tcpdump -i eth0 -c 500 -w xxxeth0.cap
-i eth1 只抓eth1口的数据
-c 500代表数据包的个数,也就是只抓500个数据包
-w xxxeth0.cap 保存成cap文件,方便用ethereal或Wireshark分析
只抓取80端口的数据包并保存为cap包
tcpdump -i eth0 port 80 -w /tmp/xxx.cap
过滤掉22端口并保存为cap包
tcpdump -i eth0 port not 22 -w xxxeth0.cap
