第一種是關(guān)于類(lèi)型的關(guān)鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個(gè)網(wǎng)絡(luò )地址，port 23指明端口號是23。如果沒(méi)有指定類(lèi)型，缺省的類(lèi)型是host.

第二種是確定傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src,這些關(guān)鍵字指明了傳輸的方向。舉例說(shuō)明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net202.0.0.0 指明目的網(wǎng)絡(luò )地址是202.0.0.0 。如果沒(méi)有指明方向關(guān)鍵字，則缺省是src or dst關(guān)鍵字。

第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip,arp,rarp,tcp,udp等類(lèi)型。Fddi指明是在FDDI(分布式光纖數據接口網(wǎng)絡(luò ))上的特定的網(wǎng)絡(luò )協(xié)議，實(shí)際上它是"ether"的別名，fddi和ether具有類(lèi)似的源地址和目的地址，所以可以將fddi協(xié)議包當作ether的包進(jìn)行處理和分析。其他的幾個(gè)關(guān)鍵字就是指明了監聽(tīng)的包的協(xié)議內容。如果沒(méi)有指定任何協(xié)議，則tcpdump將會(huì )監聽(tīng)所有協(xié)議的信息包。
除了這三種類(lèi)型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是‘not ‘ ‘! ‘, 與運算是‘a(chǎn)nd‘,‘&&‘;或運算 是‘or‘,‘││‘；這些關(guān)鍵字可以組合起來(lái)構成強大的組合條件來(lái)滿(mǎn)足人們的需要，下面舉幾個(gè)例子來(lái)說(shuō)明。
普通情況下，直接啟動(dòng)tcpdump將監視第一個(gè)網(wǎng)絡(luò )界面上所有流過(guò)的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
0000 0000 0080 0000 1007 cf08 0900 0000
0e80 0000 902b 4695 0980 8701 0014 0002
000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
ffff 0060 0004 ffff ffff ffff ffff ffff
0452 ffff ffff 0000 e85b 6d85 4008 0002
0640 4d41 5354 4552 5f57 4542 0000 0000
0000 00
使用-i參數指定tcpdump監聽(tīng)的網(wǎng)絡(luò )界面，這在計算機具有多個(gè)網(wǎng)絡(luò )界面時(shí)非常有用，
使用-c參數指定要監聽(tīng)的數據包數量，
使用-w參數指定將監聽(tīng)到的數據包寫(xiě)入文件中保存

A想要截獲所有210.27.48.1 的主機收到的和發(fā)出的所有的數據包：
#tcpdump host 210.27.48.1

B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用　　　括號時(shí)，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

C如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

D如果想要獲取主機210.27.48.1接收或發(fā)出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

E 對本機的udp 123 端口進(jìn)行監視 123 為ntp的服務(wù)端口
# tcpdump udp port 123

F 系統將只對名為hostname的主機的通信數據包進(jìn)行監視。主機名可以是本地主機，也可以是網(wǎng)絡(luò )上的任何一臺計算機。下面的命令可以讀取主機hostname發(fā)送的所有數據：
#tcpdump -i eth0 src host hostname

G 下面的命令可以監視所有送到主機hostname的數據包：
#tcpdump -i eth0 dst host hostname

H 我們還可以監視通過(guò)指定網(wǎng)關(guān)的數據包：
#tcpdump -i eth0 gateway Gatewayname

I 如果你還想監視編址到指定端口的TCP或UDP數據包，那么執行以下命令：
#tcpdump -i eth0 host hostname and port 80

J 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令
：（在命令行中適用　　　括號時(shí)，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)

L 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2

M 如果想要獲取主機210.27.48.1接收或發(fā)出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類(lèi)型
除了這三種類(lèi)型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway, broadcast,less,
greater,還有三種邏輯運算，取非運算是 ‘not ‘ ‘! ‘, 與運算是‘a(chǎn)nd‘,‘&&‘;或運算 是‘o
r‘ ,‘||‘；
第二種是確定傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src ,
如果我們只需要列出送到80端口的數據包，用dst port；如果我們只希望看到返回80端口的數據包，用src port。
#tcpdump –i eth0 host hostname and dst port 80 目的端口是80
或者
#tcpdump –i eth0 host hostname and src port 80 源端口是80 一般是提供http的服務(wù)的主機
如果條件很多的話(huà) 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80

如果在ethernet 使用混雜模式 系統的日志將會(huì )記錄

May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode

tcpdump對截獲的數據并沒(méi)有進(jìn)行徹底解碼，數據包內的大部分內容是使用十六進(jìn)制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡(luò )故障，通常的解決辦法是先使用帶-w參數的tcpdump截獲數據并保存到文件中，然后再使用其他程序進(jìn)行解碼分析。當然也應該定義過(guò)濾規則，以避免捕獲的數據包填滿(mǎn)整個(gè)硬盤(pán)。

除了過(guò)濾語(yǔ)句，還有一個(gè)很重要的參數，也就是說(shuō)，如果這個(gè)參數不設置正確，會(huì )導致包數據的丟失！

它就是-s 參數，snaplen, 也就是數據包的截取長(cháng)度，仔細看man就會(huì )明白的！默認截取長(cháng)度為60個(gè)字節，但一般ethernet MTU都是1500字節。所以，要抓取大于60字節的包時(shí)，使用默認參數就會(huì )導致包數據丟失！

只要使用-s 0就可以按包長(cháng)，截取數據！