====== tcpdump ======


Capturer les paquets d'une interface :

  tcpdump -i <interface>
  
Capturer un nombre précis de paquets (2 dans l'exemple qui suit) :

  tcpdump -c 2 -i <interface>
  
Capturer les paquets et sauver la capture dans un fichier :

  tcpdump -w fichier.pcap -i <interface>

Lire le fichier de capture :

  tcpdump -tttt -r fichier.pcap
  
Capturer les paquets et indiquer les ip au lieu des noms :

  tcpdump -n -i <interface>
  
Capturer les paquets et indiquer un horodatage "humain" :

  tcpdump -n -tttt -i <interface>
  
Capturer les paquets d'un protocole précis :

  tcpdump -i <interface> fddi|tr|wlan|ip|ip6|arp|rarp|decnet|tcp|udp
  
Capturer les paquets ayant une destination et un port précis :

  tcpdump --i <interface> dst XXX.XXX.XXX.XXX and port <port>
  
Capturer les paquets ayant une source et un port précis :

  tcpdump --i <interface> src XXX.XXX.XXX.XXX and port <port>

Lire un fichier log de pf :

  tcpdump -n -e -tttt -r /var/log/pflog
  
Lire les logs de pf en temps réel (via l'interface pflog0)

  tcpdump -n -e -tttt -i pflog0
  
Voir tout ce qui vient de 10.168.1.31 sauf du port 22

  tcpdump -n port not 22 and host 10.168.1.31