===== Exemplos do comando tcpdump =====

==== Nível Básico ====

  * **Capturar todo o tráfego de rede em uma interface:**
    - <code>tcpdump -i eth0</code>
    - Captura todo o tráfego na interface `eth0`.

  * **Capturar pacotes e salvar a saída em um arquivo:**
    - <code>tcpdump -i eth0 -w captura.pcap</code>
    - Salva os pacotes capturados em um arquivo chamado `captura.pcap`.

  * **Capturar apenas pacotes de um host específico:**
    - <code>tcpdump -i eth0 host 192.168.1.10</code>
    - Captura apenas pacotes vindos ou indo para o host `192.168.1.10`.

  * **Capturar pacotes ICMP (ping):**
    - <code>tcpdump -i eth0 icmp</code>
    - Captura somente pacotes ICMP, que são usados pelo ping.

==== Nível Intermediário ====

  * **Capturar pacotes em uma porta específica:**
    - <code>tcpdump -i eth0 port 80</code>
    - Captura apenas pacotes que estão usando a porta 80 (HTTP).

  * **Capturar pacotes TCP e exibir apenas o tráfego SYN:**
    - <code>tcpdump -i eth0 'tcp[tcpflags] & tcp-syn != 0'</code>
    - Captura pacotes TCP e filtra apenas pacotes com o flag SYN.

  * **Capturar pacotes de ou para uma rede específica:**
    - <code>tcpdump -i eth0 net 192.168.1.0/24</code>
    - Captura pacotes de toda a rede `192.168.1.0/24`.

  * **Capturar pacotes UDP de uma porta específica:**
    - <code>tcpdump -i eth0 udp port 53</code>
    - Captura apenas pacotes UDP na porta 53 (DNS).

==== Nível Avançado ====

  * **Capturar e exibir pacotes com resolução de nome de domínio desativada:**
    - <code>tcpdump -i eth0 -n</code>
    - Evita a resolução de nomes DNS, exibindo apenas endereços IP.

  * **Capturar e exibir pacotes com timestamp:**
    - <code>tcpdump -i eth0 -tttt</code>
    - Exibe os pacotes com timestamps detalhados.

  * **Capturar pacotes e exibir apenas o primeiro 100 bytes do payload:**
    - <code>tcpdump -i eth0 -s 100</code>
    - Captura apenas os primeiros 100 bytes de cada pacote.

  * **Filtrar pacotes por intervalo de portas:**
    - <code>tcpdump -i eth0 portrange 1000-2000</code>
    - Captura pacotes que usam portas no intervalo de 1000 a 2000.

==== Nível Especializado ====

  * **Capturar pacotes e exibir apenas pacotes HTTP com strings filtradas:**
    - <code>tcpdump -i eth0 -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' | grep "GET"</code>
    - Exibe pacotes HTTP e filtra por requisições GET.

  * **Capturar pacotes e filtrar por flags específicos (SYN, ACK, FIN):**
    - <code>tcpdump -i eth0 'tcp[tcpflags] & (tcp-syn|tcp-ack|tcp-fin) != 0'</code>
    - Captura pacotes TCP com flags SYN, ACK ou FIN.

  * **Capturar pacotes com filtros complexos (host, porta e protocolo):**
    - <code>tcpdump -i eth0 'host 192.168.1.10 and tcp port 443 and ip proto \\tcp'</code>
    - Captura pacotes TCP para o host `192.168.1.10` na porta 443 (HTTPS).

  * **Capturar pacotes e filtrar por tamanho (maiores que 1000 bytes):**
    - <code>tcpdump -i eth0 'greater 1000'</code>
    - Captura apenas pacotes com mais de 1000 bytes.

  * **Capturar pacotes VLAN:**
    - <code>tcpdump -i eth0 'vlan 10'</code>
    - Captura pacotes da VLAN 10.