'-c'  在抓到指定数量的包后，tcpdump停止

  '-e'  每行的打印输出中将包括数据包的数据链路层头部信息

  '-i'  选择监听的网络接口，如eth0

  '-n'  不把网络地址转换为名字

  '-nn' 不进行端口名称的转换

  '-q'  仅列出较为简短的数据包信息，每一行的内容比较精简。

  '-w'  直接将分组写入到文件中，而不是不分析并打印出来

  '-v'  输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息。

  '-vv' 输出详细的报文信息。

  '-r'  从-w选项产生的文件中读取包，文件可以是标准输入'-'

  '-w'  直接将分组写入文件中，而不是不分析并打印出来。可以输出到标准输入'-'

  '-s ' 设置tcpdump的数据包抓取长度，设置为0 意味着让tcpdump自动选择合适的长度来抓取数据包

 .类型关键字 host,net,port ，默认是host

 .传输方向关键字 src,dst，默认是src or dst关键字

 .协议关键字 fddi,ip,arp,rarp,tcp,udp，icmp

 .逻辑关键字 and or not

 .其他关键字 gateway broadcast less greater

tcpdump -nn -i eth0 tcp and host 192.168.0.1 and port 

tcpdump -nn -vs0 tcp and port not  -c  -w .cap

tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)