O tcpdump é um dos nossos melhores amigos na hora de fazer uma análise de rede, equivalente ao wireshark ele pode ser utilizado para escutar e armazenar o tráfego de uma determinada interface para posterior análise.
Mostrar as interfaces do sistema:
tcpdump -D
Escutar na interface eth0:
tcpdump -i eth0
Escuta em todas as interfaces:
tcpdump -i any
Mostrar a saída(verbose) na tela:
tcpdump -v
Mostrar a MUITA saída(verbose) na tela:
tcpdump -vv
Mostrar tudo que for possível — saída(verbose) — na tela:
tcpdump -vvv
Mostra a saída na tela e mostra os dados do pacote em HEXA e ASCII sem dados de camada 2:
tcpdump -v -X
Mostra a saída na tela e mostra os dados do pacote em HEXA e ASCII com dados de camada 2:
tcpdump -v -XX
Limitar a captura para apenas 100 pacotes:
tcpdump -c 100
Grava a captura sendo realizada no arquivo captura.cap:
tcpdump -w captura.cap
Grava a captura sendo realizada no arquivo captura.cap e mostra a quantidade de pacotes sendo gravados em tempo real:
tcpdump -v -w captura.cap
Mostra os pacotes de um arquivo já gravado chamado captura.cap:
tcpdump -r captura.cap
Mostra de maneira detalhada os pacotes de um arquivo já gravado de captura:
tcpdump -vvv -r captura.cap
Mostra IP’s e Portas de uma captura sem mostrar DNS apenas IP:
tcpdump -n
Faz a captura apenas dos pacotes com destino ao host 192.168.1.1:
tcpdump -n dst host 192.168.1.1
Faz a captura apenas dos pacotes com origem no host 192.168.1.1:
tcpdump -n src host 192.168.1.1
Faz a captura dos pacotes com destino na sub-rede 192.168.1.0/24:
tcpdump -n dst net 192.168.1.0/24
Faz a captura dos pacotes com origem na sub-rede 192.168.1.0/24:
tcpdump -n src net 192.168.1.0/24
Faz a captura de todos os pacotes com a porta de destino sendo a 23:
tcpdump -n dst port 23
Faz a captura de todos os pacotes com a porta de destino sendo entre a 1 e 1023:
tcpdump -n dst portrange 1-1023
Captura qualquer pacote ICMP:
tcpdump -v icmp
Captura qualquer pacote ARP:
tcpdump -v arp
Captura qualquer pacote ICMP ou ARP:
tcpdump -v "icmp or arp"
Captura qualquer pacote que seja broadcast ou multicast:
tcpdump -n "broadcast or multicast"
Tem algum outro comando do tcpdump que você conhece e não está na lista ? Comente!