Примеры использования tcpdump
tcpdump -i eth0
# слушаем интерфейс eth0
tcpdump port 80
# слушаем 80 портtcpdump host google.com
# слушаем трафик с хоста google.com
tcpdump -n -i eth0 icmp
# Ловим пакеты icmp (ping pong)
tcpdump | grep -v ssh
# поиск пакетов исключая пакеты ssh
tcpdump -n -i eth0 net 192.168.1.15
# трафик с/на IP
tcpdump -n -i eth0 net 192.168.1.0/24
# трафик с/в сеть
tcpdump -l > dump && tail -f dump
# Вывод с записью в файл
tcpdump -i eth0 -w traffic.eth0
# Информация о трафике записывается в бинарный файл traffic.eth0
tcpdump -i eth0 -s 0 -w traffic.eth0
# Запись + загрузка в бинарный файл
tcpdump -r traffic.eth0
# Читаем из файла
tcpdump -i eth0 -X port
\(110 or 143\) # Проверка pop и imap на безопасность
tcpdump -i eth0 -s 0 -A port 80 | grep GET
# (-s 0 весь пакет, -A для ASCII)
tcpdump -npi iface_name ether src MAC-address
# узнать MAC устройства iface_name -имя интерфейса MAC-address -мак адрес устройства
tcpdump -vvv -s 0 -l -n port 53
# показываем DNS трафик
tcpdump -nl -i bge0 not port ssh and src
\(192.168.16.121 or 192.168.16.54\)
tcpdump -n -i eth1 net 192.168.16.121
# Выборка входящий/исходящий по одному IP адресуtcpdump -n -i eth1 net 192.168.16.0/24
# Выборка входящий/исходящий по адресу сетиtcpdump -l > dump && tail -f dump
# Вывод через буфер
tcpdump -i rl0 -w traffic.rl0
# Писать заголовки в бинарный файлtcpdump -i rl0 -s 0 -w traffic.rl0
# Писать в бинарный фйл полные пакетыtcpdump -r traffic.rl0
# Прочитать из файла (так-же для ethereal
tcpdump -i eth0 -s 0 -A port 80 | grep GET
# -s 0 для полных пакетов, -A для ASCII
tcpdump -i eth0
# слушаем интерфейс eth0
tcpdump port 80
# слушаем 80 портtcpdump host google.com
# слушаем трафик с хоста google.com
tcpdump -n -i eth0 icmp
# Ловим пакеты icmp (ping pong)
tcpdump | grep -v ssh
# поиск пакетов исключая пакеты ssh
tcpdump -n -i eth0 net 192.168.1.15
# трафик с/на IP
tcpdump -n -i eth0 net 192.168.1.0/24
# трафик с/в сеть
tcpdump -l > dump && tail -f dump
# Вывод с записью в файл
tcpdump -i eth0 -w traffic.eth0
# Информация о трафике записывается в бинарный файл traffic.eth0
tcpdump -i eth0 -s 0 -w traffic.eth0
# Запись + загрузка в бинарный файл
tcpdump -r traffic.eth0
# Читаем из файла
tcpdump -i eth0 -X port
\(110 or 143\) # Проверка pop и imap на безопасность
tcpdump -i eth0 -s 0 -A port 80 | grep GET
# (-s 0 весь пакет, -A для ASCII)
tcpdump -npi iface_name ether src MAC-address
# узнать MAC устройства iface_name -имя интерфейса MAC-address -мак адрес устройства
tcpdump -vvv -s 0 -l -n port 53
# показываем DNS трафик
tcpdump -nl -i bge0 not port ssh and src
\(192.168.16.121 or 192.168.16.54\)
tcpdump -n -i eth1 net 192.168.16.121
# Выборка входящий/исходящий по одному IP адресуtcpdump -n -i eth1 net 192.168.16.0/24
# Выборка входящий/исходящий по адресу сетиtcpdump -l > dump && tail -f dump
# Вывод через буфер
tcpdump -i rl0 -w traffic.rl0
# Писать заголовки в бинарный файлtcpdump -i rl0 -s 0 -w traffic.rl0
# Писать в бинарный фйл полные пакетыtcpdump -r traffic.rl0
# Прочитать из файла (так-же для ethereal
tcpdump -i eth0 -s 0 -A port 80 | grep GET
# -s 0 для полных пакетов, -A для ASCII