tcpdump е най използвания инструмент за прослушване на трафика в мрежата от Линукс шел.
tcpdump е общ анализатор на пакети, който работи в командния ред. Програмата позволява на потребителя да преглежда TCP/IP пакети който се изпращат или получават по мрежата в която се намира компютъра. Той е написан през 1987 г. от Van Jacobson, Craig Leres и Steven McCanne които по това време са работели в лабораторията Lawrence Berkeley Laboratory в мрежата Research Group.
Tcpdump е свободен софтуер под BSD лиценз.
Tcpdump работи на повечето Unix-подобни операционни системи: Linux, Solaris, BSD, Mac OS X, HP-UX и AIX и др. При тези системи, Tcpdump използва libpcap библиотеката, за прослушване на пакети.
# слуша на vlan100 интерфейс tcpdump -i vlan100 # показва само 10 реда tcpdump -i vlan100 -c 10 # слуша порт 80 без DNS имена tcpdump -n dst port 80 # слуша на vlan100 порт 80 tcpdump -i vlan100 port 80 # същото но от порт 81 до 100 без DNS имена tcpdump -i vlan100 -n portrange 81-100 # слуша на vlan100 ип адрес 10.125.3.2 tcpdump -i vlan100 host 10.125.3.2 # слуша на vlan100 цялата мрежа 10.125.1.0/24 tcpdump -i vlan100 src net 10.125.1.0/24 # слуша на vlan100 порт 80 от ип адрес 10.125.3.2 tcpdump -i vlan100 port 80 and host 10.125.3.2 # без DNS имена, vlan100, изключва протокола ssh слуша пакети от ип адрес 10.125.3.2 tcpdump -nl -i vlan100 not port ssh and src host 10.125.3.2 # същото но с два ип адреса tcpdump -nl -i vlan100 not port ssh and src \(10.125.3.2 or 10.125.3.3\) # слуша на vlan100 портове 25, 110 и 143 tcpdump -i vlan100 port \(25 or 110 or 143\) # слуша на vlan100 протокола icmp tcpdump -n -i vlan100 icmp # слуша на vlan100 протокола arp tcpdump -n -i vlan100 arp # слуша на vlan100 трафика през порт 80 в текстов вид tcpdump -i vlan100 -s 0 -A port 80 | grep GET |
