Het kan echt zo handig zijn om even een tcpdump te maken en uit te lezen met wireshark (is Follow TCP Stream niet geweldig ?!)
sudo /usr/sbin/tcpdump -n -s 0 -w effe.pcap -i en1 tcp port 80
-n Don’t convert addresses (i.e., host addresses, port numbers, etc.) to names
-s Setting snaplen to 0 means use the required length to catch whole packets.
-w Write the raw packets to file rather than parsing and printing them out
-i Listen on interface
gebruik port, host, net om de stroom te filteren, bijvoorbeeld:
sudo /usr/sbin/tcpdump -n -s 0 -w effe.pcap -i en1 dst 10.111.1.10 and tcp port 22
referentie: man-page tcpducmp
