Tcpdump pode interpretar e escrever os cabeçalhos de vários protocolos como ethernet, IP, ICMP, TCP, UDP, NFS e outros. É útil para examinar e interpretar as retransmissões e operações de gerenciamento de implementações TCP. O arquivo de log gerado por ele contém, em cada linha de saída, a hora que o pacote foi recebido, tipo do pacote e outros valores do cabeçalho.
Formato básico:
tcpdump [ -deflnNOpqStvx ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [expression]
Parâmetros:
-d: faz um dump do pacote para a saída padrão e encerra.
-e: escreve o cabeçalho link-level em cada linha de dump.
-f: escreve endereços internet `foreign' numericamente ao invés de simbolicamente.
-l: faz a saída em linha `buffered'.
-n: não converte endereços para nomes.
-N: não escreve a qualificação do nome do domínio do host. ( por ex:, com este flag tcpdump escreverá `nic' ao invés de `nic.ddn.mil').
-O: não roda o código otimizador.
-p: não coloca a interface em modo promíscuo.
-q: saída rápida. Escreve menos informações do protocolo, assim as linhas de resposta são menores.
-S: escreve absoluto ao invés de relativo.
-t: não escreve o `timestamp' em cada linha.
-v: saída prolixa.
-x: escreve cada pacote em hexadecimal.
-c count: encerra após receber `count' pacotes.
-F file: usa um arquivo como entrada para filtrar expressão.
-i interface: escuta na interface especificada.
-r file: lê os pacotes de um aquivo ( que foram criados com a opção -w).
-w file: escreve os pacotes num arquivo, que poderá ser lido mais tarde com a opção -r.
expression: seleciona que pacotes serão `dumped'. Se nenhuma expressão é dada, todos os pacotes da rede serão `dumped'.
Muito semelhante ao etherfind, possui várias opções de execução e aceita combinações das primitivas, como os exemplos a seguir mostram:
Ex.1: Escrever todos os pacotes que chegam ou saem da máquina minuano
tcpdump host minuano
Ex.2: Escrever o tráfego entre minuano e pala
tcpdump host minuano and pala
Ex.3: Escrever todos os pacotes TCP entre minuano e qualquer outra máquina, exceto pala.
tcpdump tcp host minuano and not pala