Capturer les paquets d'une interface :

tcpdump -i <interface>

Capturer un nombre précis de paquets (2 dans l'exemple qui suit) :

tcpdump -c 2 -i <interface>

Capturer les paquets et sauver la capture dans un fichier :

tcpdump -w fichier.pcap -i <interface>

Lire le fichier de capture :

tcpdump -tttt -r fichier.pcap

Capturer les paquets et indiquer les ip au lieu des noms :

tcpdump -n -i <interface>

Capturer les paquets et indiquer un horodatage “humain” :

tcpdump -n -tttt -i <interface>

Capturer les paquets d'un protocole précis :

tcpdump -i <interface> fddi|tr|wlan|ip|ip6|arp|rarp|decnet|tcp|udp

Capturer les paquets ayant une destination et un port précis :

tcpdump --i <interface> dst XXX.XXX.XXX.XXX and port <port>

Capturer les paquets ayant une source et un port précis :

tcpdump --i <interface> src XXX.XXX.XXX.XXX and port <port>

Lire un fichier log de pf :

tcpdump -n -e -tttt -r /var/log/pflog

Lire les logs de pf en temps réel (via l'interface pflog0)

tcpdump -n -e -tttt -i pflog0

Voir tout ce qui vient de 10.168.1.31 sauf du port 22

tcpdump -n port not 22 and host 10.168.1.31