Diese Frage wurde bereits von Scott in seinem englischsprachigen Blog beantwortet. Ich gebe sie an dieser Stelle wieder, um nicht immer wieder danach suchen zu müssen.
Das Kommando lautet:
tcpdump -c 20 -s 0 -i eth1 -A host 192.168.1.1 and tcp port http
Die Parameter bedeuten:
- -c 20: Beendet den Vorgang, nachdem 20 Pakete aufgezeichnet wurden.
- -s 0: Die mitgeschnittenen Nutzdaten sollen ungekürzt wiedergegeben werden.
- -i eth1: Zeichne nur Pakete an der Netzwerkschnittstelle eth1 auf.
- -A: Gebe alle Pakete in ASCII aus.
- host 192.168.1.1: Zeichne nur Pakete auf, die von Host 192.168.1.1 kommen.
- and tcp port http: Zeichne nur HTTP-Pakete auf.
Ergänzt man den Befehl noch um -w DATEINAME
wird die Aufzeichnung in eine Datei statt auf die Standardausgabe geschrieben.