[Ubuntu] よく使う tcpdump コマンドのオプション

tcpdump のオプションをよく忘れてしまう。

この投稿では、僕がよく使う tcpdump のオプションをメモとして残しておく。

sudo tcpdump -nn 'dst host 172.16.1.2 and dst port !22'

• -nn は、送信元アドレス・宛先アドレスを IP のまま表示させるオプション
• dst host 172.16.1.2 は、宛先アドレスが 172.16.1.2 のパケットを表示させるオプション
• dst port !22 は、宛先ポート番号が 22 番以外を表示させるオプション

ssh で接続しているホストで tcpdump を叩くと ssh のパケットがいっぱい表示されて邪魔なので dst port !22 を使っている。

反対に、特定のポート番号のパケットが届いているかを調べたいときには、

sudo tcpdump -nn 'dst host 172.16.1.2 and dst port 27874'

とすれば良い。

この場合は、宛先ポート番号が 27874 番のパケットだけを拾ってくれる。

IP アドレスをキーにして調べたい場合は、

sudo tcpdump -nn 'host 172.16.1.2'

といった具合だ。これは送信元か宛先か関係なく 172.16.1.2 のパケットを拾ってくれる。

インターフェイス名を明示的に指定しないとうまく動かない環境 (OS 設定) もあるようだ。そういった場合は以下を使う。

sudo tcpdump -i enp2s0 -nn 'src host 172.16.1.101'