安装tcpdump命令：

[root@ok Desktop]# yum install wireshark* -y
[root@ok Desktop]# which wireshark 
/usr/sbin/wireshark
[root@ok Desktop]# rpm -qa|grep wireshark
wireshark-devel-1.8.10-17.el6.x86_64
wireshark-1.8.10-17.el6.x86_64
wireshark-gnome-1.8.10-17.el6.x86_64

使用并保存tcpdump抓包结果，.pcap文件保存在root目录里：

[root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -i #是指定要抓取的网卡 -w #指定结果保存的位置 [root@bass Desktop]# tcpdump -i eth0 -w dump.pcap -v tcpdump: WARNING: eth0: no IPv4 address assigned tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes ^C189 packets captured 189 packets received by filter 0 packets dropped by kernel －v＃主要是为了得到Got 15这个数，当想要停止的时候，按下ctrl + c [root@bass Desktop]# ll -h dump.pcap -rw-r--r--. 1 tcpdump tcpdump 18K Aug 30 13:19 dump.pcap
通过winSCP软件可下载.pcap文件，该文件将使用wireshark打开。
wireshark官网下载地址：https://www.wireshark.org/download.html

或
安装tcpdump：yun install tcpdump

使用tcpdump创建pcap文件时，它将截断捕获文件以缩短该文件，您可能无法理解。您可以使用以下命令将转储捕获到文件中：

tcpdump -s 0 port ftp or ssh -i eth0 -w mycap.pcap

在上面的命令中

-s 0会将捕获字节设置为最大，即65535，此捕获文件将不会被截断。

-i eth0用于提供要捕获的以太网接口。 如果不使用此选项，则默认值为eth0。

端口ftp或ssh是过滤器，它将仅捕获ftp和ssh数据包。 您可以删除它以捕获所有数据包。

-w mypcap.pcap将创建该pcap文件，该文件将使用wireshark打开。