Список мережевих інтерфейсів, з якими можлива робота tcpdump:
|
1 |
tcpdump -D |
Перехоплення на eth0:
|
1 |
tcpdump -i eth0 |
Перехоплення на всіх доступних інтерфейсах (не працює в режимі promiscuous. Вимагає Linux kernel 2.2 та вище):
|
1 |
tcpdump -i any |
Видавати більше інформації при перехопленні пакетів:
|
1 |
tcpdump -v |
Видавати ще більше інформації:
|
1 |
tcpdump -vv |
Багато інформації:
|
1 |
tcpdump -vvv |
…також відображати вміст пакета в hex та ASCII, не включаючи заголовок канального рівня:
|
1 |
tcpdump -v -X |
Відображати вміст пакета в hex та ASCII, разом із заголовком канального рівня:
|
1 |
tcpdump -v -XX |
Видавати менше інформації (ніж ц режимі за замовчанням) при перехопленні пакетів:
|
1 |
tcpdump -q |
Обмежити перехоплення до 100 пакетів:
|
1 |
tcpdump -c 100 |
Зберегти перехоплені пакети у файл capture.cap:
|
1 |
tcpdump -w capture.cap |
Зберегти перехоплені пакети у файл capture.cap, а також у режимі реального часу відображати кількість перехоплених пакетів:
|
1 |
tcpdump -v -w capture.cap |
Показати пакети з файлу capture.cap:
|
1 |
tcpdump -r capture.cap |
Показати пакети з файлу capture.cap з найбільш можливою деталізацією:
|
1 |
tcpdump -vvv -r capture.cap |
Відображення IP-адреси і номерів портів замість доменних імен і послуг, коли перехоплення пакетів (Примітка: на деяких системах необхідно вказати -nn для відображення номера портів):
|
1 |
tcpdump -n |
Перехоплення усіх пакетів, де хост призначення 192.168.1.1. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n dst host 192.168.1.1 |
Перехоплення усіх пакетів, де вихідний хост 192.168.1.1. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n src host 192.168.1.1 |
Перехоплення усіх пакетів, де вихідний хост або хост призначення 192.168.1.1. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n host 192.168.1.1 |
Перехоплення усіх пакетів, де мережа призначення 192.168.1.0/24. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n dst net 192.168.1.0/24 |
Перехоплення усіх пакетів, де вихідна мережа 192.168.1.0/24. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n src net 192.168.1.0/24 |
Перехоплення усіх пакетів, де вихідна мережа чи мережа призначення 192.168.1.0/24. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n net 192.168.1.0/24 |
Перехоплення усіх пакетів, де порт призначення 23. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n dst port 23 |
Перехоплення усіх пакетів, де порт призначення лежить у діапазоні між 1 і 1023 включно. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n dst portrange 1-1023 |
Перехоплення тільки TCP пакетів, де порт призначення лежить у діапазоні між 1 і 1023 включно. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n tcp dst portrange 1-1023 |
Перехоплення тільки UDP пакетів, де порт призначення лежить у діапазоні між 1 і 1023 включно. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n udp dst portrange 1-1023 |
Перехоплення усіх пакетів, у яких адреса призначення 192.168.1.1 і порт призначення 23. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n "dst host 192.168.1.1 and dst port 23" |
Перехоплення усіх пакетів, у яких адреса призначення 192.168.1.1 і порт призначення 80 або 443. Відображення IP-адреси і номерів портів:
|
1 |
tcpdump -n "dst host 192.168.1.1 and (dst port 80 or dst port 443)" |
Перехоплення усіх ICMP пакетів:
|
1 |
tcpdump -v icmp |
Перехоплення усіх ARP пакетів:
|
1 |
tcpdump -v arp |
Перехоплення ICMP або ARP пакетів:
|
1 |
tcpdump -v "icmp or arp" |
Перехоплення усіх широкомовних чи мультимовних пакетів:
|
1 |
tcpdump -n "broadcast or multicast" |
Перехоплення 500 байтів кожного пакету замість 68 байтів за замовчанням:
|
1 |
tcpdump -s 500 |
Перехоплення всіх байтів данних у пакеті:
|
1 |
tcpdump -s 0 |
