tcpdump

• -i - Прослушиваемый интерфейс
• port 9000, port 80
• -A - выводить все пакеты в формате ASCII;
• -c - закрыть программу после перехвата n-ого количества пакетов;
• -C - при записи пакетов в файл, проверять размер файла, и если он больше заданного - создать новый файл;
• -D - вывести список доступных сетевых интерфейсов;
• -e - выводить информацию уровня соединения для каждого пакета, это может быть полезно, например, для отображения MAC адреса;
• -f - выводить доменное имя для ip адресов;
• -F - читать пакеты из файла, а не интерфейса;
• -G - создавать новый файл лога через указанный промежуток времени;
• -H - обнаруживать заголовки 802.11s;
• -i - имя интерфейса для перехвата пакетов. Вы можете захватывать пакеты со всех интерфейсов, для этого укажите any;
• -I - переключить интерфейс в режим монитора для захвата всех проходящих пакетов;
• -j - установить формат Timestamp для записи пакетов;
• -J - посмотреть доступные Timestamp;
• -K - не проверять контрольные суммы пакетов;
• -l - добавить поддержку прокрутки к выводу;
• -L - вывести поддерживаемые протоколы подключения для интерфейса;
• -n - не отображать доменные имена;
• -r - прочитать пакеты из файла, созданного с помощью -w;
• -v, -vv, -vvv - более подробный вывод;
• -q - выводить минимум информации;
• -w - записать вывод в файл;
• -Z - пользователь, от имени которого будут создаваться файлы.

$ tcpdump -i eth0 -s0 -w resolv.pcap port 53

$ tcpdump -An  tcp port 80

$ tcpdump -nAs 20000 -i lo tcp port 9000

• tcpdump -n -i eth0 -l | tee resolv.pcap
• затем Wireshark

• http://www.lexpr.ru/tcpdump
• http://storm.in.ua/a2/analiz-setevogo-trafika-s-pomoschyu-Tcpdump.html
• http://www.inattack.ru/article/analiz-trafika-pri-pomoschi-tcpdump-chas/266.html#.UIpnsYKCgUA