tcpdump -v -n -w ddos.log dst port 80 -c 500
Команда выводит 500 последних пакетов в файл.
-v самый простой уровень логирования, без изысканности.
-n преобразуем имена хостов в IP адреса
-w записываем анализ трафика в файл
-c количество захваченных пакетов