~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
				TCPDUMP         

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Con este comando suficiente, muestra el tráfico en formato hexadecimal :)

# tcpdump -i eth0 -nN -xX -s 1500


Si quieres ver el tráfico de un "host" (Ej.:10.10.10.4) en particular :

# tcpdump host 10.10.10.4 -i eth0 -X



Analysis:
--------
18:19:09.259248 PPPoE  [ses 0x98] IP client-201.230.168.28.speedy.net.pe.50063
> p3.www.mud.yahoo.com.http: F 1:1(0) ack 1 win 1452 <nop,nop,timestamp
> 1818856 484310359>
        0x0000:  1100 0098 0036 0021 4500 0034 677b 4000  .....6.!E..4g{@.
        0x0010:  4006 5775 c9e6 a81c 448e c542 c38f 0050  @.Wu....D..B...P
        0x0020:  bc54 dccd e0a9 4734 8011 05ac 9523 0000  .T....G4.....#..
        0x0030:  0101 080a 001b c0e8 1cdd fd57            ...........W

c38f <- 50063   puerto origen
0050 <- 80	puerto destino

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SOURCE:
http://www.owlriver.com/tips/tcpdump-tech/
http://www.arrakis.es/~terron/tcpdump.html  (ESPAÑOL)
http://www.firetower.com/forum/tcpdump.html  (FIREWALL-ASSESSMENT-NIDS)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~