Evil_TTL> show | s

WatchGuard Tcpdump Syntax Overview

Category:WatchGuard -> XTM

Have you ever used Wireshark? If so then tcpdump utility within WatchGuard XTM provides similar functionality. I’ll place some brief examples here:

WG#tcpdump ?
  
<cr>       Carriage return
  <
mstring>  Tcpdump command options:
[-adeflnNOpqStuvxX][-c count][-i interface][-s snaplen][-T type][expression]

WG
#tcpdump -i
tcpdump version 4.1.1
libpcap version 1.1.1
Usage
tcpdump [-aAbdDefIKlLnNOpPqRStuUvxX] [ -B size ] [ -c count ]
                [ 
-C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
                [ 
-interface ] [ -M secret ] [ -r file ]
                [ 
-s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
                [ 
-y datalinktype ] [ -z command ] [ -Z user ]
                [ expression ]
WG
#
WG#tcpdump
tcpdumplistening on eth0link-type EN10MB (Ethernet), capture size 65535 bytes
16
:44:03.431890 STP 802.1wRapid STPFlags [LearnForward]bridge-id 8000.a8:f9:4b:86:00:c0.8016length 47
16
:44:03.469609 IP 192.168.10.104.137 192.168.10.255.137UDPlength 50
16
:44:03.469968 IP 192.168.10.124.137 192.168.10.255.137UDPlength 50
16
:44:03.636728 IP 192.168.10.115.61331 62.x.y.97.443Flags [S]seq 1468728436win 8192options [mss 1400,nop,wscale 2,nop,nop,sackOK]length 0
16
:44:03.667943 IP 62.x.y.97.443 192.168.10.115.61331Flags [S.]seq 3866047168ack 1468728437win 65535options [mss 1400,nop,wscale 3,sackOK,eol]length 0
16
:44:03.668468 IP 192.168.10.115.61331 62.x.y.97.443Flags [.]ack 1win 16450length 0
16
:44:03.669307 IP 192.168.10.115.61331 62.x.y.97.443Flags [P.]seq 1:3ack 1win 16450length 2
16
:44:03.700334 IP 62.x.y.97.443 192.168.10.115.61331Flags [P.]seq 1:3ack 3win 8225length 2
16
:44:03.701017 IP 192.168.10.115.61331 62.x.y.97.443Flags [F.]seq 3ack 3win 16449length 0
16
:44:03.712460 ARPRequest who-has 192.168.10.166 tell 192.168.10.56length 46
16
:44:03.731733 IP 62.x.y.97.443 192.168.10.115.61331Flags [.]ack 4win 8225length 0
16
:44:03.731884 IP 62.x.y.97.443 192.168.10.115.61331Flags [F.]seq 3ack 4win 8225length 0
16
:44:03.732296 IP 192.168.10.115.61331 62.x.y.97.443Flags [.]ack 4win 16449length 0
16
:44:03.856526 ARPRequest who-has 192.168.10.167 tell 192.168.10.145length 46
16
:44:04.712321 ARPRequest who-has 192.168.10.166 tell 192.168.10.56length 46
16
:44:04.940881 IP 192.168.10.183.17500 255.255.255.255.17500UDPlength 189
16
:44:04.941880 IP 192.168.10.183.17500 192.168.10.255.17500UDPlength 189
16
:44:04.975059 ARPRequest who-has 192.168.10.167 tell 192.168.10.145length 46
16
:44:05.437594 STP 802.1wRapid STPFlags [LearnForward]bridge-id 8000.a8:f9:4b:86:00:c0.8016length 47
16
:44:05.856490 ARPRequest who-has 192.168.10.167 tell 192.168.10.145length 46
16
:44:05.866759 IP6 fe80::146e:c5a:bdf:97ab.51949 ff02::c.1900UDPlength 119
16
:44:05.866950 IP 192.168.10.183.51951 239.255.255.250.1900UDPlength 125
16
:44:05.867585 IP6 fe80::146e:c5a:bdf:97ab.51949 ff02::c.1900UDPlength 117
16
:44:05.867671 IP 192.168.10.183.51951 239.255.255.250.1900UDPlength 123
16
:44:05.871419 ARPRequest who-has 192.168.10.124 tell 192.168.10.183length 46
