apakah tcpdump itu? yup tcpdump adalah program kecil di linux yang biasanya dipakai untuk menangkap packet packet yang dikirimkan dalam jaringan.
Tcpdump prints out the headers of packets on a network interface that match the boolean expression.
ada banyak kegunaan. salah satunya misal untuk mengetahui port yang aktif dlm suatu jaringan,jenis trafik paket yang lewat, dan sebagainya. pengalaman saya, tools ini efektif untuk mencari informasi semisal port yang digunakan virus/worm untuk menyebar dan menyerang jaringan. jadi semisal ada computer client yang kita curigai terjangkit trojan ato malware, kita bisa gali informasi ttg arus paket yang keluar masuk dengan program ini. setidaknya dengan mengetahui portnya kita bisa lakukan pemblokiran terhadap port tersebut agar dampaknya tidak merugikan komputer client lainnya.

untuk programnya bisa didownload di www.tcpdump.org. umumnya di sebagian besar distro, paket ini disertakan. untuk menjalankannya anda harus memiliki level setingkat root.
#/usr/sbin/tcpdump -pln -i eth1 | grep 192.168.2.12
artinya:
-n untuk tidak meresolve nama host (nanti yang keluar nomor nomor ip asal dan tujuan)
-l untuk langsung cetak output di layar tnpa buffer
-i interfacenya (lancardnya yang akan di monitor)
perintah berikut misalnya untuk menangkap arus trafik yang dilakukan oleh client ip 192.168.2.12, difilter pada arus paket tcp saja , tidak perlu tampilkan time (waktu), resolve hostname, dan tampilkan dengan singkat.
#/usr/sbin/tcpdump -pltq -i eth1 tcp | grep 192.168.2.12
hasilnya:
192.168.2.12.1777 > p9.www.scd.yahoo.com.http: tcp 0 (DF)
artinya:
client ip 192.168.2.12 (portnya di 1777) me-request http ke host p9.www.scd.yahoo.com
untuk informasi lengkap bisa dibaca di manualnya:
$man tcpdump
Berikut daftar port yang sering digunakan oleh trojan, mallware, worm:

tcp: 3312,3412,3512,1215,1315,4661,4672,5555,4242,3306,2323,6667,7778,1863,6346,6257,6699,4661,4672,1214,6881,6889

udp:
4661,4672,6881,6889,1214,4661,4672,6257,6699,6346,3312,3412,3512,1215,1315