флаги tcpdump

-i

указываем сетевой интерфейс для прослушки

-e
меняем IP адреса компьютеров на их MAC

-w
(w — в нижнем регистре)
Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку.

-r
читаем трафик из файла , если он был предварительно сохранен параметром -w.

-x
(x — в нижнем регистре)
переходим на шестнадцатиричную систему. Количество отображаемых данных зависит от опции -s

-xx
(x — в нижнем регистре)
шестнадцатиричная система + заголовок канального уровня

-X
(x — в верхнем регистре)
Выводит пакет в ASCII- и hex-формате. Подходит для анализа передавшейся информации

-XX
(XX — в верхнем регистре)
Выводит пакет в ASCII- и hex-формате + заголовок канального уровня

-s число
(s — в нижнем регистре)
Количество байтов , которые будет обрабатывать tcpdump. Дефолтом сохраняется 68 байт.

Для локалки максимальное кол-во — 1500

-S
(s — в верхнем регистре)
Позволяет не обрабатывать абсолютные порядковые номера ( initial sequence number — ISN) в относительные.

-n
показывает IP вместо имени хоста

-a
Меняет сетевые и широковещательные адреса на доменные имена.

-с число
tcpdump завершит работу после получения указанного числа пакетов.

-nn
Отображает номер порта вместо используемого протокола.

-N
Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'gov' вместо 'gov.com.ru'

-p
Не переводит интерфейс в promiscuous режим.

-q
Выводит минимум информации.

-t
Не отображает метку времени в каждой строке.

-tt
Отображает неформатированную метку времени в каждой строке.

-tttt
показывает полное время

-T тип
Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb.

-v
Вывод подробной информации о пакете

-vv
Вывод еще более подробной информации.

-vvv
Вывод максимально подробной информации.

-l
Использовать стандартный потоковый вывод tcpdump (stdout), например для записи в файл.

-F файл
Использовать фильтр, находящийся в файле

Leave a Reply