherheitsüberprüfung. Mit nmap kannst du Hosts in einem Netzwerk scannen, offene Ports finden, Betriebssysteme erkennen und Dienste identifizieren. Es wird häufig in Netzwerksicherheit und Troubleshooting eingesetzt.
termshark -i eth0 -w output.pcap
 
  
 +
</pre>
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Einzelnen Host scannen
 +
| <tt>nmap 192.168.1.1</tt>
 +
| Scan eines Hosts auf Standardports.
 +
|-
 +
| SYN-Scan eines gesamten Netzwerks
 +
| <tt>nmap -sS 192.168.1.0/24</tt>
 +
| Erkundet alle Hosts im Subnetz per SYN-Scan.
 +
|-
 +
| Bestimmte Ports scannen
 +
| <tt>nmap -p 22,80 192.168.1.1</tt>
 +
| Prüft nur bestimmte Ports auf einem Host.
 +
|-
 +
| Betriebssystemerkennung
 +
| <tt>nmap -O 192.168.1.1</tt>
 +
| Versucht, das Betriebssystem des Hosts zu erkennen.
 +
|}
 +
[[#top | oben]]
  
-w → write to file
 
  
3️⃣ Navigation im Interface
+
= dhclient =
 +
<pre>
  
Pfeiltasten ↑↓ → durch Pakete scrollen
+
dhclient ist der DHCP-Client unter Linux. Es wird genutzt, um IP-Adressen automatisch von einem DHCP-Server zu beziehen oder eine bestehende IP-Konfiguration zu erneuern. Praktisch bei mobilen Geräten, Notebooks oder dynamischen Netzwerken.
  
Enter → Details eines Pakets aufklappen
 
  
Tab → zwischen Packet List / Packet Details / Packet Bytes wechseln
+
</pre>
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Neue IP-Adresse anfordern
 +
| <tt>sudo dhclient</tt>
 +
| Holt eine neue IP-Adresse für alle Schnittstellen.
 +
|-
 +
| IP-Adresse freigeben
 +
| <tt>sudo dhclient -r</tt>
 +
| Gibt die aktuelle IP-Adresse frei.
 +
|-
 +
| IP-Adresse für spezifische Schnittstelle anfordern
 +
| <tt>sudo dhclient eth0</tt>
 +
| Holt eine neue IP-Adresse für die Schnittstelle eth0.
 +
|-
 +
| DHCP-Client im verbose-Modus starten
 +
| <tt>sudo dhclient -v</tt>
 +
| Zeigt detaillierte Informationen während der DHCP-Anfrage.
 +
|}
 +
[[#top | oben]]
  
q → beenden
+
= traceroute (Netzwerkpfad verfolgen) =
  
4️⃣ Filtern
+
'''Hinweis:''' traceroute zeigt die Route von deinem Rechner zu einem Zielhost und alle Hops dazwischen. Standardmäßig werden ICMP oder UDP-Pakete genutzt (abhängig vom System).
Display-Filter
 
  
Funktioniert wie Wireshark (nicht BPF)
 
  
tcp.port == 443
+
== Grundbefehle ==
ip.addr == 192.168.1.10
+
{| class="wikitable sortable"
http
+
! Zweck
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Einfacher Traceroute
 +
| <tt>traceroute 8.8.8.8</tt>
 +
| Zeigt alle Hops zu 8.8.8.8.
 +
|-
 +
| Traceroute zu einem Hostnamen
 +
| <tt>traceroute www.example.com</tt>
 +
| Löst den Hostnamen in IP auf und zeigt den Pfad.
 +
|-
 +
| Traceroute über IPv6
 +
| <tt>traceroute6 google.com</tt>
 +
| Verwendet IPv6-Adressen.
 +
|-
 +
| Traceroute über ICMP statt UDP
 +
| <tt>traceroute -I 8.8.8.8</tt>
 +
| Nutzt ICMP Echo Requests, hilfreich bei UDP-Blockaden.
 +
|-
 +
| Traceroute mit Angabe eines bestimmten Ports
 +
| <tt>traceroute -p 443 www.example.com</tt>
 +
| Sendet Pakete an Port 443 (TCP), nützlich bei ICMP-Blockaden.
 +
|}
  
  
Tastenkombination: / → Filter eingeben
+
== Optionen ==
 +
{| class="wikitable sortable"
 +
! Option
 +
! Beschreibung
 +
! Beispiel
 +
|-
 +
| <tt>-m <maxHops></tt>
 +
| Maximale Anzahl von Hops anzeigen (Standard: 30)
 +
| <tt>traceroute -m 10 8.8.8.8</tt>
 +
|-
 +
| <tt>-q <n></tt>
 +
| Anzahl Pakete pro Hop (Standard: 3)
 +
| <tt>traceroute -q 1 8.8.8.8</tt>
 +
|-
 +
| <tt>-w <Sekunden></tt>
 +
| Timeout pro Hop (in Sekunden)
 +
| <tt>traceroute -w 2 8.8.8.8</tt>
 +
|-
 +
| <tt>-n</tt>
 +
| Zeigt IP-Adressen numerisch, kein DNS-Lookup
 +
| <tt>traceroute -n 8.8.8.8</tt>
 +
|-
 +
| <tt>-f <StartTTL></tt>
 +
| Start-Hops niedriger setzen (z. B. lokale Netze)
 +
| <tt>traceroute -f 3 8.8.8.8</tt>
 +
|-
 +
| <tt>-A</tt>
 +
| AS-Nummern (Autonomous System) anzeigen, wenn verfügbar
 +
| <tt>traceroute -A 8.8.8.8</tt>
 +
|}
  
Filter kann live angepasst werden
 
  
Filter löschen
+
[[#top | oben]]
  
Ctrl+L → Clear Filter
 
  
5️⃣ Paket-Detailansicht
+
=== Traceroute-Befehle ===
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Einfacher Traceroute zu einer IP
 +
| <tt>traceroute 8.8.8.8</tt>
 +
| Zeigt alle Hops von deinem Rechner zu 8.8.8.8.
 +
|-
 +
| Traceroute zu einem Hostnamen
 +
| <tt>traceroute www.example.com</tt>
 +
| Löst den Hostnamen in eine IP-Adresse auf und zeigt den Pfad.
 +
|-
 +
| Maximale Anzahl von Hops begrenzen
 +
| <tt>traceroute -m 10 8.8.8.8</tt>
 +
| Zeigt maximal 10 Hops statt Standard 30.
 +
|-
 +
| Weniger Pakete pro Hop senden
 +
| <tt>traceroute -q 1 8.8.8.8</tt>
 +
| Sendet nur 1 Paket pro Hop (statt 3), spart Zeit.
 +
|-
 +
| Timeout pro Hop festlegen
 +
| <tt>traceroute -w 2 8.8.8.8</tt>
 +
| Wartet maximal 2 Sekunden auf Antwort pro Hop.
 +
|-
 +
| ICMP statt UDP verwenden
 +
| <tt>traceroute -I 8.8.8.8</tt>
 +
| Nutzt ICMP Echo Requests, wenn UDP blockiert ist.
 +
|-
 +
| Traceroute über IPv6
 +
| <tt>traceroute6 google.com</tt>
 +
| Zeigt den Pfad zu einem Host über IPv6.
 +
|-
 +
| Traceroute zu bestimmtem Port
 +
| <tt>traceroute -p 443 www.example.com</tt>
 +
| Sendet Pakete an Port 443, nützlich bei Firewalls.
 +
|-
 +
| IP-Adressen numerisch anzeigen
 +
| <tt>traceroute -n 8.8.8.8</tt>
 +
| Keine DNS-Auflösung, nur IP-Adressen anzeigen.
 +
|}
  
Enter auf Paket → Details aufklappen
+
[[#top | oben]]
  
Pfeil rechts/links → Layer auf-/zuklappen
 
  
Hexdump Payload anzeigen
+
= arp (IP MAC) =
  
Copy Field → Tastenkombination y → kopiert ausgewähltes Feld
+
'''Hinweis:''' ARP übersetzt IP-Adressen in MAC-Adressen. Klassischer ARP-Befehl ist deprecated, der moderne Ersatz ist <tt>ip neigh</tt>. 
  
