第一種是關于范例的要害字，主要包羅host，net，port, 譬喻 host 210.27.48.2，指明 210.27.48.2是一臺主機，net 202.0.0.0 指明 202.0.0.0是一個網絡地點，port 23 指明端標語是23。假如沒有指定范例，缺省的范例是host.
第二種是確定傳輸偏向的要害字，主要包羅src , dst ,dst or src, dst and src ,這些要害字指明白傳輸的偏向。舉例說明，src 210.27.48.2 ,指明ip包中源地點是210.27.48.2 , dst net 202.0.0.0 指明目標網絡地點是202.0.0.0 。假如沒有指明偏向要害字，則缺省是src or dst要害字。
第三種是協議的要害字，主要包羅 fddi,ip,arp,rarp,tcp,udp等范例。Fddi指明是在FDDI(漫衍式光纖數據接口網絡)上的特定的網絡協議，實際上它是 ”ether”的別名，fddi和ether具有雷同的源地點和目標地點，所以可以將fddi協議包看成ether的包舉辦處理懲罰和闡明。其他的幾個要害字 就是指明白監聽的包的協議內容。假如沒有指定任何協議，則tcpdump將會監聽所有協議的信息包。
  除了這三種范例的要害字之外，其他重要的要害字如下：gateway, broadcast,less,greater,尚有三種邏輯運算，取非運算是 ‘not ‘ ‘! ‘, 與運算是’and’,'&&’;或運算 是’or’ ,’││’；這些要害字可以組合起來組成強大的組合條件來滿意人們的需要，下面舉幾個例子來說明。
  普通環境下，直接啟動tcpdump將監督第一個網絡界面上所有流過的數據包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00
利用-i參數指定tcpdump監聽的網絡界面，這在計較機具有多個網絡界面時很是有用，
利用-c參數指定要監聽的數據包數量，
利用-w參數指定將監聽到的數據包寫入文件中生存
A想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpdump host 210.27.48.1
B想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，利用呼吁：（在呼吁行中合用　括號時，必然要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C假如想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，利用呼吁：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D假如想要獲取主機210.27.48.1吸收或發出的telnet包，利用如下呼吁：
#tcpdump tcp port 23 host 210.27.48.1
E 對本機的udp 123 端口舉辦監督 123 為ntp的處事端口
# tcpdump udp port 123

F 系統將只對名為hostname的主機的通信數據包舉辦監督。主機名可以是當田主機，也可以是網絡上的任何一臺計較機。下面的呼吁可以讀取主機hostname發送的所有數據：
#tcpdump -i eth0 src host hostname
G 下面的呼吁可以監督所有送到主機hostname的數據包：
#tcpdump -i eth0 dst host hostname
H 我們還可以監督通過指定網關的數據包：
#tcpdump -i eth0 gateway Gatewayname
I 假如你還想監督編址到指定端口的TCP或UDP數據包，那么執行以下呼吁：
#tcpdump -i eth0 host hostname and port 80
J 假如想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包
，利用呼吁：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，利用呼吁
：（在呼吁行中合用　括號時，必然要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 假如想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，directadmin安裝 directadmin漢化，利用呼吁：
　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 假如想要獲取主機210.27.48.1吸收或發出的telnet包，利用如下呼吁：
　#tcpdump tcp port 23 host 210.27.48.1
第三種是協議的要害字，主要包羅fddi,ip ,arp,rarp,tcp,udp等范例
除了這三種范例的要害字之外，其他重要的要害字如下：gateway, broadcast,less,
greater,尚有三種邏輯運算，取非運算是 ‘not ‘ ‘! ‘, 與運算是’and’,'&&’;或運算 是’o
r’ ,’||’；
第二種是確定傳輸偏向的要害字，主要包羅src , dst ,dst or src, dst and src ,
假如我們只需要列出送到80端口的數據包，用dst port；假如我們只但愿看到返回80端口的數據包，用src port。
#tcpdump i eth0 host hostname and dst port 80 目標端口是80
可能
#tcpdump i eth0 host hostname and src port 80 源端口是80 一般是提供http的處事的主機
假如條件許多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
假如在ethernet 利用稠濁模式 系統的日志將會記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump 對截獲的數據并沒有舉辦徹底解碼，數據包內的大部門內容是利用十六進制的形式直接打印輸出的。顯然這倒霉于闡明網絡妨礙，凡是的辦理步伐是先利用帶-w參 數的tcpdump 截獲數據并生存到文件中，然后再利用其他措施舉辦解碼闡明。雖然也應該界說過濾法則，以制止捕捉的數據包填滿整個硬盤。