Полезные примеры использования tcpdump


На каких интерфейсах можно прослушивать трафик:

# tcpdump -D

Запросы на подключение к порту [port] по tcp:

# tcpdump -nn -i [ifname] port [port] and 'tcp[13] == 2'

или

# tcpdump -nn -i [ifname] port [port] and 'tcp[tcpflags] == tcp-syn'

Сигнальный (port 5060, udp) SIP трафик хоста 10.10.10.10, с записью в файл /tmp/sip-dump.tcpdump , размером пакета 1500 байт, с интерфейса eth0 (для анализа можно открыть в wireshark):

# tcpdump -n -i eth0 -s 1500 -w /tmp/sip-dump.tcpdump host 10.10.10.10 and port 5060 and udp

Пакеты размером больше 70, но меньше 100 байт:

# tcpdump -n -i eth0 greater 70 and less 100

Трафик с web серверов для сети 192.168.0.0/24, но запрошенный с нестандартных портов (при обычной работе такого трафика быть не должно):

# tcpdump -nn -i eth1 dst net 192.168.0.0/24 and '(src port 80 or src port 443)' and not dst portrange 1025-65535

Трафик ipv6:

# tcpdump -nn -i any ip6

ARP запросы с участием хоста с мак адресом 00:0c:29:ff:ff:ff

# tcpdump -nn -i eth1 arp and ether host 00:0c:29:ff:ff:ff

# man tcpdump