6️⃣ Speichern & Exportieren
 
  
Pcap speichern während Capture → -w filename.pcap
+
== Klassischer ARP-Befehl ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| ARP-Tabelle anzeigen
 +
| <tt>arp</tt> / <tt>arp -n</tt>
 +
| Zeigt ARP-Einträge an; <tt>-n</tt> ohne Namensauflösung.
 +
|-
 +
| ARP-Eintrag hinzufügen
 +
| <tt>arp -s 192.168.1.10 aa:bb:cc:dd:ee:ff</tt>
 +
| Fügt statischen ARP-Eintrag hinzu.
 +
|-
 +
| ARP-Eintrag löschen
 +
| <tt>arp -d 192.168.1.10</tt>
 +
| Entfernt Eintrag aus der Tabelle.
 +
|-
 +
| Bestimmtes Interface nutzen
 +
| <tt>arp -i eth0</tt>
 +
| Zeigt ARP-Einträge nur für das angegebene Interface.
 +
|}
  
Export Packet Bytes / Fields → im Menü möglich
 
  
7️⃣ Suchen
+
== Moderner Ersatz: ip neigh (empfohlen) ==
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Nachbarn (ARP / NDP) anzeigen
 +
| <tt>ip neigh show</tt> / <tt>ip n</tt>
 +
| Zeigt ARP- bzw. Neighbor-Einträge.
 +
|-
 +
| ARP-Eintrag hinzufügen
 +
| <tt>ip neigh add 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0</tt>
 +
| Fügt statischen ARP-Eintrag hinzu.
 +
|-
 +
| ARP-Eintrag ändern
 +
| <tt>ip neigh replace 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0</tt>
 +
| Ändert vorhandenen ARP-Eintrag.
 +
|-
 +
| ARP-Eintrag löschen
 +
| <tt>ip neigh del 192.168.1.10 dev eth0</tt>
 +
| Löscht ARP-Eintrag.
 +
|-
 +
| ARP-Cache leeren
 +
| <tt>ip neigh flush all</tt>
 +
| Löscht alle dynamischen ARP-Einträge.
 +
|}
  
Suchen nach Text/Byte-Mustern → Ctrl+F
 
  
Beispiel: alle Pakete mit HTTP/1.1 im Payload finden
+
== ARP-Pakete aktiv senden: arping ==
 +
{| class="wikitable sortable"
 +
! Zweck
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Erreichbarkeit prüfen (Layer 2)
 +
| <tt>arping 192.168.1.1</tt>
 +
| Prüft, ob Host erreichbar ist.
 +
|-
 +
| Interface festlegen
 +
| <tt>arping -I eth0 192.168.1.1</tt>
 +
| Nutzt bestimmtes Interface.
 +
|-
 +
| Gratuitous ARP senden
 +
| <tt>arping -U 192.168.1.10</tt>
 +
| Sendet ARP-Ankündigung (z. B. für IP-Konflikte / Updates).
 +
|}
  
8️⃣ Sortierung & Markierung
 
  
Pakete können nach Spalten sortiert werden (Src, Dst, Protocol)
+
== Netzwerk-Diagnose & Analyse ==
 +
{| class="wikitable sortable"
 +
! Zweck
 +
! Befehl
 +
|-
 +
| ARP-Traffic mitschneiden
 +
| <tt>tcpdump -n -e arp</tt>
 +
|-
 +
| ARP-Tabelle über /proc anzeigen
 +
| <tt>cat /proc/net/arp</tt>
 +
|}
  
Markieren für spätere Analyse → m
 
  
Clear Marks → Shift+M
+
== Typische ARP-Statuswerte (ip neigh) ==
 +
{| class="wikitable sortable"
 +
! Status
 +
! Bedeutung
 +
|-
 +
| REACHABLE
 +
| Host erreichbar
 +
|-
 +
| STALE
 +
| Eintrag alt, wird geprüft
 +
|-
 +
| DELAY
 +
| Prüfung geplant
 +
|-
 +
| INCOMPLETE
 +
| ARP-Antwort fehlt
 +
|-
 +
| FAILED
 +
| ARP fehlgeschlagen
 +
|-
 +
| PERMANENT
 +
| Statischer Eintrag
 +
|}
  
9️⃣ Typische Praxis-Beispiele
+
[[#top | oben]]
HTTP-Traffic live analysieren
 
termshark -i eth0 -f "tcp port 80"
 
  
DNS-Abfragen aus PCAP untersuchen
 
termshark -r capture.pcap -Y "dns"
 
  
Nur bestimmte IPs filtern
+
= ethtool =
termshark -i eth0 -Y "ip.addr == 192.168.1.10"
+
<pre>
 +
Kommando              Funktion
 +
ethtool eth0           Status und Einstellungen auf der
 +
                      Bitüberragungsschicht ausgeben
  
🔟 Nützliche Shortcuts (TUI)
+
ethtool -P eth0        MAC-Adresse ausgeben
Shortcut Funktion
 
↑↓ Scroll Pakete
 
Enter Paketdetails aufklappen
 
Tab Zwischen Views wechseln
 
/ Display-Filter eingeben
 
Ctrl+F Suchen
 
Ctrl+L Filter löschen
 
m Paket markieren
 
y Feld kopieren
 
q Beenden
 
10️⃣ Unterschiede zu Wireshark
 
  
Terminal-basiert, kein GUI
+
ethtool -S eth0        Statistische Daten ausgeben
  
Nutzt Tshark als Engine
+
ethtool -i eth0        Informationen zu Treiber und Firmware
  
Unterstützt alle Wireshark-Displayfilter
+
ethtool -p eth0        LED blinken lassen
 +
</pre>
  
Ideal für Server ohne GUI oder SSH-Sessions
+
[[#top | oben]]
  
</pre>
 
  
=== arp ===
+
= iftop =
 
<pre>
 
<pre>
Übersetzt IP-Adressen in MAC-Adressen
+
Überwachung des Datenverkehrs in Echtzeit
  
### Klassischer ARP-Befehl (arp)
+
iftop -i eth0
    Teil des Pakets net-tools (gilt als deprecated, aber oft noch installiert)
+
</pre>
  
ARP-Tabelle anzeigen
+
[[#top | oben]]
arp
 
arp -n    //-n → keine Namensauflösung (schneller, übersichtlicher)
 
  
ARP-Eintrag hinzufügen
 
arp -s 192.168.1.10 aa:bb:cc:dd:ee:ff
 
  
ARP-Eintrag löschen
+
= dig =
arp -d 192.168.1.10
+
<pre>
 +
dig (Domain Information Groper) ist ein Linux-Tool zur DNS-Abfrage. Mit dig kannst du herausfinden, welche IP-Adresse zu einem Hostnamen gehört, welche Nameserver antworten, oder detaillierte DNS-Records (A, AAAA, MX, TXT, etc.) prüfen. Es ist eines der wichtigsten Tools für Netzwerkdiagnosen, wenn es um Namensauflösung geht.
  
