系統(tǒng)運行過程中，難免發(fā)現(xiàn)服務(wù)器一些流量異?；蛟L問異常，我們可以采用tcpdump命令進(jìn)行抓包。下邊簡單介紹下該命令使用辦法。
1，安裝tcpdump
一些系統(tǒng)默認(rèn)沒有安裝，我們需要yum安裝下這個命令：
yum install  tcpdump -y
2，tcpdump使用。
一些使用我們可以tcpdump –help看下幫助，比如：

[root@Master ~]# tcpdump  --help
tcpdump version 4.1-PRE-CVS_2012_03_26
libpcap version 1.4.0
Usage: tcpdump [-aAdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]
		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
		[ -i interface ] [ -M secret ] [ -r file ]
		[ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]
		[ -y datalinktype ] [ -z command ] [ -Z user ]
		[ expression ]

常用的一些簡單用法，一般是抓取對應(yīng)網(wǎng)卡、端口、對應(yīng)IP等。
tcpdump  -nn 本地網(wǎng)卡地址以及外部鏈接地址 ，并采用IP地址、端口表示。 如果不加-nn 則會本機主機名以及外部客戶端myblast顯示。
tcpdump -i eth1 抓取網(wǎng)卡eth1包鏈接情況。如果不指定網(wǎng)卡，默認(rèn)抓取eth0數(shù)據(jù)包。
tcpdump -i eth1 port 80 抓取eth1網(wǎng)卡80端口鏈接情況。
tcpdump  -nn  -i eth1 port 80  -c 20 抓取eth1網(wǎng)卡80端口鏈接情況并長度20。
tcpdump -nn tcp 抓取tcp 鏈接包。如udp，則將tcp改成udp即可。
tcpdump  -nn  -i eth1 port 80  and host 118.112.163.61  -c 10 抓取抓取eth1網(wǎng)卡80端口和鏈接地址118.112.163.61鏈接情況并長度10。
tcpdump  -nn  -s0 -i eth1 port 80  and host 118.112.163.61  -c 10  同上相比，加了參數(shù)-s0 代表抓取完整包。