Tcpdump imprime una descripción del contenido de los paquetes sobre una interfaz de red, coincidiendo con una expresión booleana; la descripción es precedida por una marca de tiempo, impresa por defecto en horas, minutos, segundos y fracciones de segundo desde la media noche.
Las siguientes son algunas de las opciones más comúnmente utilizadas para seleccionar una interfaz de red, y de esta manera realizar la captura del tráfico de red.
-i any Utilizar este parámetro para escuchar en todas las interfaces, así mismo para verificar si se está visualizando cualquier tráfico.
$ sudo tcpdump -i any
-D Utilizar este parámetro para listar las interfaces de red disponibles. Esto imprimirá un numero y el nombre de la interfaz, posiblemente seguido por una descripción textual de la interfaz para cada interfaz de red.
$ sudo tcpdump -D
-i [interfaz] Utilizar este parámetro para especificar la interfaz utilizando un nombre de interfaz resultante del comando anteriormente ejecutado “-D”, cuyo tráfico es requerido de capturar (sudo tcpdump -i enp0s17). Se puede también utilizar el número de la interfaz de red correspondiente a la interfaz desde la cual se requiere capturar tráfico (sudo tcpdump -i 1), donde 1 es el número de interfaz asignado a enp0s17.
$ sudo tcpdump -i enp0s17
Fuentes:
https://www.tcpdump.org
https://www.tcpdump.org/manpages/tcpdump.1.html