Dass Linux eine Reihe brauchbarer Tools zur Netzwerkanalyse mitbringt, ist kein Geheimnis. Viele davon liefern hervorragende Ergebnisse, die durchaus mit denen kommerzieller Werkzeuge mithalten können. Trotzdem schrecken Windows-Administratoren gelegentlich vor dem Einsatz von Open-Source-Werkzeugen zurück, falls diese etwa keine grafische Benutzeroberfläche bieten. Im Wesentlichen tut eine Netzwerkanalyse-Software nichts anderes, als den gesamten Datenverkehr auf dem angegebenen Netzwerkinterface aufzuzeichnen, wozu die Software sämtliche Datenpakete kontinuierlich abfängt und auf der Festplatte speichert.

In einem zweiten Schritt dekodiert die Software die Daten und zeigt sie am Bildschirm an. Im Unix-Umfeld ist beispielsweise das freie Tcpdump ein Klassiker und dessen Einsatz unter Fachleuten weitverbreitet. Allerdings besitzt es nur eine Kommando-Schnittstelle. Tcpdump gibt es für nahezu alle Unix-Derivate wie AIX, BSD, Solaris und ist beispielsweise bei Linux fast immer in den Standardpaketquellen enthalten und oft auch per Default installiert. Für Windows gibt es übrigens die Portierung Windump, die auf Winpcap basiert. Tcpdump braucht direkten Zugriff auf die Hardware und läuft daher in der Regel mit Root-Rechten, lediglich bei Mac OS X und Solaris benötigt der Benutzer nur die für die Gerätedatei der Netzwerkkarte erforderlichen Rechte.

Tcpdump liest per Default alle Daten, die das spezifizierte Netzwerkinterface über das Netzwerk erreichen, und stellt sie wahlweise an der Standardausgabe dar oder speichert sie in Dateien, die der Admin zum Auswerten heranziehen kann. Tcpdump gefällt vor allem wegen seines gut bestückten Filter-Sortiments. Diese Capture-Filter basieren auf der Libpcap, einer C/C++-Bibliothek, die den Zugriff auf die Link-Layer-Ebene von Netzwerkinterfaces erlaubt. Der Admin steuert das Verhalten von Tcpdump vollständig von der Kommandozeile aus durch das Übergeben von Parametern, dazu gehört auch das