Bestimmtes Interface nutzen
 
arp -i eth0
 
  
 +
</pre>
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Standard-DNS-Abfrage (A-Record)
 +
| <tt>dig example.com</tt>
 +
| Zeigt die IP-Adresse(n) eines Hostnamens.
 +
|-
 +
| MX-Record prüfen
 +
| <tt>dig example.com MX</tt>
 +
| Zeigt die Mailserver für die Domain.
 +
|-
 +
| Kompakte Ausgabe (nur IP)
 +
| <tt>dig +short example.com</tt>
 +
| Zeigt nur die IP(s) ohne zusätzliche Informationen.
 +
|-
 +
| DNS-Abfrage über spezifischen Server
 +
| <tt>dig @8.8.8.8 example.com</tt>
 +
| Fragt den Hostnamen über den DNS-Server 8.8.8.8 ab.
 +
|}
  
### Moderner Ersatz: ip neigh (empfohlen)
+
[[#top | oben]]
    Teil von iproute2 – heute Standard auf Linux
 
  
Nachbarn (ARP / NDP) anzeigen
 
ip neigh show  oder kurz: ip n
 
  
ARP-Eintrag hinzufügen
+
= ftp =
ip neigh add 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0
+
<pre>
 +
ftp ist das klassische Linux-Tool für Dateiübertragungen über das FTP-Protokoll. Es ermöglicht das Hoch- und Runterladen von Dateien zu/von einem FTP-Server. Heute wird es wegen Sicherheitsrisiken oft durch sftp oder scp ersetzt, aber für Legacy-Systeme ist ftp noch relevant.
  
ARP-Eintrag ändern
 
ip neigh replace 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0
 
  
ARP-Eintrag löschen
+
</pre>
ip neigh del 192.168.1.10 dev eth0
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Verbindung zu FTP-Server
 +
| <tt>ftp ftp.example.com</tt>
 +
| Stellt eine Verbindung zum FTP-Server her.
 +
|-
 +
| Datei herunterladen
 +
| <tt>get datei.txt</tt>
 +
| Lädt eine Datei vom FTP-Server herunter.
 +
|-
 +
| Datei hochladen
 +
| <tt>put datei.txt</tt>
 +
| Lädt eine Datei auf den FTP-Server hoch.
 +
|-
 +
| Verzeichnis auflisten
 +
| <tt>ls</tt>
 +
| Listet Dateien im aktuellen Server-Verzeichnis auf.
 +
|-
 +
| Benutzerlogin
 +
| <tt>login</tt>
 +
| Meldet sich mit Benutzername und Passwort am Server an.
 +
|}
 +
[[#top | oben]]
  
ARP-Cache leeren
 
ip neigh flush all
 
  
 +
= nc (netcat) =
 +
<pre>
 +
nc (netcat) ist ein universelles Tool für TCP/UDP-Verbindungen. Es kann verwendet werden, um Ports zu scannen, als einfacher TCP/Server oder Client zu fungieren, Daten zu übertragen oder Netzwerkprobleme zu debuggen. Oft als „Schweizer Taschenmesser für Netzwerke“ bezeichnet.
  
### ARP-Pakete aktiv senden: arping
+
</pre>
    Sehr nützlich für Tests und Fehlersuche
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Prüft, ob ein Port offen ist
 +
| <tt>nc -zv 192.168.1.1 22</tt>
 +
| Prüft, ob Port 22 auf 192.168.1.1 erreichbar ist.
 +
|-
 +
| TCP-Server starten
 +
| <tt>nc -l 1234</tt>
 +
| Startet einen TCP-Server auf Port 1234.
 +
|-
 +
| Mit TCP-Server verbinden
 +
| <tt>nc 192.168.1.2 1234</tt>
 +
| Verbindet sich zu einem TCP-Server auf Port 1234.
 +
|-
 +
| Text an Server senden
 +
| <tt>echo "Hallo" | nc 192.168.1.2 1234</tt>
 +
| Sendet Text an einen TCP-Server.
 +
|}
 +
[[#top | oben]]
  
Erreichbarkeit prüfen (Layer 2)
+
= netperf =
arping 192.168.1.1
+
<pre>
 +
netperf ist ein Tool zur Netzwerkperformancemessung. Es wird genutzt, um Durchsatz (Throughput), Latenzzeiten und TCP/UDP-Performance zwischen zwei Hosts zu messen. Meist wird netperf zusammen mit einem Server (netserver) betrieben: ein Host läuft als Server, der andere als Client.
  
Interface festlegen
+
</pre>
arping -I eth0 192.168.1.1
+
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Netperf-Server starten
 +
| <tt>netserver</tt>
 +
| Startet den netperf-Server auf einem Host.
 +
|-
 +
| TCP-Performance messen
 +
| <tt>netperf -H 192.168.1.2</tt>
 +
| Misst TCP-Durchsatz zum Host.
 +
|-
 +
| UDP-Durchsatz messen
 +
| <tt>netperf -H 192.168.1.2 -t UDP_STREAM</tt>
 +
| Misst UDP-Stream Performance.
 +
|-
 +
| TCP-Request/Response-Latenz messen
 +
| <tt>netperf -H 192.168.1.2 -t TCP_RR</tt>
 +
| Misst Latenz von TCP-Requests.
 +
|}
 +
[[#top | oben]]
  
Gratuitous ARP senden
 
arping -U 192.168.1.10
 
  
 +
= nslookup =
 +
<pre>
 +
nslookup ist ein klassisches Linux-Tool zur DNS-Abfrage, ähnlich wie dig. Es wird genutzt, um die IP-Adresse eines Hostnamens zu ermitteln, DNS-Server zu testen oder die DNS-Konfiguration zu überprüfen. Anders als dig bietet nslookup einen interaktiven Modus, in dem mehrere Abfragen nacheinander ausgeführt werden können.
  
### Netzwerk-Diagnose & Analyse
+
</pre>
ARP-Traffic mitschneiden
+
{| class="wikitable sortable"
tcpdump -n -e arp
+
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Standard-DNS-Abfrage
 +
| <tt>nslookup example.com</tt>
 +
| Zeigt die IP-Adresse(n) eines Hostnamens.
 +
|-
 +
| Interaktiver Modus starten
 +
| <tt>nslookup</tt>
 +
| Startet den interaktiven Modus für mehrere Abfragen.
 +
|-
 +
| DNS-Abfrage über spezifischen Server
 +
| <tt>nslookup example.com 8.8.8.8</tt>
 +
| Fragt den Hostnamen über den DNS-Server 8.8.8.8 ab.
 +
|-
 +
| MX-Record im interaktiven Modus
 +
| <tt>set type=MX</tt>
 +
| Stellt Abfrage auf MX-Record um.
 +
|}
 +
[[#top | oben]]
  
ARP-Tabelle über /proc anzeigen
 
cat /proc/net/arp
 
  
 +
= ssh =
 +
<pre>
 +
ssh (Secure Shell) ist das Standardtool, um verschlüsselte Remote-Verbindungen zu Linux-Servern herzustellen. Es wird genutzt, um auf entfernte Systeme zuzugreifen, Befehle auszuführen oder sichere Tunnel (Port-Forwarding) einzurichten. SSH ersetzt fast vollständig alte unsichere Tools wie rlogin oder telnet für Remote-Administration.
  
