常用选项
-n:不把主机的网络地址转换成名字;
-i <网卡名称或者any>:使用指定的网卡送出数据包;
-s <数据包大小>:设置每个数据包的大小,设置为0时不限制;
-w <数据包文件名称>:把数据包数据写入指定的文件。
-v:详细显示指令执行过程;
-vv:更详细显示指令执行过程;举例:抓取eth0网卡的tcp8002端口,并且源ip是172.16.18.99或者目的ip是172.16.18.99,并且将结果保持到capture_file.pcap文件中
tcpdump -i eth0 -s 0 -n -vv -w capture_file.pcap "tcp port 8002 and (src host 172.16.18.99 or dst host 172.16.18.99)"