$ sudo /usr/sbin/tcpdump -i any -s 0 -n -Z <user_name> -C 500 -W 100 -w /home/<user_name>/$(hostname).pcap -f '(port (# or # or # or # or # or # or ...) or portrange <start>-<end>)' &>/dev/null

说明

这里使用的标志：

• -i =接口
• -s =快照长度（默认为262144 ）
• -n =不要将地址（即主机地址，端口号等）转换为名称。
• -Z =用户
• -C =文件大小
• -W =文件计数
• -W =文件名