### Typische ARP-Statuswerte (bei ip neigh)
+
</pre>
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Verbindung zum Host herstellen
 +
| <tt>ssh user@host</tt>
 +
| Stellt eine verschlüsselte Verbindung zum Remote-Host her.
 +
|-
 +
| Verbindung über spezifischen Port
 +
| <tt>ssh -p 2222 user@host</tt>
 +
| Verbindung über Port 2222 herstellen.
 +
|-
 +
| Verbindung mit privatem Schlüssel
 +
| <tt>ssh -i keyfile.pem user@host</tt>
 +
| Verbindet sich unter Nutzung eines privaten SSH-Schlüssels.
 +
|-
 +
| Lokales Port-Forwarding
 +
| <tt>ssh -L 8080:localhost:80 user@host</tt>
 +
| Leitet lokalen Port 8080 auf Port 80 des Hosts weiter.
 +
|}
  
Status         Bedeutung
+
== ssh und VPN-Tunnel ==
REACHABLE Host erreichbar
 
STALE         Eintrag alt, wird geprüft
 
DELAY         Prüfung geplant
 
INCOMPLETE ARP-Antwort fehlt
 
FAILED         ARP fehlgeschlagen
 
PERMANENT Statischer Eintrag
 
 
<pre>
 
<pre>
 +
!!!
 +
- Putty vom DC öffnen um Tunnel zu bekommen
 +
- normales Putty (nicht im Putty vom DC) öffnen und ssh-Kommando eingeben
 +
- in der DCmou Link anklicken
  
 +
# um auf den Router zu kommen:
 +
(1)
 +
ssh -l <user> -L 10443:<VPN Tunnel>:443 <DC IP-Adresse>
  
=== ethtool ===
+
user: aus DCmou
<pre>
+
PW: auch aus DCmou
Kommando              Funktion
+
VPN-Tunnel: grüne Kugel
ethtool eth0          Status und Einstellungen auf der
+
DC IP-Adresse: aus DCmou
                      Bitüberragungsschicht ausgeben
 
  
ethtool -P eth0        MAC-Adresse ausgeben
 
  
ethtool -S eth0        Statistische Daten ausgeben
+
(2)
 +
ssh <user>@<DC IP-Adresse> -L 10443:<VPN Tunnel>:443
  
ethtool -i eth0        Informationen zu Treiber und Firmware
+
Bsp.:
 +
ssh gpjs5@172.30.0.1 -L 10443:172.30.1.58:443
  
ethtool -p eth0        LED blinken lassen
+
DC5
 +
ssh root@159.69.202.215 -L 10443:172.27.6.170:443
 
</pre>
 
</pre>
 +
[[#top | oben]]
  
=== iftop ===
+
= telnet =
 
<pre>
 
<pre>
Überwachung des Datenverkehrs in Echtzeit
+
telnet ist ein älteres Tool, um unsichere Textverbindungen zu einem Server herzustellen. Heutzutage wird es fast nur noch zu Testzwecken genutzt, zum Beispiel um zu prüfen, ob ein Port erreichbar ist. Für sichere Remote-Verbindungen wird ssh verwendet.
  
iftop -i eth0
 
 
</pre>
 
</pre>
 +
{| class="wikitable sortable"
 +
! Aktion
 +
! Befehl
 +
! Beschreibung
 +
|-
 +
| Verbindung zu Host auf Port 23
 +
| <tt>telnet host 23</tt>
 +
| Stellt eine Verbindung zum Telnet-Server her.
 +
|-
 +
| Verbindung zu Host auf beliebigem Port
 +
| <tt>open host port</tt>
 +
| Verbindet im Telnet-Client zu einem bestimmten Port.
 +
|-
 +
| Telnet-Sitzung beenden
 +
| <tt>quit</tt>
 +
| Beendet die Telnet-Verbindung.
 +
|}
 +
[[#top | oben]]

Latest revision as of 09:28, 16 January 2026

Contents

ip (iproute2)[edit]

Hinweis: Der Befehl ip ersetzt alte Tools wie ifconfig, route, arp & Co. und unterstützt sowohl IPv4 als auch IPv6. Änderungen sind **nicht persistent** – für dauerhafte Konfigurationen z. B. NetworkManager, systemd-networkd oder /etc/network/interfaces nutzen.

Allgemeine Syntax[edit]

ip [OPTIONEN] OBJEKT BEFEHL

Typische Objekte:

  • addr (a) → IP-Adressen
  • link (l) → Interfaces
  • route (r) → Routing
  • neigh (n) → ARP / Neighbor
  • rule → Policy Routing


Interfaces (Link-Ebene)[edit]

Aktion Befehl Beschreibung
Alle Interfaces anzeigen ip link show
ip l 		Zeigt alle Netzwerkinterfaces.
Einzelnes Interface anzeigen ip link show eth0 Details zu einem Interface.
Interface aktivieren / deaktivieren ip link set eth0 up
ip link set eth0 down 		Interface hoch- oder runterfahren.
MTU setzen ip link set eth0 mtu 1500 Maximum Transmission Unit ändern.
MAC-Adresse ändern ip link set eth0 address aa:bb:cc:dd:ee:ff MAC-Adresse anpassen.


IP-Adressen (Layer 3)[edit]

Aktion Befehl Beschreibung
IP-Adressen anzeigen ip addr show
ip a 		Zeigt alle IP-Adressen eines Hosts.
IP-Adresse hinzufügen ip addr add 192.168.1.10/24 dev eth0 Neue IP-Adresse einem Interface zuweisen.
IP-Adresse löschen ip addr del 192.168.1.10/24 dev eth0 IP-Adresse entfernen.
Nur IPv4 / IPv6 ip -4 addr
ip -6 addr 		Filtert nach IP-Version.


Routing[edit]

Aktion Befehl Beschreibung
Routing-Tabelle anzeigen ip route show
ip r 		Zeigt alle Routen.
Default-Gateway setzen ip route add default via 192.168.1.1 Standard-Gateway festlegen.
Route zu Netzwerk hinzufügen ip route add 10.0.0.0/24 via 192.168.1.254 Neue Route eintragen.
Route löschen ip route del 10.0.0.0/24 Route entfernen.


ARP / Neighbor-Tabelle[edit]

Aktion Befehl Beschreibung
Nachbarn anzeigen ip neigh show
ip n 		Zeigt ARP / Neighbor-Tabelle.
ARP-Eintrag hinzufügen ip neigh add 192.168.1.20 lladdr aa:bb:cc:dd:ee:ff dev eth0 Statischen ARP-Eintrag setzen.
ARP-Eintrag löschen ip neigh del 192.168.1.20 dev eth0 ARP-Eintrag entfernen.
ARP-Cache leeren ip neigh flush all Alle Einträge löschen.


Policy Routing[edit]

Aktion Befehl Beschreibung
Routing-Regeln anzeigen ip rule show Zeigt Policy Routing Regeln.
Regel hinzufügen ip rule add from 192.168.2.0/24 table 100 Neue Regel definieren.
Tabelle anzeigen ip route show table 100 Routen der Tabelle 100 anzeigen.


Netzwerk-Namespaces[edit]

Aktion Befehl Beschreibung
Namespaces anzeigen ip netns list Alle vorhandenen Network Namespaces.
Namespace erstellen ip netns add testns Neuen Namespace erstellen.
Befehl im Namespace ausführen ip netns exec testns ip addr IP-Adressen innerhalb eines Namespace prüfen.


Monitoring & Debugging[edit]

Aktion Befehl Beschreibung
Link-Status live beobachten ip monitor Zeigt alle Änderungen in Echtzeit.
Nur Adress-Änderungen beobachten ip monitor addr Live-Überwachung von IP-Adressen.


Häufige Kurzformen[edit]

Langform Kurz
ip addr ip a
ip link ip l
ip route ip r
ip neigh ip n


Vergleich zu alten Befehlen[edit]

Alt Neu
ifconfig ip addr, ip link
route ip route
arp ip neigh
brctl ip link


Mini-Spickzettel[edit]

  • ip a – Adressen
  • ip l – Interfaces
  • ip r – Routing
  • ip n – ARP / Neighbor
  • ip monitor – Live-Events

oben


ifconfig (Legacy: net-tools)[edit]

Hinweis: ifconfig gehört zum veralteten Paket net-tools. Es wird durch ip (iproute2) ersetzt. Änderungen sind **nicht persistent** – gelten nur bis zum Neustart oder Interface-Reset.

