とりあえず動かす。
一番小さい(ifconfigで最初に表示されるinterface?)interfaceを見る。
tcpdump -i eth0 -s0 not port 22 and not arp
-i eth0 ... eth0を見る。
-s0 ... デフォルトでは先頭68バイトしかdumpしないので、全部取りたい時はこうする。
not port 22 and not arp ... ポート22とarpは除外する。portだけ指定すると送受信両方の指定になる。どちらかを限定するときは src port または dst port とする。
tcpdump -i eth0 -s0 -x not port 22 and not arp
-x: 16進数表示
tcpdump -i eth0 -s0 -X not port 22 and not arp
-X: 16進数とascii表示
tcpdump -i eth0 icmp
icmpだけを見る。
tcpdump -i eth0 src host 1.2.3.4 and not port 22
送信元が1.2.3.4で、portが22以外
tcpdump -i eth0 host 1.2.3.4
送信元或いは宛先が 1.2.3.4
tcpdump -i eth0 dst host 5.6.7.8
宛先が 5.6.7.8
tcpdump -n -i eth0 -s0 -w dump001.cap not port 22 and not arp
-n: ipアドレスを名前解決しない
-w: 出力ファイル名。このファイルをwiresharkで開ける。 tcpdump -r dump001.cap でも開ける。
tcpdump -?
引数一覧を表示
man tcpdump
マニュアルを表示