安裝篇：

下載地址：

http://www.tcpdump.org/

解壓： tar -zxvf tcpdump-4.9.3.tar.gz

安裝： cd tcpdump-4.9.3

　　　　　./configure

　　　　　make && make install

安裝時報錯：

checking for local pcap library... not found
checking for pcap-config... no
checking for main in -lpcap... no
configure: error: see the INSTALL doc for more info

yum install libpcap-dev*

Installing:
 libpcap-devel                              x86_64                              14:1.5.3-12.el7                               base                              118 k
Installing for dependencies:
 libpcap                                    x86_64                              14:1.5.3-12.el7                               base                              139 k
。。。。

使用篇：

常用選項：

tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ]
        [ -s snaplen ] [ -w file ] [ expression ]

抓包選項：

-c：指定要抓取的包數量。注意，是最終要獲取這麼多個包。
    例如，指定"-c 10"將獲取10個包，但可能已經處理了100個包，
    只不過只有10個包是滿足條件的包。
-i interface：指定tcpdump需要監聽的介面。
    若未指定該選項，將從系統介面列表中搜尋編號最小的已配置好的介面
    (不包括loopback介面，要抓取loopback介面使用tcpdump -i lo)，
    一旦找到第一個符合條件的介面，搜尋馬上結束。
    可以使用'any'關鍵字表示所有網路介面。
-n：對地址以數字方式顯式，否則顯式為主機名，也就是說-n選項不做主機名解析。
-nn：除了-n的作用外，還把埠顯示為數值，否則顯示埠服務名。
-N：不打印出host的域名部分。例如tcpdump將會列印'nic'而不是'nic.ddn.mil'。
-P：指定要抓取的包是流入還是流出的包。
    可以給定的值為"in"、"out"和"inout"，預設為"inout"。
-s len：設定tcpdump的資料包抓取長度為len，如果不設定預設將會是65535位元組。
    對於要抓取的資料包較大時，長度設定不夠可能會產生包截斷，若出現包截斷，
    輸出行中會出現"[|proto]"的標誌(proto實際會顯示為協議名)。
    但是抓取len越長，包的處理時間越長，並且會減少tcpdump可快取的資料包的數量，從而會導致資料包的丟失，
    所以在能抓取我們想要的包的前提下，抓取長度越小越好。

傳輸方向：（主要包括 src，dst，src or dst，src and dst，這些關鍵字指明瞭傳輸的方向，預設為src or dst。）

tcpdump tcp port 22 and dst -i em1 host 192.168.X.X -w %Y_%m%d_%H%M_%S.pcap