定期的にググっているので自分用メモ。
よく使うオプション
-s 0で出力サイズ制限なし-w <ファイル名>でファイル出力
sudo tcpdump -vvv -s 0 -w cap001.pcap
ローカルホスト間の通信を見たいときは lo0 を指定する。
sudo tcpdump -i lo0 -vvv -s 0 -w cap001.pcap
ポート指定やsrc, dst指定はキーワードで指定する。
and や or も使える。
sudo tcpdump -vvv -s 0 -w cap001.pcap "tcp src port 8080 or tcp dst port 8080"
Wireshark
出力ファイルはWiresharkで開くことができる。
