第一種是關(guān)于范例的要害字，主要包羅host，net，port, 譬喻 host 210.27.48.2，指明 210.27.48.2是一臺(tái)主機(jī)，net 202.0.0.0 指明 202.0.0.0是一個(gè)網(wǎng)絡(luò)地點(diǎn)，port 23 指明端標(biāo)語(yǔ)是23。假如沒(méi)有指定范例，缺省的范例是host.
第二種是確定傳輸偏向的要害字，主要包羅src , dst ,dst or src, dst and src ,這些要害字指明白傳輸?shù)钠?。舉例說(shuō)明，src 210.27.48.2 ,指明ip包中源地點(diǎn)是210.27.48.2 , dst net 202.0.0.0 指明目標(biāo)網(wǎng)絡(luò)地點(diǎn)是202.0.0.0 。假如沒(méi)有指明偏向要害字，則缺省是src or dst要害字。
第三種是協(xié)議的要害字，主要包羅 fddi,ip,arp,rarp,tcp,udp等范例。Fddi指明是在FDDI(漫衍式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是 ”ether”的別名，fddi和ether具有雷同的源地點(diǎn)和目標(biāo)地點(diǎn)，所以可以將fddi協(xié)議包看成ether的包舉辦處理懲罰和闡明。其他的幾個(gè)要害字 就是指明白監(jiān)聽(tīng)的包的協(xié)議內(nèi)容。假如沒(méi)有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽(tīng)所有協(xié)議的信息包。
  除了這三種范例的要害字之外，其他重要的要害字如下：gateway, broadcast,less,greater,尚有三種邏輯運(yùn)算，取非運(yùn)算是 ‘not ‘ ‘! ‘, 與運(yùn)算是’and’,'&&’;或運(yùn)算 是’or’ ,’││’；這些要害字可以組合起來(lái)組成強(qiáng)大的組合條件來(lái)滿意人們的需要，下面舉幾個(gè)例子來(lái)說(shuō)明。
  普通環(huán)境下，直接啟動(dòng)tcpdump將監(jiān)督第一個(gè)網(wǎng)絡(luò)界面上所有流過(guò)的數(shù)據(jù)包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                       0000 0000 0080 0000 1007 cf08 0900 0000
                       0e80 0000 902b 4695 0980 8701 0014 0002
                       000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                       ffff 0060 0004 ffff ffff ffff ffff ffff
                       0452 ffff ffff 0000 e85b 6d85 4008 0002
                       0640 4d41 5354 4552 5f57 4542 0000 0000
                       0000 00
利用-i參數(shù)指定tcpdump監(jiān)聽(tīng)的網(wǎng)絡(luò)界面，這在計(jì)較機(jī)具有多個(gè)網(wǎng)絡(luò)界面時(shí)很是有用，
利用-c參數(shù)指定要監(jiān)聽(tīng)的數(shù)據(jù)包數(shù)量，
利用-w參數(shù)指定將監(jiān)聽(tīng)到的數(shù)據(jù)包寫(xiě)入文件中生存
A想要截獲所有210.27.48.1 的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包：
#tcpdump host 210.27.48.1
B想要截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信，利用呼吁：（在呼吁行中合用　括號(hào)時(shí)，必然要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
C假如想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包，利用呼吁：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D假如想要獲取主機(jī)210.27.48.1吸收或發(fā)出的telnet包，利用如下呼吁：
#tcpdump tcp port 23 host 210.27.48.1
E 對(duì)本機(jī)的udp 123 端口舉辦監(jiān)督 123 為ntp的處事端口
# tcpdump udp port 123

F 系統(tǒng)將只對(duì)名為hostname的主機(jī)的通信數(shù)據(jù)包舉辦監(jiān)督。主機(jī)名可以是當(dāng)田主機(jī)，也可以是網(wǎng)絡(luò)上的任何一臺(tái)計(jì)較機(jī)。下面的呼吁可以讀取主機(jī)hostname發(fā)送的所有數(shù)據(jù)：
#tcpdump -i eth0 src host hostname
G 下面的呼吁可以監(jiān)督所有送到主機(jī)hostname的數(shù)據(jù)包：
#tcpdump -i eth0 dst host hostname
H 我們還可以監(jiān)督通過(guò)指定網(wǎng)關(guān)的數(shù)據(jù)包：
#tcpdump -i eth0 gateway Gatewayname
I 假如你還想監(jiān)督編址到指定端口的TCP或UDP數(shù)據(jù)包，那么執(zhí)行以下呼吁：
#tcpdump -i eth0 host hostname and port 80
J 假如想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包
，利用呼吁：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
K 想要截獲主機(jī)210.27.48.1 和主機(jī)210.27.48.2 或210.27.48.3的通信，利用呼吁
：（在呼吁行中合用　括號(hào)時(shí)，必然要
#tcpdump host 210.27.48.1 and (210.27.48.2 or 210.27.48.3 )
L 假如想要獲取主機(jī)210.27.48.1除了和主機(jī)210.27.48.2之外所有主機(jī)通信的ip包，directadmin安裝 directadmin漢化，利用呼吁：
　#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
M 假如想要獲取主機(jī)210.27.48.1吸收或發(fā)出的telnet包，利用如下呼吁：
　#tcpdump tcp port 23 host 210.27.48.1
第三種是協(xié)議的要害字，主要包羅fddi,ip ,arp,rarp,tcp,udp等范例
除了這三種范例的要害字之外，其他重要的要害字如下：gateway, broadcast,less,
greater,尚有三種邏輯運(yùn)算，取非運(yùn)算是 ‘not ‘ ‘! ‘, 與運(yùn)算是’and’,'&&’;或運(yùn)算 是’o
r’ ,’||’；
第二種是確定傳輸偏向的要害字，主要包羅src , dst ,dst or src, dst and src ,
假如我們只需要列出送到80端口的數(shù)據(jù)包，用dst port；假如我們只但愿看到返回80端口的數(shù)據(jù)包，用src port。
#tcpdump i eth0 host hostname and dst port 80 目標(biāo)端口是80
可能
#tcpdump i eth0 host hostname and src port 80 源端口是80 一般是提供http的處事的主機(jī)
假如條件許多的話 要在條件之前加and 或 or 或 not
#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80
假如在ethernet 利用稠濁模式 系統(tǒng)的日志將會(huì)記錄
May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.
May 7 20:03:46 localhost kernel: device eth0 entered promiscuous mode
May 7 20:03:57 localhost kernel: device eth0 left promiscuous mode
tcpdump 對(duì)截獲的數(shù)據(jù)并沒(méi)有舉辦徹底解碼，數(shù)據(jù)包內(nèi)的大部門(mén)內(nèi)容是利用十六進(jìn)制的形式直接打印輸出的。顯然這倒霉于闡明網(wǎng)絡(luò)妨礙，凡是的辦理步伐是先利用帶-w參 數(shù)的tcpdump 截獲數(shù)據(jù)并生存到文件中，然后再利用其他措施舉辦解碼闡明。雖然也應(yīng)該界說(shuō)過(guò)濾法則，以制止捕捉的數(shù)據(jù)包填滿整個(gè)硬盤(pán)。