Pakete grösser 800 und kleiner 1000 Byte

• tcpdump -ni eth0 host 8.8.8. and greater 800 and less 1000

Pakete grösser 1300 Byte

• tcpdump -ni eth0 "ip[2:2] > 1300"

Filtern nach Mac Adresse

• tcpdump -ni ens3 ether host 52:54:00:04:19:7e

Pakete grösser 1200 Byte und kleiner als 1300

• tcpdump -ni eth0 "ip[2:2] > 1250" and "ip[2:2] < 1300"

ESP Pakete grösser 1300 Byte und kleiner als 1500 Byte

• tcpdump -ni eth0 esp and "ip[2:2] > 1300" and "ip[2:2] < 1500"

Pakete von und ins Netz 10.32.66.0/24

• tcpdump -ni eth0 net 10.32.66.0/24

PPPoE Pakete

• tcpdump -i ens12 ether[12:2] == 0x8863 or ether[0x0c:2] == 0x8864

Arp Pakete

• tcpdump -i ens12 ether[12:2] == 0x0806

Vlan Tagged Packets

• tcpdump -ni ens12 vlan 7

Nur Syn Packets

• tcpdump -ni ens9 'tcp[13] == 2'
• tcpdump -ni ens9 'tcp[tcpflags] == tcp-syn'

Syn Packets

• tcpdump -ni ens9 'tcp[13] & 2 == 2'

Nur Ack Packets

• tcpdump -ni ens9 'tcp[13] == 16'
• tcpdump -ni ens9 'tcp[tcpflags] == tcp-ack'

Ack Packets

• tcpdump -ni ens9 'tcp[13] & 16 == 16'

Höchstes Source Addr Byte 94

• tcpdump -ni ppp0 'ip[12] == 94'

Höchstes Dest Addr Byte 94

• tcpdump -ni ppp0 'ip[12] == 94'

TTL gleich 3

• tcpdump -nnni ens9 'ip[8] == 3'

Router Solicitation oder Router Advertisement

• tcpdump -i ens19 icmp6 && ip6[40] == 133 || icmp6 && ip6[40] == 133