Interfaces anzeigen[edit]

Aktion Befehl Beschreibung
Alle aktiven Interfaces ifconfig Zeigt alle aktuell aktiven Netzwerkinterfaces.
Alle Interfaces (auch inaktive) ifconfig -a Zeigt alle Interfaces, inklusive inaktiver.
Einzelnes Interface anzeigen ifconfig eth0 Zeigt Details zu einem Interface.


Interface aktivieren / deaktivieren[edit]

Aktion Befehl Beschreibung
Aktivieren ifconfig eth0 up Interface hochfahren.
Deaktivieren ifconfig eth0 down Interface herunterfahren.


IP-Adresse setzen (IPv4)[edit]

Aktion Befehl Beschreibung
IP-Adresse zuweisen ifconfig eth0 192.168.1.10 IPv4-Adresse einem Interface zuweisen.
IP-Adresse mit Netzmaske ifconfig eth0 192.168.1.10 netmask 255.255.255.0 IP mit Subnetzmaske konfigurieren.
IP-Adresse mit Broadcast ifconfig eth0 192.168.1.10 netmask 255.255.255.0 broadcast 192.168.1.255 Zusätzlich Broadcast-Adresse setzen.


MAC-Adresse ändern[edit]

Aktion Befehl Beschreibung
MAC-Adresse setzen ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff MAC-Adresse ändern (Interface ggf. vorher down setzen).


MTU setzen[edit]

Aktion Befehl Beschreibung
MTU konfigurieren ifconfig eth0 mtu 1500 Maximum Transmission Unit anpassen.


Promiscuous Mode[edit]

Aktion Befehl Beschreibung
Aktivieren ifconfig eth0 promisc Promiscuous Mode einschalten.
Deaktivieren ifconfig eth0 -promisc Promiscuous Mode ausschalten.


Statistik anzeigen[edit]

Aktion Befehl Beschreibung
Statistik eines Interfaces ifconfig eth0 Zeigt Pakete, Fehler, Bytes etc. an.


Loopback konfigurieren[edit]

Aktion Befehl Beschreibung
Loopback aktivieren ifconfig lo 127.0.0.1 up Loopback-Interface hochfahren (selten nötig).


Moderne Entsprechung (iproute2)[edit]

ifconfig ip
ifconfig ip addr show
ifconfig -a ip link show
ifconfig eth0 up ip link set eth0 up
ifconfig eth0 down ip link set eth0 down
ifconfig eth0 192.168.1.10 ip addr add 192.168.1.10/24 dev eth0
ifconfig eth0 mtu 1500 ip link set eth0 mtu 1500


Empfehlung[edit]

  • Nur lesen / Legacy: ifconfig
  • Aktiv konfigurieren: ip
  • Skripte neu schreiben: iproute2

oben


tcpdump (Paketmitschnitt)[edit]

Hinweis: tcpdump ist das Standardwerkzeug zur Analyse von Netzwerkpaketen. Änderungen am System sind nicht notwendig; root oder entsprechende Capabilities können erforderlich sein.

Grundsyntax[edit]

tcpdump [OPTIONEN] [FILTER]


Interfaces & Basisoptionen[edit]

Aktion Befehl Beschreibung
Verfügbare Interfaces anzeigen tcpdump -D Listet alle verfügbaren Interfaces.
Auf bestimmtem Interface mitschneiden tcpdump -i eth0 Pakete nur auf eth0 erfassen.
Alle Interfaces (Linux) tcpdump -i any Pakete auf allen Interfaces erfassen.
Ohne Namensauflösung (empfohlen) tcpdump -n Zeigt IPs numerisch an, kein DNS.
MAC-Adressen anzeigen tcpdump -e Zeigt Ethernet-Header mit MAC-Adressen.


Ausgabe steuern[edit]

Aktion Befehl Beschreibung
Mehr Details (Verbose) tcpdump -v
tcpdump -vv
tcpdump -vvv 		Detailliertere Paketinformationen.
Nur Header, kein Payload tcpdump -q Paketinhalt wird nicht angezeigt.
Paketinhalt anzeigen (ASCII) tcpdump -A Zeigt Pakete in ASCII.
Paketinhalt anzeigen (HEX + ASCII) tcpdump -X Zeigt Pakete in HEX und ASCII.
Paketlänge begrenzen (Snaplen) tcpdump -s 96 Nur die ersten 96 Bytes des Pakets erfassen.


Paketanzahl & Laufzeit[edit]

Aktion Befehl Beschreibung
Anzahl Pakete begrenzen tcpdump -c 100 Stoppt nach 100 Paketen.
Zeitstempel anzeigen tcpdump -tttt Zeigt Datum und Uhrzeit für jedes Paket.


Mitschnitt in Datei (pcap)[edit]

Aktion Befehl Beschreibung
In Datei schreiben tcpdump -w capture.pcap Pakete in einer pcap-Datei speichern.
Aus Datei lesen tcpdump -r capture.pcap Pakete aus einer Datei analysieren.
Rotierende Dateien tcpdump -w dump.pcap -G 60 -W 10 Alle 60 Sekunden neue Datei, max. 10 Dateien.


Klassische Filter (BPF)[edit]

Aktion Befehl Beschreibung
Nach Protokoll filtern tcpdump tcp
tcpdump udp
tcpdump icmp
tcpdump arp 		Zeigt nur Pakete des angegebenen Protokolls.
Nach Host tcpdump host 192.168.1.10
tcpdump src host 192.168.1.10
tcpdump dst host 192.168.1.10 		Filtert nach Quell- oder Zielhost.
Nach Port tcpdump port 80
tcpdump tcp port 443 		Filtert Pakete nach Port.
Nach Netz tcpdump net 192.168.1.0/24 Pakete aus einem Subnetz.


Kombinierte Filter[edit]

Aktion Befehl Beschreibung
AND / OR / NOT tcpdump tcp and port 22
tcpdump host 192.168.1.10 and not port 22
tcpdump tcp port 80 or port 443 		Kombination von Filtern für gezielte Paket-Auswahl.


TCP-spezifische Filter[edit]

Aktion Befehl Beschreibung
SYN-Pakete tcpdump 'tcp[tcpflags] & tcp-syn != 0' Zeigt alle SYN-Pakete.
SYN ohne ACK (Verbindungsaufbau) tcpdump 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0' Nur SYN-Pakete ohne ACK.
RST-Pakete tcpdump 'tcp[tcpflags] & tcp-rst != 0' Zeigt TCP-RST Pakete.


Typische Praxisbeispiele[edit]

Zweck Befehl
Kommt Traffic an? tcpdump -i eth0 -n icmp
HTTP-Traffic sehen tcpdump -i eth0 -n tcp port 80
DNS-Abfragen debuggen tcpdump -i eth0 -n udp port 53
ARP-Probleme analysieren tcpdump -i eth0 -n -e arp


Performance & Sicherheit[edit]

Aktion Befehl Beschreibung
Nur erste Pakete ansehen tcpdump -c 20 Begrenzte Paketanzahl für schnelle Analyse.
Payload komplett mitschneiden tcpdump -s 0 Ganze Pakete inkl. Payload speichern.
Root vermeiden (Capabilities) sudo setcap cap_net_raw,cap_net_admin=eip $(which tcpdump) tcpdump mit weniger Rechten ausführen.


Häufige Stolperfallen[edit]

  • Ohne -n → langsame DNS-Lookups.
  • Große Mitschnitte ohne -c / -G → sehr große Dateien.
  • -s 0 erzeugt große pcap-Dateien.
  • Traffic auf lo nicht vergessen.