16
:44:05.871600 IP6 fe80::146e:c5a:bdf:97ab ff02::1:ffde:5526ICMP6neighbor solicitationwho has fe80::39ff:6d3c:22de:5526length 32
16
:44:05.872182 IP6 fe80::39ff:6d3c:22de:5526 ff02::1:ffdf:97abICMP6neighbor solicitationwho has fe80::146e:c5a:bdf:97ablength 32
16
:44:05.873145 ARPRequest who-has 192.168.10.120 tell 192.168.10.183length 46
16
:44:05.873903 IP6 fe80::146e:c5a:bdf:97ab ff02::1:ff98:68d5ICMP6neighbor solicitationwho has fe80::ad75:17fd:eb98:68d5length 32
16
:44:05.874200 ARPRequest who-has 192.168.10.183 tell 192.168.10.120length 46
16
:44:05.949498 IP6 fe80::ad75:17fd:eb98:68d5 ff02::1:ffdf:97abICMP6neighbor solicitationwho has fe80::146e:c5a:bdf:97ablength 32
16
:44:05.950641 ARPRequest who-has 192.168.10.183 tell 192.168.10.124length 46
16
:44:06.197541 ARPRequest who-has 192.168.10.54 tell 192.168.10.1length 46
16
:44:06.197589 ARPRequest who-has 192.168.10.55 tell 192.168.10.1length 46
16
:44:06.197637 ARPRequest who-has 192.168.10.57 tell 192.168.10.1length 46
16
:44:06.197698 ARPRequest who-has 192.168.10.61 tell 192.168.10.1length 46
16
:44:06.221334 IP 192.168.10.115.61332 81.x.y.24.443Flags [S]seq 2617421978win 8192options [mss 1400,nop,wscale 2,nop,nop,sackOK]length 0
16
:44:06.309054 IP 81.x.y.24.443 192.168.10.115.61332Flags [S.]seq 2512227147ack 2617421979win 65535options [mss 1400,nop,wscale 3,sackOK,eol]length 0
16
:44:06.309516 IP 192.168.10.115.61332 81.x.y.24.443Flags [.]ack 1win 16450length 0
16
:44:06.309973 IP 192.168.10.115.61332 81.x.y.24.443Flags [P.]seq 1:3ack 1win 16450length 2
16
:44:06.395082 IP 81.x.y.24.443 192.168.10.115.61332Flags [P.]seq 1:3ack 3win 8225length 2
16
:44:06.395689 IP 192.168.10.115.61332 81.x.y.24.443Flags [F.]seq 3ack 3win 16449length 0
16
:44:06.481154 IP 81.x.y.24.443 192.168.10.115.61332Flags [.]ack 4win 8225length 0
16
:44:06.481309 IP 81.x.y.24.443 192.168.10.115.61332Flags [F.]seq 3ack 4win 8225length 0
16
:44:06.481639 IP 192.168.10.115.61332 81.x.y.24.443Flags [.]ack 4win 16449length 0
16
:44:06.725673 ARPRequest who-has 192.168.10.183 tell 192.168.10.145length 46
16
:44:06.793154 ARPRequest who-has 192.168.10.183 tell 192.168.10.123length 46
16
:44:06.855996 ARPRequest who-has 192.168.10.167 tell 192.168.10.145length 46
16
:44:06.958219 IP6 fe80::1573:6300:33f6:9b8 ff02::1:ffdf:97abICMP6neighbor solicitationwho has fe80::146e:c5a:bdf:97ablength 32
16
:44:06.958456 IP6 fe80::146e:c5a:bdf:97ab ff02::1:fff6:9b8ICMP6neighbor solicitationwho has fe80::1573:6300:33f6:9b8length 32
^Z
WG
#

WG#tcpdump -i eth0 host 192.168.10.115
tcpdumplistening on eth0link-type EN10MB (Ethernet), capture size 65535 bytes
17
:43:22.302327 IP 108.x.y.106.80 192.168.10.115.62172Flags [P.]seq 119727968:119728147ack 2151782143win 83length 179
17
:43:22.327599 IP 192.168.10.115.62172 108.x.y.106.80Flags [P.]seq 1:329ack 179win 16405length 328
17
:43:22.329316 ARPRequest who-has 192.168.10.1 tell 192.168.10.115length 28
17
:43:22.329563 ARPReply 192.168.10.1 is-at 00:1d:aa:81:d2:b0length 46
17
:43:22.577004 IP 108.x.y.106.80 192.168.10.115.62172Flags [.]ack 329win 83length 0
^Z
WG
By privilege15