d910 1222 110e 0050 db29 1b8c 80b7 c5ed

                 5010 2238 e1c9 0000

10:41:47.472827 vipdosug2.masterhost.ru.http > d4.host.ru.4366: ………

                 4500 05dc b771 4000 3006 3091 d910 1222

                 c3a1 ae45 0050 110e 80b7 e271 db29 1b8c

                 5010 e420 1384 0000 dcfb 53f7 745c b10b

                 10db e090 386a

Перечисленные выше параметры позволяют организовать вывод информации в более удобном виде. Следующие опции, задаваемые в параметре «expression», позволяют ограничить выборку пакетов определенными условиями. Рассмотрим только наиболее часто используемые на конкретных примерах.

Ограничить собираемую информацию конкретным адресом позволяет следующая команда:

# tcpdump host <host>

При этом будут выбираться только пакеты, источником или приемником которых является <host>. Конкретизировать направление передачи можно, указав дополнительный параметр:

# tcpdump {src | dst} host <host>

Таким же образом просмотр пакетов можно ограничить по тому или иному порту или по конкретному протоколу:

# tcpdump [{src | dst}] port <port>

# tcpdump {tcp | udp | icmp}

Ограничить выборку конкретной подсетью позволяет ключевое слово «net». Допускается использование как десятично-точечной нотации, так и нотации CIDR:

# tcpdumt net 192.168.0.0 mask 255.255.255.0

# tcpdumt net 192.168.0.0/24

Наибольшую ценность имеет возможность задавать выражения выборки. Запись вида proto[byte] позволяет выбрать конкретный байт в заголовке протокола proto. К полученному байту можно применить операции сравнения (=, !=, <, >), а также бинарные операции «&» (AND), «|» (OR) и другие. Например, чтобы выбрать пакеты, в которых установлены флаги SYN или ACK в заголовке TCP-протокола, можно воспользоваться командой:

# tcpdump ‘tcp[13] & 18 != 0’