Mini-Spickzettel 🧾[edit]

  • tcpdump -i eth0 -n – Basis-Mitschnitt
  • tcpdump -i any icmp – ICMP auf allen Interfaces
  • tcpdump -w file.pcap – In Datei schreiben
  • tcpdump -r file.pcap – Datei lesen
  • tcpdump tcp port 443 – HTTPs / TCP-Traffic

oben


ping[edit]

Aktion Befehl Beschreibung
Einfacher Ping zu einer IP ping 8.8.8.8 Sendet ICMP Echo Requests an die IP-Adresse 8.8.8.8, läuft unendlich, bis mit Ctrl+C gestoppt.
Ping mit begrenzter Anzahl von Paketen ping -c 4 8.8.8.8 Sendet nur 4 Pakete und beendet automatisch.
Ping mit definierter Paketgröße ping -s 100 8.8.8.8 Sendet Pakete mit 100 Bytes Payload.
Ping mit Timeout ping -w 5 8.8.8.8 Beendet Ping nach 5 Sekunden.
Ping mit definierter Intervalldauer ping -i 2 8.8.8.8 Sendet alle 2 Sekunden ein Paket.
Ping an einen Hostnamen ping www.example.com Löst den Hostnamen in eine IP-Adresse auf und pingt diese.
Ping nur einmal ping -c 1 8.8.8.8 Sendet ein einzelnes Ping-Paket, praktisch für Skripte.
Ping über IPv6 ping6 google.com Ping über IPv6-Adressen.
Ping ohne Namensauflösung ping -n 8.8.8.8 Zeigt nur IP-Adressen, keine Hostnamen.
Ping im Quiet Mode ping -q 8.8.8.8 Zeigt nur die Statistik am Ende.
Ping mit Zeitstempel ping -D 8.8.8.8 Zeigt Zeitstempel für jedes Paket.


oben


termshark (Terminal Wireshark / TUI)[edit]

Hinweis: Termshark ist eine terminalbasierte Oberfläche für tshark. Es ermöglicht **Live-Captures, Filterung und Analyse** von Netzwerkpaketen ohne GUI. Ideal für Server oder SSH-Sessions.


Installation[edit]

Plattform Befehl
Debian / Ubuntu sudo apt install termshark
macOS (Homebrew) brew install termshark
Arch Linux pacman -S termshark
Go-Installation (Universal) go install github.com/gcla/termshark@latest


Starten von Termshark[edit]

Zweck Befehl / Option
Live Capture auf Interface termshark -i eth0
Capture auf allen Interfaces anzeigen termshark -D
Capture aus Datei lesen termshark -r capture.pcap
Pakete während Capture speichern termshark -i eth0 -w output.pcap
Capture mit BPF-Filter termshark -i eth0 -f "tcp port 80"
Display-Filter beim Start (Wireshark-artig) termshark -r file.pcap -Y "http"


Display-Filter[edit]

Filter Beispiel
TCP-Port tcp.port == 443
IP-Adresse ip.addr == 192.168.1.10
Protokoll http, dns, icmp
Kombination ip.src == 192.168.1.10 and tcp.port == 80
  • Shortcut zum Filtereingeben: /*
  • Filter löschen: Ctrl+L*


Navigation & Paketansicht[edit]

Aktion Shortcut / Methode
Pakete scrollen ↑ / ↓
Paketdetails aufklappen Enter
Layer auf-/zuklappen → / ←
Zwischen Views wechseln Tab (Packet List / Details / Bytes)
Payload als Hex/ASCII anzeigen In Detailansicht
Feld kopieren y


Suche[edit]

Aktion Shortcut / Methode
Text / Pattern suchen Ctrl+F
Nächste Übereinstimmung n
Vorherige Übereinstimmung Shift+n


Markieren & Sortieren[edit]

Aktion Shortcut / Methode
Paket markieren m
Markierungen löschen Shift+M
Sortierung nach Spalte Spaltenkopf / Pfeiltasten


Capture beenden[edit]

  • q → Live Capture stoppen


Praxis-Beispiele[edit]

Zweck Befehl
HTTP-Traffic live analysieren termshark -i eth0 -f "tcp port 80"
DNS-Abfragen aus PCAP untersuchen termshark -r capture.pcap -Y "dns"
Nur bestimmte IP filtern termshark -i eth0 -Y "ip.addr == 192.168.1.10"


Unterschiede zu Wireshark[edit]

  • Terminal-basiert, kein GUI
  • Nutzt tshark als Engine
  • Unterstützt alle Wireshark-Displayfilter
  • Ideal für Server ohne GUI oder SSH-Sessions
  • TCP/UDP-Reassembly, Copy Field, hierarchische Packet-Ansicht


Mini-Spickzettel[edit]

  • termshark -i eth0 – Live Capture
  • termshark -D – Interfaces anzeigen
  • termshark -r file.pcap – PCAP öffnen
  • termshark -i eth0 -w output.pcap – Mitschnitt speichern
  • termshark -i eth0 -f "tcp port 80" – BPF-Filter
  • termshark -r file.pcap -Y "http" – Display-Filter
  • Navigation: ↑↓, Enter, →/←, Tab
  • Filter: /, Ctrl+L
  • Suche: Ctrl+F, n / Shift+n
  • Markieren: m / Shift+M
  • Feld kopieren: y
  • Beenden: q

oben


route (Routing)[edit]

Hinweis:

  • route ist die klassische Variante, noch in vielen Tutorials zu finden.
  • ip route ist moderner, flexibler und unterstützt Features wie **Multipath-Routing** und **Policy Routing**.


Klassische route-Befehle[edit]

Aktion Befehl Beschreibung
Routing-Tabelle anzeigen route -n Zeigt alle Routen numerisch (ohne DNS-Auflösung).
Standardgateway setzen sudo route add default gw 192.168.1.1 Setzt das Standardgateway für alle nicht lokal bekannten Ziele.
Standardgateway löschen sudo route del default Entfernt das Standardgateway.
Route zu einem Netzwerk hinzufügen sudo route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.1.1 Fügt eine Route zu einem bestimmten Netzwerk hinzu.
Route zu einem Netzwerk löschen sudo route del -net 10.0.0.0 netmask 255.255.255.0 Löscht eine Route zu einem bestimmten Netzwerk.
Route für ein Interface erzwingen sudo route add -net 10.0.0.0 netmask 255.255.255.0 dev eth0 Leitet den Verkehr über ein bestimmtes Interface, ohne Gateway.
Temporäre Route entfernen (Interface) sudo route del -net 10.0.0.0 netmask 255.255.255.0 dev eth0 Löscht die zuvor erstellte Route.


Moderne Alternative: ip route[edit]

Aktion Befehl Beschreibung
Routing-Tabelle anzeigen ip route show Zeigt alle Routen.
Standardgateway setzen sudo ip route add default via 192.168.1.1 Setzt das Standardgateway.
Standardgateway löschen sudo ip route del default Entfernt das Standardgateway.
Route zu einem Netzwerk hinzufügen sudo ip route add 10.0.0.0/24 via 192.168.1.1 Fügt eine Route zu einem bestimmten Netzwerk hinzu.
Route zu einem Netzwerk löschen sudo ip route del 10.0.0.0/24 Löscht eine Route zu einem bestimmten Netzwerk.
Route für ein Interface erzwingen sudo ip route add 10.0.0.0/24 dev eth0 Verkehr über ein bestimmtes Interface ohne Gateway.
Temporäre Route entfernen (Interface) sudo ip route del 10.0.0.0/24 dev eth0 Löscht die zuvor erstellte Route.

oben


netstat[edit]

netstat (Network Statistics) ist ein klassisches Linux-Tool, um Netzwerkverbindungen, Routing-Tabellen, offene Ports und Netzwerkstatistiken anzuzeigen. Es ist praktisch, um zu sehen, welche Programme mit dem Netzwerk kommunizieren und welche Ports offen sind. In modernen Linux-Distributionen wird es teilweise durch ss ersetzt, aber netstat ist immer noch weit verbreitet.
Aktion Befehl Beschreibung
Offene TCP/UDP-Ports anzeigen netstat -tuln Zeigt alle offenen TCP/UDP-Ports numerisch an.
Alle Verbindungen inklusive Prozess anzeigen netstat -anp Zeigt alle Verbindungen und die zugehörigen Prozesse (PID/Name).
Routing-Tabelle anzeigen netstat -r Zeigt die aktuelle Routing-Tabelle.
Netzwerkschnittstellenstatistiken netstat -i Zeigt Informationen zu allen Netzwerkinterfaces.

