tcpdump自分用メモ

オプション

基本的なオプション

#fileにキャプチャデータを出力
-w [file]
#キャプチャデータfileを読み込み
-r [file]
#キャプチャするパケットの数を指定
-c [num]

細かい指定

#ASCIIで表示(HTTPのキャプチャに便利)
-A
#TODO
-d
#デバイスのNICを一覧表示
-D
#リンクレベルのヘッダを表示
-e
#フィルタ条件をファイルから読み込み
-F [expression_file]
#キャプチャデータを複数のファイルに分割して保存
-G [num]
#キャプチャするインターフェイスを指定
-i [interface]
#簡易な出力
-q
#アドレスやポート番号を名前解決しない
-n
#ホストのドメイン名を表示しない
-N

フィルタ

ポート番号でフィルタ

[src|dst] port <port-no>

IPアドレスでフィルタ

[src|dst] host <ip-address>

MACアドレスでフィルタ

ether [src|dst] <mac-address>

ネットワークアドレスでフィルタ

[src|dst] net <network-address> mask <subnet-mask>

IPの上位プロトコルでフィルタ

ip proto <protocol>

tcp, icmp, udpの場合は'ip proto'は要らない

参考ページは以下

Man page of TCPDUMP