注意： 该工具需要root权限执行。

示例：

# tcpdump -c 10 -q //精简模式显示 10个包

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

23:43:05.792280 IP 192.168.0.3.ssh > 192.168.0.1.2101: tcp 36

23:43:05.842115 IP 192.168.0.1.2101 > 192.168.0.3.ssh: tcp 0

23:43:05.845074 IP 115.238.1.45.3724 > 192.168.0.65.2057: tcp 0

23:43:05.907155 IP 192.168.0.3.ssh > 192.168.0.1.2101: tcp 36

23:43:05.793880 IP 192.168.0.3.32804 > dns2.cs.hn.cn.domain: UDP, length 42

23:43:05.794076 PPPoE [ses 0x1cb0] IP 118.250.6.85.64219 > dns2.cs.hn.cn.domain: UDP, length 42

23:43:05.811127 PPPoE [ses 0x1cb0] IP dns2.cs.hn.cn.domain > 118.250.6.85.64219: UDP, length 42

23:43:05.814764 IP dns2.cs.hn.cn.domain > 192.168.0.3.32804: UDP, length 42

23:43:05.816404 IP 192.168.0.3.32804 > dns2.cs.hn.cn.domain: UDP, length 42

23:43:05.816545 PPPoE [ses 0x1cb0] IP 118.250.6.85.64219 > dns2.cs.hn.cn.domain: UDP, length 42

10 packets captured

39 packets received by filter

0 packets dropped by kernel

语法： tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][-w<数据包文件>][输出数据栏位]

参数：

-a 尝试将网络和广播地址转换成名称。

-c<数据包数目> 收到指定的数据包数目后，就停止进行倾倒操作。

-d 把编译过的数据包编码转换成可阅读的格式，并倾倒到标准输出。

-dd 把编译过的数据包编码转换成C语言的格式，并倾倒到标准输出。

-ddd 把编译过的数据包编码转换成十进制数字的格式，并倾倒到标准输出。

-e 在每列倾倒资料上显示连接层级的文件头。

-f 用数字显示网际网络地址。

-F<表达文件> 指定内含表达方式的文件。

-i<网络界面> 使用指定的网络截面送出数据包。

-l 使用标准输出列的缓冲区。

-n 不把主机的网络地址转换成名字。

-N 不列出域名。

-O 不将数据包编码最佳化。

-p 不让网络界面进入混杂模式。

-q 快速输出，仅列出少数的传输协议信息。

-r<数据包文件> 从指定的文件读取数据包数据。

-s<数据包大小> 设置每个数据包的大小。

-S 用绝对而非相对数值列出TCP关联数。

-t 在每列倾倒资料上不显示时间戳记。

-tt 在每列倾倒资料上显示未经格式化的时间戳记。

-T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。

-v 详细显示指令执行过程。

-vv 更详细显示指令执行过程。

-x 用十六进制字码列出数据包资料。

-w<数据包文件> 把数据包数据写入指定的文件。