FLAG |
Beschreibung |
-d interface |
definiert das Interface auf dem "gehört" werden soll. |
-v |
Der volle Brett Modus, alles Daten für jedes Paket werden angezeigt. |
-V |
Der halbe Brett Modus, für jeden relevanten OSI Layer wird pro Paket eine Zeile angezeigt |
-n |
Ohne Namensauflösung, unbedingt empfehlenswert |
-p |
Das Interface wird nicht in den promiscuos mode geschaltet. Somit erhält man nur eigene Pakete |
-i filename |
Lesen eines Mitschnittes aus einer Datei |
-o filename |
Schreiben der Daten in ein File (binär) |
-s nummer |
Mitschnitt von "nummer" bytes für jedes Paket |
-p x,y |
Mitschnitte der Pakete zwischen Nummer X un Y (Das erste Paket hat immer Nummer 1 |
-t [a|d|r] |
Behandelt das Timstamp Format, a= absolut, d=delta, r=relativ |
Expressions |
Beschreibung |
port 80 |
Es werden (nur) alle Pakete mit Quell- oder Zielport 80 angezeigt (TCP oder UDP |
host 192.168.1.1 |
Es werden (nur) alle Pakete von oder zu der IP Adresse 192.168.1.1 angezeigt. |
host 192.168.1.1 and tcp port 80 |
Kombination aus den beiden oberen, beschränkt auf TCP |
icmp |
Es werden (nur) alle ICMP Pakete |
from 192.168.1.1 or to 192.168.1.2 |
Es werden nur die Pakete angezeigt, die entweder von der Quell-IP 192.168.1.1 kommen oder zuz Ziel-IP 192.168.1.2 gehen |
ether aa:bb:cc:dd:ee:ff |
Es werden (nur) alle Pakete von oder zu der MAC Adresse aa:bb:cc:dd:ee:ff |
ip proto 50 |
s werden (nur) alle Pakete mit IP Protokolltyp 50 angezeigt. (50 steht für IPSec AH) |
greater 576 |
Es werden (nur) alle Pakete angezeigt die länger als 576 bytes. |
tcp[13]\& 0x12!=0 |
Es werden (nur) alle Pakete angezeigt die das TCP SYN/ACK Flag gesetzt haben (tcp[13] steht hier für das 13. byte im TCP Header |