oben


nmap[edit]


nmap (Network Mapper) ist ein mächtiges Tool zur Netzwerkerkundung und Sicherheitsüberprüfung. Mit nmap kannst du Hosts in einem Netzwerk scannen, offene Ports finden, Betriebssysteme erkennen und Dienste identifizieren. Es wird häufig in Netzwerksicherheit und Troubleshooting eingesetzt.
Aktion Befehl Beschreibung
Einzelnen Host scannen nmap 192.168.1.1 Scan eines Hosts auf Standardports.
SYN-Scan eines gesamten Netzwerks nmap -sS 192.168.1.0/24 Erkundet alle Hosts im Subnetz per SYN-Scan.
Bestimmte Ports scannen nmap -p 22,80 192.168.1.1 Prüft nur bestimmte Ports auf einem Host.
Betriebssystemerkennung nmap -O 192.168.1.1 Versucht, das Betriebssystem des Hosts zu erkennen.

oben


dhclient[edit]


dhclient ist der DHCP-Client unter Linux. Es wird genutzt, um IP-Adressen automatisch von einem DHCP-Server zu beziehen oder eine bestehende IP-Konfiguration zu erneuern. Praktisch bei mobilen Geräten, Notebooks oder dynamischen Netzwerken.
Aktion Befehl Beschreibung
Neue IP-Adresse anfordern sudo dhclient Holt eine neue IP-Adresse für alle Schnittstellen.
IP-Adresse freigeben sudo dhclient -r Gibt die aktuelle IP-Adresse frei.
IP-Adresse für spezifische Schnittstelle anfordern sudo dhclient eth0 Holt eine neue IP-Adresse für die Schnittstelle eth0.
DHCP-Client im verbose-Modus starten sudo dhclient -v Zeigt detaillierte Informationen während der DHCP-Anfrage.

oben

traceroute (Netzwerkpfad verfolgen)[edit]

Hinweis: traceroute zeigt die Route von deinem Rechner zu einem Zielhost und alle Hops dazwischen. Standardmäßig werden ICMP oder UDP-Pakete genutzt (abhängig vom System).


Grundbefehle[edit]

Zweck Befehl Beschreibung
Einfacher Traceroute traceroute 8.8.8.8 Zeigt alle Hops zu 8.8.8.8.
Traceroute zu einem Hostnamen traceroute www.example.com Löst den Hostnamen in IP auf und zeigt den Pfad.
Traceroute über IPv6 traceroute6 google.com Verwendet IPv6-Adressen.
Traceroute über ICMP statt UDP traceroute -I 8.8.8.8 Nutzt ICMP Echo Requests, hilfreich bei UDP-Blockaden.
Traceroute mit Angabe eines bestimmten Ports traceroute -p 443 www.example.com Sendet Pakete an Port 443 (TCP), nützlich bei ICMP-Blockaden.


Optionen[edit]

Option Beschreibung Beispiel
-m <maxHops> Maximale Anzahl von Hops anzeigen (Standard: 30) traceroute -m 10 8.8.8.8
-q <n> Anzahl Pakete pro Hop (Standard: 3) traceroute -q 1 8.8.8.8
-w <Sekunden> Timeout pro Hop (in Sekunden) traceroute -w 2 8.8.8.8
-n Zeigt IP-Adressen numerisch, kein DNS-Lookup traceroute -n 8.8.8.8
-f <StartTTL> Start-Hops niedriger setzen (z. B. lokale Netze) traceroute -f 3 8.8.8.8
-A AS-Nummern (Autonomous System) anzeigen, wenn verfügbar traceroute -A 8.8.8.8


oben


Traceroute-Befehle[edit]

Aktion Befehl Beschreibung
Einfacher Traceroute zu einer IP traceroute 8.8.8.8 Zeigt alle Hops von deinem Rechner zu 8.8.8.8.
Traceroute zu einem Hostnamen traceroute www.example.com Löst den Hostnamen in eine IP-Adresse auf und zeigt den Pfad.
Maximale Anzahl von Hops begrenzen traceroute -m 10 8.8.8.8 Zeigt maximal 10 Hops statt Standard 30.
Weniger Pakete pro Hop senden traceroute -q 1 8.8.8.8 Sendet nur 1 Paket pro Hop (statt 3), spart Zeit.
Timeout pro Hop festlegen traceroute -w 2 8.8.8.8 Wartet maximal 2 Sekunden auf Antwort pro Hop.
ICMP statt UDP verwenden traceroute -I 8.8.8.8 Nutzt ICMP Echo Requests, wenn UDP blockiert ist.
Traceroute über IPv6 traceroute6 google.com Zeigt den Pfad zu einem Host über IPv6.
Traceroute zu bestimmtem Port traceroute -p 443 www.example.com Sendet Pakete an Port 443, nützlich bei Firewalls.
IP-Adressen numerisch anzeigen traceroute -n 8.8.8.8 Keine DNS-Auflösung, nur IP-Adressen anzeigen.

oben


arp (IP → MAC)[edit]

Hinweis: ARP übersetzt IP-Adressen in MAC-Adressen. Klassischer ARP-Befehl ist deprecated, der moderne Ersatz ist ip neigh.


Klassischer ARP-Befehl[edit]

Aktion Befehl Beschreibung
ARP-Tabelle anzeigen arp / arp -n Zeigt ARP-Einträge an; -n ohne Namensauflösung.
ARP-Eintrag hinzufügen arp -s 192.168.1.10 aa:bb:cc:dd:ee:ff Fügt statischen ARP-Eintrag hinzu.
ARP-Eintrag löschen arp -d 192.168.1.10 Entfernt Eintrag aus der Tabelle.
Bestimmtes Interface nutzen arp -i eth0 Zeigt ARP-Einträge nur für das angegebene Interface.


Moderner Ersatz: ip neigh (empfohlen)[edit]

Aktion Befehl Beschreibung
Nachbarn (ARP / NDP) anzeigen ip neigh show / ip n Zeigt ARP- bzw. Neighbor-Einträge.
ARP-Eintrag hinzufügen ip neigh add 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0 Fügt statischen ARP-Eintrag hinzu.
ARP-Eintrag ändern ip neigh replace 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff dev eth0 Ändert vorhandenen ARP-Eintrag.
ARP-Eintrag löschen ip neigh del 192.168.1.10 dev eth0 Löscht ARP-Eintrag.
ARP-Cache leeren ip neigh flush all Löscht alle dynamischen ARP-Einträge.


ARP-Pakete aktiv senden: arping[edit]

Zweck Befehl Beschreibung
Erreichbarkeit prüfen (Layer 2) arping 192.168.1.1 Prüft, ob Host erreichbar ist.
Interface festlegen arping -I eth0 192.168.1.1 Nutzt bestimmtes Interface.
Gratuitous ARP senden arping -U 192.168.1.10 Sendet ARP-Ankündigung (z. B. für IP-Konflikte / Updates).


