tcpdump -i eth0 -c 500 -w xxxeth0.cap
-i eth1 只抓eth1口的數據
-c 500代表數據包的個數,也就是只抓500個數據包
-w xxxeth0.cap 保存成cap文件,方便用ethereal或Wireshark分析
只抓取80端口的數據包並保存為cap包
tcpdump -i eth0 port 80 -w /tmp/xxx.cap
過濾掉22端口並保存為cap包
tcpdump -i eth0 port not 22 -w xxxeth0.cap
