Tcpdump
посмотреть трафик на интерфейсе:
tcpdump -i fxp1
посмотреть трафик одного хоста:
tcpdump host 1.2.3.4
посмотреть трафик на порте:
tcpdump src port 80
посмотреть IP трафик на хост:
tcpdump ip host 1.2.3.4
посмотреть ARP трафик на хост:
tcpdump arp host 1.2.3.4
посмотреть RARP трафик на хост:
tcpdump rarp host 1.2.3.4
посмотреть трафик, кроме хоста unixserver:
tcpdump not host unixserver
посмотреть трафик на server1 и server2
tcpdump host server1 or host server2
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru
tcpdump -X -i tun0 host ya.ru
подсмотреть номера и пароли к icq
tcpdump -X -i fxp1 port aol
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста
tcpdump -X -s 1500 -n -i tun0 host ya.ru
Внешние ссылки
http://www.linuxshare.ru/docs/net/tcpdump.html
http://acs.lbl.gov/~jason/tcpdump_advanced_filters.txt
Альтернативы
Ethereal — GUI анализатор трафика
Tethereal — консольная версия Ethereal
// В FreeBSD - ставить из портов // В большинстве прочих дистрибутивов есть в опциональных пакетах tethereal -i fxp0 -T text -f 'tcp port 5190' -w icqtext
Trafshow — консольный монитор трафика
// В FreeBSD - ставить из портов // В большинстве прочих дистрибутивов есть в опциональных пакетах // trafshow <options> <expr>, где <options>: // -i <interface> - интерфейс, на котором ловить пакеты // -n - не пытаться преобразовывать IP в имена // (полный список опций - man trafshow) // <expr> - выражение-фильтр в формате tcpdump // пример: trafshow -i ed0 -n dst net 10.128.0.0 mask 255.255.0.0