Netzwerk-Diagnose & Analyse[edit]

Zweck Befehl
ARP-Traffic mitschneiden tcpdump -n -e arp
ARP-Tabelle über /proc anzeigen cat /proc/net/arp


Typische ARP-Statuswerte (ip neigh)[edit]

Status Bedeutung
REACHABLE Host erreichbar
STALE Eintrag alt, wird geprüft
DELAY Prüfung geplant
INCOMPLETE ARP-Antwort fehlt
FAILED ARP fehlgeschlagen
PERMANENT Statischer Eintrag

oben


ethtool[edit]

Kommando               Funktion
ethtool eth0           Status und Einstellungen auf der 
                       Bitüberragungsschicht ausgeben

ethtool -P eth0        MAC-Adresse ausgeben

ethtool -S eth0        Statistische Daten ausgeben

ethtool -i eth0        Informationen zu Treiber und Firmware

ethtool -p eth0        LED blinken lassen

oben


iftop[edit]

Überwachung des Datenverkehrs in Echtzeit

iftop -i eth0

oben


dig[edit]

dig (Domain Information Groper) ist ein Linux-Tool zur DNS-Abfrage. Mit dig kannst du herausfinden, welche IP-Adresse zu einem Hostnamen gehört, welche Nameserver antworten, oder detaillierte DNS-Records (A, AAAA, MX, TXT, etc.) prüfen. Es ist eines der wichtigsten Tools für Netzwerkdiagnosen, wenn es um Namensauflösung geht.
Aktion Befehl Beschreibung
Standard-DNS-Abfrage (A-Record) dig example.com Zeigt die IP-Adresse(n) eines Hostnamens.
MX-Record prüfen dig example.com MX Zeigt die Mailserver für die Domain.
Kompakte Ausgabe (nur IP) dig +short example.com Zeigt nur die IP(s) ohne zusätzliche Informationen.
DNS-Abfrage über spezifischen Server dig @8.8.8.8 example.com Fragt den Hostnamen über den DNS-Server 8.8.8.8 ab.

oben


ftp[edit]

ftp ist das klassische Linux-Tool für Dateiübertragungen über das FTP-Protokoll. Es ermöglicht das Hoch- und Runterladen von Dateien zu/von einem FTP-Server. Heute wird es wegen Sicherheitsrisiken oft durch sftp oder scp ersetzt, aber für Legacy-Systeme ist ftp noch relevant.
Aktion Befehl Beschreibung
Verbindung zu FTP-Server ftp ftp.example.com Stellt eine Verbindung zum FTP-Server her.
Datei herunterladen get datei.txt Lädt eine Datei vom FTP-Server herunter.
Datei hochladen put datei.txt Lädt eine Datei auf den FTP-Server hoch.
Verzeichnis auflisten ls Listet Dateien im aktuellen Server-Verzeichnis auf.
Benutzerlogin login Meldet sich mit Benutzername und Passwort am Server an.

oben


nc (netcat)[edit]

nc (netcat) ist ein universelles Tool für TCP/UDP-Verbindungen. Es kann verwendet werden, um Ports zu scannen, als einfacher TCP/Server oder Client zu fungieren, Daten zu übertragen oder Netzwerkprobleme zu debuggen. Oft als „Schweizer Taschenmesser für Netzwerke“ bezeichnet.
Aktion Befehl Beschreibung
Prüft, ob ein Port offen ist nc -zv 192.168.1.1 22 Prüft, ob Port 22 auf 192.168.1.1 erreichbar ist.
TCP-Server starten nc -l 1234 Startet einen TCP-Server auf Port 1234.
Mit TCP-Server verbinden nc 192.168.1.2 1234 Verbindet sich zu einem TCP-Server auf Port 1234.
Text an Server senden nc 192.168.1.2 1234 Sendet Text an einen TCP-Server.

oben

netperf[edit]

netperf ist ein Tool zur Netzwerkperformancemessung. Es wird genutzt, um Durchsatz (Throughput), Latenzzeiten und TCP/UDP-Performance zwischen zwei Hosts zu messen. Meist wird netperf zusammen mit einem Server (netserver) betrieben: ein Host läuft als Server, der andere als Client.
Aktion Befehl Beschreibung
Netperf-Server starten netserver Startet den netperf-Server auf einem Host.
TCP-Performance messen netperf -H 192.168.1.2 Misst TCP-Durchsatz zum Host.
UDP-Durchsatz messen netperf -H 192.168.1.2 -t UDP_STREAM Misst UDP-Stream Performance.
TCP-Request/Response-Latenz messen netperf -H 192.168.1.2 -t TCP_RR Misst Latenz von TCP-Requests.

oben


nslookup[edit]

nslookup ist ein klassisches Linux-Tool zur DNS-Abfrage, ähnlich wie dig. Es wird genutzt, um die IP-Adresse eines Hostnamens zu ermitteln, DNS-Server zu testen oder die DNS-Konfiguration zu überprüfen. Anders als dig bietet nslookup einen interaktiven Modus, in dem mehrere Abfragen nacheinander ausgeführt werden können.
Aktion Befehl Beschreibung
Standard-DNS-Abfrage nslookup example.com Zeigt die IP-Adresse(n) eines Hostnamens.
Interaktiver Modus starten nslookup Startet den interaktiven Modus für mehrere Abfragen.
DNS-Abfrage über spezifischen Server nslookup example.com 8.8.8.8 Fragt den Hostnamen über den DNS-Server 8.8.8.8 ab.
MX-Record im interaktiven Modus set type=MX Stellt Abfrage auf MX-Record um.

oben


ssh[edit]

ssh (Secure Shell) ist das Standardtool, um verschlüsselte Remote-Verbindungen zu Linux-Servern herzustellen. Es wird genutzt, um auf entfernte Systeme zuzugreifen, Befehle auszuführen oder sichere Tunnel (Port-Forwarding) einzurichten. SSH ersetzt fast vollständig alte unsichere Tools wie rlogin oder telnet für Remote-Administration.
Aktion Befehl Beschreibung
Verbindung zum Host herstellen ssh user@host Stellt eine verschlüsselte Verbindung zum Remote-Host her.
Verbindung über spezifischen Port ssh -p 2222 user@host Verbindung über Port 2222 herstellen.
Verbindung mit privatem Schlüssel ssh -i keyfile.pem user@host Verbindet sich unter Nutzung eines privaten SSH-Schlüssels.
Lokales Port-Forwarding ssh -L 8080:localhost:80 user@host Leitet lokalen Port 8080 auf Port 80 des Hosts weiter.

ssh und VPN-Tunnel[edit]

!!!
- Putty vom DC öffnen um Tunnel zu bekommen
- normales Putty (nicht im Putty vom DC) öffnen und ssh-Kommando eingeben
- in der DCmou Link anklicken

# um auf den Router zu kommen:
(1)
ssh -l <user> -L 10443:<VPN Tunnel>:443 <DC IP-Adresse>

user: aus DCmou
PW: auch aus DCmou
VPN-Tunnel: grüne Kugel
DC IP-Adresse: aus DCmou 


(2)
ssh <user>@<DC IP-Adresse> -L 10443:<VPN Tunnel>:443

Bsp.:
ssh gpjs5@172.30.0.1 -L 10443:172.30.1.58:443

DC5
ssh root@159.69.202.215 -L 10443:172.27.6.170:443

oben

telnet[edit]

telnet ist ein älteres Tool, um unsichere Textverbindungen zu einem Server herzustellen. Heutzutage wird es fast nur noch zu Testzwecken genutzt, zum Beispiel um zu prüfen, ob ein Port erreichbar ist. Für sichere Remote-Verbindungen wird ssh verwendet.
Aktion Befehl Beschreibung
Verbindung zu Host auf Port 23 telnet host 23 Stellt eine Verbindung zum Telnet-Server her.
Verbindung zu Host auf beliebigem Port open host port Verbindet im Telnet-Client zu einem bestimmten Port.
Telnet-Sitzung beenden quit Beendet die Telnet-Verbindung.

oben

Retrieved from "https://wiki.trianii.de/index.php?title=Kommandozeilenwerkzeuge&oldid=230"