1 minute read

# -i LAN interface
# -s packetデータ長
# -A ASCII 表示
# -w {出力先} (wiresharkで開ける)
# -nn ホスト名、ポート番号をまま表示
# -p promiscuous mode (off推奨)

$ sudo tcpdump -i eth0 -s 0 -A -w ./dumfile.pcap -nn -p [port xx]
$ sudo tcpdump -i eth0 -s 0 -p port xx | grep 10.0

NIC 動作モードの一つである promiscuous mode を on にすると packet filter が解除され、(宛先に関わらず)同一ネットワーク内の全パケットを読み込む。offだと当該ホスト宛のpacketのみキャプチャする。他送信者や受診者に気付かれずに通信を見ることが出来るが、syslogとかに以下のログが残る。監視ツールに不正アクセス判定される可能性もある。