Tcpdump exemplos de filtros
Introducão
Filtrando por um endereco MAC de origem ou destino
Localizando os pacotes originados de uma interface de rede
tcpdump -i eth1 -n ether src 10:68:3f:6d:f5:e1 -s0
Localizando os pacotes destinados a uma interface de rede
tcpdump -i eth1 -n ether dst 10:68:3f:6d:f5:e1 -s0
Localizando pacotes originados ou destinados para uma interface de rede
tcpdump -i eth0 -n ether src B8:AC:6F:C4:AC:0F or ether dst B8:AC:6F:C4:AC:0F -s0
Operações utilizando endereços IP de origem e destino
Filtrando pacotes que tem origem ou destino um determinado endereço IP
# tcpdump -n host 192.168.1.198
Excluindo um endereço IP da captura, normalmente aquele que você esta usando.
# tcpdump -n ! host 192.168.1.235
Limitando o número de pacotes a capturar
# tcpdump -n ! host 192.168.1.235 -c 100
Operações utilizando protocolos específicos
Somente pacotes ICMP
# tcpdump -v icmp
Somente pacotes ARP
# tcpdump -v arp
Capturando protocolos com ou lógico
# tcpdump -v "icmp or arp"
Capturando pacotes de broadcast e multicast
# tcpdump -n "broadcast or multicast"