tcpdump

Interface und Pakete

-i <interface>	Angabe des Interfaces Bsp.: -i eth0 oder auch -i lo
-c <count>	Dumping von count Paketen
-v	Erweiterte Ausgabe ( TTL u.a )
-t	Ausgabe ohne Zeitangabe
-q	Quick-Mode, weniger Paketinformationen

Namen und Adressen

-e	Ausgabe des Link-Level-Headers (MAC-Adressen)
-n	Keine Auflösung von IP- und Portadressen in Namen
-N	Keine Domainnamen Bsp.: pc161 anstelle von pc161.nse

Arbeiten mit Dateien

-w <file>	Schreibt die Pakete in die Datei file ( '-' = STDOUT)
-r <file>	Liest Pakete aus file ( '-' = STDIN)

Expressions

Expressions definieren Filterregeln. Sie werden wie Boolesche Ausdrücke verwendet.
Filterregeln können mit den Operatoren and und or und not verknüpft werden.
Ergibt der gesamte (boolesche) Ausdruck true, so wird das Paket gefiltert.
Der Ausdruck wird als packet-matching code bezeichnet.

host <host>	Pakete, in denen die IP des host vorkommt, werden gefiltert. host kann IP oder FQHN sein
net <net>	Pakete, in denen die Net-ID net vorkommt, werden gefiltert. net muß IP-Netaddress sein. Bsp.: 192.168.0 anstelle von mynet.de
port <port>	Pakete, in denen der Port port vorkommt, werden gefiltert port kann Nummer oder Name gemäß /etc/services sein
src <host>	Pakete, die vom host kommen, werden gefiltert. host kann IP oder FQHN sein
dst <host>	Pakete, die zum host gehen, werden gefiltert. host kann IP oder FQHN sein
tcp udp ip arp ...	Protokolltypen, die gefiltert werden ( s.a man tcpdump )
-F <file>	Berücksichtigt Expressions nur aus einer Datei file
-o	packet-matching code wird nicht optimiert
-d	Angabe des packet-matching code in lesbarer Form (Zahl)