tcpdump チートシート
tcpdumpコマンドのクイックリファレンス。パケットキャプチャ、ホスト/ポート/プロトコルフィルタ、出力オプション、高度なフィルタ、BPF構文を網羅
59 件のコマンド
tcpdumpデフォルトインターフェースでキャプチャ開始
sudo tcpdumptcpdump -i {iface}指定インターフェースでキャプチャ
sudo tcpdump -i eth0tcpdump -i any全インターフェースでキャプチャ
sudo tcpdump -i anytcpdump -c {n}指定パケット数をキャプチャして終了
sudo tcpdump -c 100tcpdump -D利用可能なインターフェース一覧を表示
sudo tcpdump -Dtcpdump -s {size}スナップショット長を設定(バイト)
sudo tcpdump -s 0tcpdump -s 0パケット全体をキャプチャ
sudo tcpdump -s 0tcpdump -q簡易出力モード
sudo tcpdump -qtcpdump -eリンク層ヘッダも表示
sudo tcpdump -etcpdump host {ip}特定ホストのトラフィックをキャプチャ
sudo tcpdump host 192.168.1.1tcpdump src host {ip}送信元ホストでフィルタ
sudo tcpdump src host 10.0.0.1tcpdump dst host {ip}宛先ホストでフィルタ
sudo tcpdump dst host 10.0.0.2tcpdump net {cidr}ネットワーク範囲でフィルタ
sudo tcpdump net 192.168.1.0/24tcpdump src net {cidr}送信元ネットワーク範囲でフィルタ
sudo tcpdump src net 10.0.0.0/8tcpdump dst net {cidr}宛先ネットワーク範囲でフィルタ
sudo tcpdump dst net 172.16.0.0/12tcpdump host A and host B2ホスト間のトラフィック
sudo tcpdump host 10.0.0.1 and host 10.0.0.2tcpdump not host {ip}特定ホストを除外
sudo tcpdump not host 192.168.1.1tcpdump port {n}特定ポートのトラフィックをキャプチャ
sudo tcpdump port 80tcpdump src port {n}送信元ポートでフィルタ
sudo tcpdump src port 443tcpdump dst port {n}宛先ポートでフィルタ
sudo tcpdump dst port 3306tcpdump portrange {a}-{b}ポート範囲でフィルタ
sudo tcpdump portrange 8000-9000tcpdump port 80 or port 443複数ポートでフィルタ(OR条件)
sudo tcpdump port 80 or port 443tcpdump not port 22特定ポートを除外
sudo tcpdump not port 22tcpdump host {ip} and port {n}ホストとポートの複合フィルタ
sudo tcpdump host 10.0.0.1 and port 80tcpdump tcpTCPパケットのみキャプチャ
sudo tcpdump tcptcpdump udpUDPパケットのみキャプチャ
sudo tcpdump udptcpdump icmpICMPパケットのみキャプチャ
sudo tcpdump icmptcpdump arpARPパケットのみキャプチャ
sudo tcpdump arptcpdump ip6IPv6パケットのみキャプチャ
sudo tcpdump ip6tcpdump vlanVLANタグ付きパケットをキャプチャ
sudo tcpdump vlantcpdump 'tcp[tcpflags] & tcp-syn != 0'SYNフラグ付きTCPパケット
sudo tcpdump 'tcp[tcpflags] & tcp-syn != 0'tcpdump 'tcp[tcpflags] & tcp-rst != 0'RSTフラグ付きTCPパケット
sudo tcpdump 'tcp[tcpflags] & tcp-rst != 0'tcpdump -w {file}キャプチャをpcapファイルに保存
sudo tcpdump -w capture.pcaptcpdump -r {file}pcapファイルを読み込み
tcpdump -r capture.pcaptcpdump -n名前解決しない(IPアドレスで表示)
sudo tcpdump -ntcpdump -nnホスト名・ポート名を解決しない
sudo tcpdump -nntcpdump -tタイムスタンプを表示しない
sudo tcpdump -ttcpdump -ttUnix時間でタイムスタンプ表示
sudo tcpdump -tttcpdump -tttパケット間の経過時間を表示
sudo tcpdump -ttttcpdump -v詳細出力
sudo tcpdump -vtcpdump -vvより詳細な出力
sudo tcpdump -vvtcpdump -XHEXとASCIIでパケット内容を表示
sudo tcpdump -Xtcpdump -AASCIIでパケット内容を表示
sudo tcpdump -Atcpdump -C {size}ファイルサイズ制限(MB)でローテーション
sudo tcpdump -w out.pcap -C 100tcpdump -W {count}ローテーションファイル数を制限
sudo tcpdump -w out.pcap -C 100 -W 10tcpdump -G {sec}指定秒数ごとにファイルをローテーション
sudo tcpdump -w out_%H%M.pcap -G 3600tcpdump -Z {user}指定ユーザー権限でキャプチャ
sudo tcpdump -Z tcpdumptcpdump -l行バッファリングモード(パイプ用)
sudo tcpdump -l | tee output.txttcpdump -Kチェックサム検証をスキップ
sudo tcpdump -Ktcpdump -S絶対TCPシーケンス番号を表示
sudo tcpdump -Sand / &&論理AND条件
sudo tcpdump tcp and port 80or / ||論理OR条件
sudo tcpdump port 80 or port 443not / !論理NOT条件
sudo tcpdump not arpgreater {n}指定バイト以上のパケット
sudo tcpdump greater 1000less {n}指定バイト以下のパケット
sudo tcpdump less 100tcp[13] == 2SYNパケットのみ(TCPフラグ指定)
sudo tcpdump 'tcp[13] == 2'tcp[13] == 18SYN-ACKパケットのみ
sudo tcpdump 'tcp[13] == 18'tcp[13] & 4 != 0RSTフラグを含むパケット
sudo tcpdump 'tcp[13] & 4 != 0'ip[6:2] & 0x1fff != 0フラグメント化されたパケット
sudo tcpdump 'ip[6:2] & 0x1fff != 0'