Método de uso tcpdump comúnmente utilizado
-A Imprima todos los paquetes en formato ASCII y minimice el encabezado de la capa de enlace.
-c Después de recibir el número especificado de paquetes, tcpdump se detendrá.
-C Antes de escribir un paquete sin procesar en el archivo, verifique si el tamaño actual del archivo excede el tamaño especificado en el parámetro file_size. Si excede el tamaño especificado, el archivo actual se cierra y luego se abre un nuevo archivo. La unidad del parámetro file_size es megabytes (1,000,000 bytes, no 1,048,576 bytes).
-d hará coincidir el código del paquete de información con el formato de ensamblaje que la gente pueda entender.
-dd Da el código del paquete de información coincidente en el formato de un segmento de programa en lenguaje C.
-ddd Da el código del paquete coincidente en forma decimal.
-D Imprime todas las interfaces de red del sistema que tcpdump puede interceptar.
-e Imprime la información del encabezado de la capa de enlace de datos en la línea de salida.
-E Use spi @ ipaddr algo: secret para descifrar paquetes IPsec ESP con addr como dirección y que contenga el valor de índice del parámetro de seguridad spi.
-f Imprima la dirección de Internet externa en formato digital.
-F Lee expresiones del archivo especificado, ignorando las expresiones dadas en la línea de comando.
-i Especifica la interfaz de red que se supervisará.
-l Convierta la salida estándar en un formato de línea de búfer, puede exportar los datos a un archivo.
-L enumera los enlaces de datos conocidos de la interfaz de red.
-m Importa la definición del módulo SMI MIB desde el módulo de archivo. Este parámetro se puede utilizar varias veces para importar varios módulos MIB.
-M Si hay opciones de TCP-MD5 en el mensaje tcp, debe usar secreto como código de verificación compartido para verificar el resumen de las opciones de TCP-MD5 (para obtener más detalles, consulte RFC 2385).
-b Seleccione el protocolo en la capa de enlace de datos, incluidos ip, arp, rarp e ipx en esta capa.
-n No convierte direcciones de red en nombres.
-nn se muestra directamente por IP y número de puerto, en lugar de por nombre de host y servidor.
-N No genera la parte del nombre de dominio del nombre de host. Por ejemplo, 'nic.ddn.mil' solo genera 'nic'.
-t No imprime una marca de tiempo en cada línea de salida. (-Tt -ttt)
-O No ejecute el programa de optimización de código de coincidencia de paquetes.
-P no establece la interfaz de red en modo promiscuo.
-q Salida rápida. Solo genera menos información de protocolo.
-r Leer paquetes del archivo especificado (estos paquetes generalmente se generan con la opción -w).
Cómo usar tcpdump
-S Muestra el número de serie de tcp como un valor absoluto, en lugar de un valor relativo.
-s Lee los primeros bytes de snaplen de cada paquete en lugar de los 68 bytes predeterminados. -s 0 significa longitud ilimitada y genera el paquete completo.
-T interpreta el paquete monitoreado directamente como un tipo específico de mensaje, los tipos comunes son llamada a procedimiento remoto rpc) y snmp (protocolo simple de administración de red).
-t No genera la marca de tiempo en cada línea.
-tt Muestra una marca de tiempo sin formato en cada línea.
-ttt Muestra la diferencia de tiempo entre esta línea y la línea anterior.
-tttt Muestra la marca de tiempo en el formato predeterminado procesado por fecha en cada línea.
-u Identificador de salida NFS sin codificar.
-v genera una información ligeramente detallada, por ejemplo, ttl y la información del tipo de servicio se pueden incluir en el paquete ip.
-vv genera información más detallada.
-vv muestra información detallada del mensaje.
-w Escriba la agrupación directamente en el archivo en lugar de no analizarlo e imprimirlo. (El archivo .pcap de salida se puede abrir con wirehark en Windows para un análisis más detallado)
Para permitir que wirehark analice paquetes tcpdump, el punto clave es el parámetro -s, y el archivo de salida debe guardarse para -w.
-X y -XX, salida en modo hexadecimal y ASCII, puede mostrar paquetes de datos en modo legible, adecuado para HTTP, memcached ascii y otros protocolos de transmisión de texto plano, puede ver el contenido;
uso de tcpdump más avanzado