Утилита TCPDump

Tcpdump выводит заголовки пакетов проходящих через сетевой интерфейс, которые совпадают с булевым выражением. Он может также быть запущен с ключем -w, который заставляет сохранять данные пактов в файл для дальнейшего исследования, и/или с ключем -r, который заставляет читать сохраненные пакеты из файла, вместо чтения пакетов из сетевого интерфейса.

Рассмотрим фильтрующее выражение, при истине которого пакет должен обрабатываться. Выражение состоит из одного или более примитивов. Примитивы обычно состоят из ID (имя или номер) следующего за одним или более классификаторами. Различают три вида классификаторов:

type - тип ID (host, net, port)
dir - направление движения передачи "к" и/или "от" ID (src, dst, src or dst и src and dst)
proto - протокол (tcp, ether, arp и т.д.)

Перечислим некоторые из допустимых примитивов:

host host - Истина, если или поле "назначение", или поле "источник" пакета - это host
port port - Истина, если или порт-назначение, или порт-источник в пакете - port
less length - Истина, если пакет имеет длину больше или равную length. Это эквивалентно len >= length

Пример вывода TCPDump, на примере загаловка пакета закрытия tcp-соединения:
20:55:32.178798 IP 172.16.74.235-dsl.prv.61894 > www.onego.ru.http: F 547:547(0) ack 2080 win 65535
Здесь указанно:

Время перехвата: 20:55:32.178798
дрес и порт отправителя: 172.16.74.235-dsl.prv.61894
адрес и порт получателя: www.onego.ru.http
флаги, в данном случае флаг заершения соединения: F
переданный байты (их интервал и в скобках кол-во): 547:547(0)
подтверждение получения данных: ack 2080
размер окна: win 65535