…

В общем случае формат выводимой информации следующий:

timestamp src.port > dst.port: flags first:last(bytes) ack win urg options

Timestamp – время прохождения пакета с точностью до микросекунд. Далее следуют адреса и порты источника и приемника (адрес и порт разделены точкой). И адрес, и порт по возможности представляются в символьном виде. Если определить его не удается, печатается IP-адрес и номер порта. После двоеточия следует перечисление установленных флагов («S» – SYN, «F» – FIN, «P» – PSH, «R» – RST, «.» – ни один из этих флагов не установлен). Следующий необязательный блок задает начальный (first) и конечный (last) номера последовательности пакетов и число байт (bytes) пользовательских данных в ней. Конечный номер (last) в последовательность не включается. Запись «ack» включается в строку, если пакет содержит флаг ACK. «Win» указывает размер окна приема, «urg» устанавливается, если пакет имеет данные с высоким приоритетом и должен обрабатываться в первую очередь (установлен флаг URG). Секция «options» может содержать дополнительную информацию о пакете, заключаемую в угловые скобки.

В качестве примера рассмотрим, как выглядит в tcpdump запрос к веб-серверу 1.2.3.4 со стороны хоста host.ru. Для сокращения записи временные штампы опущены (этого можно достичь с помощью параметра –t):

# tcpdump –t

tcpdump: listening on ed1

host.ru.2200 > 1.2.3.4.http: S 35208225:35208225(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)

1.2.3.4.http > host.ru.2200: S 2830515394:2830515394(0) ack 35208226 win 17520 <mss 1460> (DF)

host.ru.2200 > 1.2.3.4.http: . ack 1 win 8760 (DF)

host.ru.2200 > 1.2.3.4.http: P 1:501(500) ack 1 win 8760 (DF)

1.2.3.4.http > host.ru.2200: . ack 501 win 17520 (DF)

1.2.3.4.http > host.ru.2200: . 1:1461(1460) ack 501 win 17520 (DF)

1.2.3.4.http > host.ru.2200: . 1461:2921(1460) ack 501 win 17520 (DF)

1.2.3.4.http > host.ru.2200: . 2921:4381(1460) ack 501 win 17520 (DF)