DokumentationSo erstellst du eine PCAP-Datei auf deinem vServer / Rootserver ​
Eine PCAP-Datei (Packet Capture) zeichnet den gesamten Netzwerkverkehr auf deinem Server auf. Unser Support benötigt diese Daten in manchen Fällen für eine tiefgehende Analyse von Netzwerkproblemen – z.B. bei DDoS-Angriffen, Verbindungsabbrüchen oder Paketverlust.
Info
Eine PCAP-Datei ist eine Ergänzung zum Netzwerk-Trace (MTR). Während ein MTR-Trace die Route und Paketverlust pro Hop zeigt, erfasst eine PCAP-Datei die tatsächlichen Pakete auf Protokollebene.
Voraussetzungen ​
- vServer / Rootserver mit SSH- oder Remotedesktop-Zugang
- tcpdump installiert (Linux) oder Wireshark installiert (Windows)
Linux – tcpdump ​
Installation ​
sudo apt install tcpdump # Debian/Ubuntu
sudo yum install tcpdump # CentOS/RHEL
sudo pacman -S tcpdump # Arch Linuxsudo apt install tcpdump # Debian/Ubuntu
sudo yum install tcpdump # CentOS/RHEL
sudo pacman -S tcpdump # Arch LinuxNetzwerk-Interface herausfinden ​
Bevor du eine Aufnahme startest, musst du wissen, welches Netzwerk-Interface dein Server verwendet:
sudo tcpdump -Dsudo tcpdump -DTypische Interface-Namen sind eth0, ens18 oder ens192.
Aufnahme starten ​
Empfohlene Paketanzahl
Wir empfehlen eine Paketanzahl von 100000 (100.000). Das ist in den meisten Fällen ausreichend, um das Problem zu erfassen, ohne dass die Datei unnötig groß wird.
Gesamten Traffic aufzeichnen (100.000 Pakete):
sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcapsudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcapNur einen bestimmten Port aufzeichnen:
sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap port 25565sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap port 25565Info
Port 25565 ist in diesem Beispiel der Standard-Port fĂĽr Minecraft. Ersetze ihn durch den Port deines betroffenen Dienstes.
Nur Traffic von/zu einer bestimmten IP:
sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap host 123.45.67.89sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap host 123.45.67.89Port und IP kombinieren:
sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap host 123.45.67.89 and port 25565sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap host 123.45.67.89 and port 25565Eigene SSH-Verbindung ausschließen (empfohlen, damit deine eigene Sitzung die Aufnahme nicht verfälscht):
sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap not port 22sudo tcpdump -ni eth0 -s 0 -c 100000 -w capture.pcap not port 22Tipp
Die Aufnahme läuft, bis die angegebene Paketanzahl erreicht ist oder du sie mit Strg + C manuell stoppst.
Wichtige Parameter erklärt ​
| Parameter | Bedeutung |
|---|---|
-ni eth0 | Interface auswählen, keine DNS-Auflösung (schneller) |
-s 0 | Gesamtes Paket aufzeichnen (nicht abschneiden) |
-c 100000 | Nach 100.000 Paketen automatisch stoppen |
-w capture.pcap | Ausgabe in Datei speichern |
port 25565 | Nur Traffic auf diesem Port |
host 1.2.3.4 | Nur Traffic von/zu dieser IP |
not port 22 | SSH-Traffic ausschlieĂźen |
Windows – Wireshark (tshark) ​
Installation ​
Lade Wireshark herunter und installiere es. Das Kommandozeilen-Tool tshark wird automatisch mitinstalliert.
Verfügbare Interfaces auflisten ​
"C:\Program Files\Wireshark\tshark.exe" -D"C:\Program Files\Wireshark\tshark.exe" -DAufnahme starten ​
Gesamten Traffic aufzeichnen:
"C:\Program Files\Wireshark\tshark.exe" -i 1 -c 100000 -w C:\capture.pcap"C:\Program Files\Wireshark\tshark.exe" -i 1 -c 100000 -w C:\capture.pcapNur einen bestimmten Port:
"C:\Program Files\Wireshark\tshark.exe" -i 1 -f "port 25565" -c 100000 -w C:\capture.pcap"C:\Program Files\Wireshark\tshark.exe" -i 1 -f "port 25565" -c 100000 -w C:\capture.pcapNur Traffic von/zu einer bestimmten IP:
"C:\Program Files\Wireshark\tshark.exe" -i 1 -f "host 123.45.67.89" -c 100000 -w C:\capture.pcap"C:\Program Files\Wireshark\tshark.exe" -i 1 -f "host 123.45.67.89" -c 100000 -w C:\capture.pcapInfo
Ersetze -i 1 mit der Nummer des gewĂĽnschten Interfaces aus der -D Ausgabe.
Datei komprimieren ​
PCAP-Dateien können sehr groß werden. Komprimiere die Datei vor dem Versand:
Linux:
gzip capture.pcapgzip capture.pcapWindows (PowerShell):
Compress-Archive -Path C:\capture.pcap -DestinationPath C:\capture.zipCompress-Archive -Path C:\capture.pcap -DestinationPath C:\capture.zipErgebnis an den Support senden ​
Sende uns folgende Informationen in deinem Support-Ticket:
- Die PCAP-Datei komprimiert als
.gzoder.zip - Datum und Uhrzeit der Aufnahme
- Verwendeter Filter – welchen Port oder welche IP du gefiltert hast
- Kurze Problembeschreibung – z.B. DDoS-Angriff, Verbindungsabbrüche, Lag-Spikes
- Betroffener Dienst – welcher Dienst auf welchem Port betroffen ist
Wichtig
- Aufnahme während des Problems durchführen – eine Aufnahme ohne aktives Problem liefert keine verwertbaren Daten.
- Filter verwenden – ohne Filter kann die Datei schnell mehrere Gigabyte groß werden.
- SSH ausschließen – filtere deinen eigenen SSH-Traffic heraus (
not port 22), damit die Aufnahme nicht unnötig groß wird.