Komenda tcpdump stosowana w systemach z rodziny UNIX umożliwia

Poprawna odpowiedź odnosi się do głównego przeznaczenia narzędzia tcpdump. Ta komenda w systemach z rodziny UNIX służy do analizy ruchu w sieci, czyli do przechwytywania i podglądania pakietów, które przechodzą przez interfejsy sieciowe komputera. W praktyce tcpdump „podsłuchuje” interfejs, np. eth0, i wyświetla nagłówki pakietów zgodnie z zadanym filtrem. Można zobaczyć adresy IP źródłowe i docelowe, porty TCP/UDP, typ protokołu (ICMP, DNS, HTTP, HTTPS itd.), flagi w nagłówkach TCP, a nawet fragmenty danych, jeśli pozwoli na to konfiguracja. Moim zdaniem tcpdump to jedno z podstawowych narzędzi administratora sieci i bezpieczeństwa, bo pozwala bardzo szybko stwierdzić, czy pakiety w ogóle dochodzą do hosta, czy jest odpowiedź z serwera, czy np. firewall coś blokuje. W dobrych praktykach administracji sieci (np. przy troubleshooting zgodnym z ITIL czy po prostu z zasadą „najpierw sprawdź warstwę sieciową”) tcpdump jest wykorzystywany do diagnozowania problemów z połączeniami, opóźnieniami, działaniem usług takich jak DNS, HTTP czy SSH. Narzędzie obsługuje filtry w składni BPF (Berkeley Packet Filter), co pozwala zawęzić analizę np. do konkretnego hosta, portu lub protokołu: „tcpdump -i eth0 port 80” pokaże ruch HTTP, a „tcpdump host 8.8.8.8” ruch do konkretnego serwera. Dodatkowo wyjście tcpdump można zapisać do pliku w formacie pcap i potem otworzyć w Wiresharku, co jest standardową praktyką w forensyce i analizie incydentów bezpieczeństwa. Warto też pamiętać, że tcpdump działa na niskim poziomie (warstwa 2–4 modelu OSI), więc pokazuje to, czego nie widać z poziomu zwykłych aplikacji. Daje to bardzo szczegółowy wgląd w to, co naprawdę dzieje się w sieci, a nie tylko w to, co „mówi” system czy przeglądarka.