| ключ |
описание |
| -a |
Преобразовывает сетевые и широковещательные адреса в доменные имена. |
| -e |
Отображает данные канального уровня. Вместо ip-адресов будут отображаться mac-адреса компьютеров. |
| -F файл |
Использовать фильтр, находящийся в файле. Если вы используете этот параметр, фильтр из командной строки будет игнорироваться. |
| -i |
Указывает на то, какой сетевой интерфейс будет использоваться для захвата пакетов. По-умолчанию — eth0, но если отсутствует локальная сеть, то можно воспользоваться интерфейсом обратной связи lo. |
| -l |
Использовать стандартный потоковый вывод tcpdump, например для записи в файл:
shell# tcpdump -l | tee out.log //отобразит работу tcpdump и сохранит результат в файле out.log
|
| -N |
Не добавляет доменное расширение к именам узлов. Например tcpdump отобразит 'net' вместо 'net.library.org' |
| -n |
Отображает ip-адрес вместо имени хоста. |
| -nn |
Отображает номер порта вместо используемого им протокола. |
| -p |
Не переводит интерфейс в режим приема всех пакетов. |
| -q |
Выводит минимум информации. Обычно это имя протокола, откуда и куда шел пакет, порты и количество переданных данных. |
| -r |
Этот параметр позволяет tcpdump прочесть трафик из файла, если он был предварительно сохранен параметром -w. |
| -S |
Позволяет не обрабатывать абсолютные порядковые номера в относительные. |
| -s число |
Количество байтов пакета, которые будет обрабатывать tcpdump. При установке большого числа отображаемых байтов информация может не уместиться на экране и ее будет трудно изучать. В зависимости от того, какие цели вы преследуете, и следует выбирать значение этого параметра. По-умолчанию tcpdump сохраняет первые 68 байт, однако если вы хотите увидеть содержимое всего пакета, используйте значение в 1500 байт. |
| -t |
Не отображает метку времени в каждой строке. |
| -T тип |
Интерпретация пакетов заданного типа. Поддерживаются типы aodv, cnfp, rpc, rtp, rtcp, snmp, tftp, vat, wb. |
| -tt |
Отображает неформатированную метку времени в каждой строке. |
| -tttt |
Показывает время вместе с датой. |
| -v |
Вывод подробной информации |
| -vv |
Вывод еще более полной информации, в основном касается NFS и SMB. |
| -vvv |
Вывод максимально подробной информации. |
| -w |
Сохраняет данные tcpdump в двоичном формате. Преимущества использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку. |
| -X |
Выводит пакет в ASCII- и hex-формате. Полезно в случае анализа инцидента связанного со взломом, так как позволяет просмотреть какая текстовая информация передавалась во время соединения. |
| -x |
Делает распечатку пакета в шестнадцатеричной системе, полезно для более детального анализа пакета. Количество отображаемых данных зависит от параметра -s |
| -xx |
Тоже, что и предыдущий параметр, но включает в себя заголовок канального уровня |
| -XX |
Тоже, что и предыдущий параметр, но включает заголовок канального уровня. |
| -с число |
tcpdump завершит работу после получения указанного числа пакетов. |