Вики IT-KB

Пример просмотра входящего на интерфейс (eth0) трафика SNMP от удалённого хоста (10.10.2.8):

# tcpdump -i eth0 -T snmp -n dst portrange 161-162 and src host 10.10.2.8

Примеры просмотра HTTP-трафика.

Вариант вывода на консоль:

#tcpdump -c 30 -s 0 -i eth0 -A host 192.168.1.1 and tcp port http

• -c 20: Завершить захват после 30 пакетов
• -s 0: Полный вывод передаваемых в пакетах данных (отключение усечения)
• -i eth0: Интерфейс на котором вести захват трафика
• -A: Выводить в ASCII
• host 192.168.1.1: Отслеживать обмен только с узлом 192.168.1.1
• and tcp port http: захватывать только HTTP пакеты можно не использовать, если нужно трафик может идти по разным портам. либо можно конкретизировать кастомные порты - «tcp port 8080»

Вариант записи в файл:

#tcpdump -i eth0 host 192.168.1.1 -w /tmp/web-server.cap

Просмотр HTTP трафика на стороне отвечающего на клиентские запросы веб-сервера (в формате запрос-ответ с выводом информации о HTTP-заголовках):

# tcpdump -A -s 0 \
'tcp port 3128 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'