| FLAG |
Beschreibung |
| -d interface |
definiert das Interface auf dem "gehört" werden soll. |
| -v |
Der volle Brett Modus, alles Daten für jedes Paket werden angezeigt. |
| -V |
Der halbe Brett Modus, für jeden relevanten OSI Layer wird pro Paket eine Zeile angezeigt |
| -n |
Ohne Namensauflösung, unbedingt empfehlenswert |
| -p |
Das Interface wird nicht in den promiscuos mode geschaltet. Somit erhält man nur eigene Pakete |
| -i filename |
Lesen eines Mitschnittes aus einer Datei |
| -o filename |
Schreiben der Daten in ein File (binär) |
| -s nummer |
Mitschnitt von "nummer" bytes für jedes Paket |
| -p x,y |
Mitschnitte der Pakete zwischen Nummer X un Y (Das erste Paket hat immer Nummer 1 |
| -t [a|d|r] |
Behandelt das Timstamp Format, a= absolut, d=delta, r=relativ |
| Expressions |
Beschreibung |
| port 80 |
Es werden (nur) alle Pakete mit Quell- oder Zielport 80 angezeigt (TCP oder UDP |
| host 192.168.1.1 |
Es werden (nur) alle Pakete von oder zu der IP Adresse 192.168.1.1 angezeigt. |
| host 192.168.1.1 and tcp port 80 |
Kombination aus den beiden oberen, beschränkt auf TCP |
| icmp |
Es werden (nur) alle ICMP Pakete |
| from 192.168.1.1 or to 192.168.1.2 |
Es werden nur die Pakete angezeigt, die entweder von der Quell-IP 192.168.1.1 kommen oder zuz Ziel-IP 192.168.1.2 gehen |
| ether aa:bb:cc:dd:ee:ff |
Es werden (nur) alle Pakete von oder zu der MAC Adresse aa:bb:cc:dd:ee:ff |
| ip proto 50 |
s werden (nur) alle Pakete mit IP Protokolltyp 50 angezeigt. (50 steht für IPSec AH) |
| greater 576 |
Es werden (nur) alle Pakete angezeigt die länger als 576 bytes. |
| tcp[13]\& 0x12!=0 |
Es werden (nur) alle Pakete angezeigt die das TCP SYN/ACK Flag gesetzt haben (tcp[13] steht hier für das 13. byte im TCP Header |