allgemein

• lausche an dem lan interface

tcpdump  -i lan

• lausche an dem eth0 interface

tcpdump  -i eth0

• schneide 100 pakete mit

tcpdump -ni eth0 -c 100

• unterdrücke namensauflösung

tcpdump  -ni lan 

• schreibe datenstrom in die datei dat.cap im capture-format

tcpdump  -ni lan -w dat.cap

• lese aus der datei dat.cap

tcpdump  -r  dat.cap

• komplettes paket mitschneiden

tcpdump -ni lan -s 1500 -w dat.cap

filter

• filtere pakete die die absender oder empfänger ip addresse 192.168.244.1 enthalten

tcpdump -ni eth0 host 192.168.244.1

• filtere pakete die die absender ip addresse 192.168.244.1 enthalten

tcpdump -ni eth0 src host 192.168.244.1

• filtere pakete die die empfänger ip addresse 192.168.244.1 enthalten

tcpdump -ni eth0 dst host 192.168.244.1

• filtere icmp pakete

tcpdump -ni eth0 icmp

• filtere nach paketen die den absender oder empfänger port 80 enthalten

tcpdump -ni eth0 port 80 

• filtere nach paketen die den absender port 80 enthalten

tcpdump -ni eth0 src port 80 

• filtere nach paketen die den empfänger port 80 enthalten

tcpdump -ni eth0 dst port 80

• filtere nach paketen die den absender oder empfänger port 80 und die absender oder empfänger ip addresse 192.168.244.12 enthalten

tcpdump -ni eth0 host 192.168.244.12 and port 80

• filtere nach paketen die nicht den absender oder empfänger port 22 und die absender oder empfänger ip addresse 192.168.244.1 enthalten

tcpdump -ni eth0  host 192.168.244.1 and ! port 22

• filtere nach icmp paketen oder die absender oder empfänger ip addresse 192.168.244.1 enthalten

tcpdump -ni eth0  host 192.168.244.1 or  icmp

• filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 enthalten

tcpdump -ni eth0  net 192.168.244.0/24

• filtere nach paketen die die absender oder empfänger ip aus dem netz 192.168.244.0/24 und ein icmp pakete oder eine pakete mit port 80

tcpdump -ni eth0  net 192.168.244.0/24 and  \( icmp  or port 80 \)