tcpdump

# tcpdump -i eth0

# tcpdump -P in

4.6.2(ubuntu 14.10)以降なら-Q。

ホスト名emaの通信だけを表示
$ sudo tcpdump host ema

ホスト名emaと，miiもしくはriiとの通信を表示
$ sudo tcpdump host ema and \( mii or rii \)

ホスト名emaの通信のうち，taroに関連するものだけを除外
$ sudo tcpdump host ema and not taro

IPアドレスでの指定も可能
$ sudo tcpdump host 192.168.0.1

zukaホストでポート番号5060に関連する通信だけを表示
$ sudo tcpdump host zuka and port 5060

「ftpもしくはftp-dataのポート」が宛先になっている通信だけ表示
$ sudo tcpdump dst port ftp or ftp-data

sshポートの通信のうちTCPパケットのみ表示
$ sudo tcpdump tcp port ssh

ssh以外
$sudo tcpdump port not ssh

oiホストから送られるIPv4のブロードキャストパケットのみ表示
$ sudo tcpdump ip broadcast and src host oi

DNS

# tcpdump port domain

DNS UDPのみ

# tcpdump udp port domain

ARP

# tcpdump arp

保存と解析

# tcpdump -i en0 -w /tmp/test.pcap
# tcpdump -r /tmp/test.pcap