Наболее используемые ключи утилиты tcpdump.
Запись вывода в файл tctdump.txt и сразу отобразить содержимое файла tctdump.txt с помощью утилиты tail:
# tcpdump -l > tctdump.txt & tail -f tctdump.txt
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
^C129 packets captured
137 packets received by filter
0 packets dropped by kernel
Указать tcpdump-у слушать только трафик с определённого IP-адреса:
# tcpdump host 93.74.55.57
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:51:57.107811 IP 52.106.120.77.colo.static.dc.volia.com.http > pageant.charades.volia.net.51187: Flags [F.], seq 2227755061, ack 2215103730, win 65535, options [nop,nop,TS val 274414601 ecr 1128201], length 0
Или, наоборот – трафик только от нас к определённому хосту:
# tcpdump ip host 93.74.55.57
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:54:59.376192 IP pageant.charades.volia.net.51512 > 52.106.120.77.colo.static.dc.volia.com.http: Flags [F.], seq 1956557283, ack 1976344878, win 64574, options [nop,nop,TS val 1146913 ecr 2220689894], length 0
Можно задать только порт:
# tcpdump src port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:53:23.061776 IP akira.website.co.ua.smtp > pageant.charades.volia.net.51367: Flags [S.], seq 1086568297, ack 554685032, win 65535, options [mss 1460,sackOK,TS val 2584959812 ecr 1137281], length 0
Включить подробную запись пакетов можно ключами -v, -vv или –vvv:
# tcpdump -vvv
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
14:02:48.358296 IP (tos 0x10, ttl 64, id 29271, offset 0, flags [DF], proto TCP (6), length 100)
akira.website.co.ua.ssh > nat.merlin.dc.volia.com.63211: Flags [P.], seq 806286396:806286444, ack 3169785430, win 8326, options [nop,nop,TS val 4232196447 ecr 10602257], length 48
Не преобразовывать IP-адреса в имена хостов. Например, обычный вывод:
# tcpdump
…
11:46:26.915676 IP akira.setevoy.org.ua.2222 >
И с ключём -n:
# tcpdump -n
…
11:46:31.890498 IP 77.120.106.40.2222 >
Сокращённый вывод информации:
# tcpdump -q
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:49:12.326330 IP akira.setevoy.org.ua.2222 > nat.wisdom.dc.volia.com.57134: tcp 208
11:49:12.327053 IP nat.wisdom.dc.volia.com.57134 > akira.setevoy.org.ua.2222: tcp 0
Не отображать время:
# tcpdump -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
IP akira.setevoy.org.ua.2222 > nat.wisdom.dc.volia.com.57134: Flags [P.], seq 1820696995:1820697203, ack 24103219, win 1040, options [nop,nop,TS val 404523062 ecr 14739375], length 208
Вывести список доступных сетевых интерфейсов:
# tcpdump -D
1.em0
2.ipfw0
3.lo0
Слушать только определённый интерфейс:
# tcpdump -i eth0