-n : 주소를 십진수로 표시
-i : 어느 인터페이스를 경유하는 패킷을 캡쳐할지 결정
-t : 캡쳐 시간을 출력하지 않음
-c : 캡쳐할 패킷 수 지정
-a : 도메인 이름형식으로 주소 출력
-f : 로컬호스트는 도메인 이름, 원격호스트는 숫자로 표시
-e : 링크레벨 헤더를 출력
-N : 호스트 이름을 출력할 때 도메인 출력하지 않음
-P : 인터페이스를 promiscuous 모드로 하지 않음
-q(v) : 프로토콜정보를 간단히(자세히) 출력
-w(r) : 캡쳐한 패킷을 파일에 저장(로드)
-s : snap length를 변경 (기본 68바이트) -s0 무제한
-S : TCP순서번호를 상대적인 번호가 아닌 절대적 값으로 출력
-v : 더 많은 정보들을 출력
-vv : -v 보다 더 많은 정보들을 출력
-x : 패킷을 헥사코드로 출력
// eth0를 통해 인입되는 패킷 모니터링
# tcpdump -i eth0
// eth0를 통해 인입되는 패킷 모니터링 결과를 packet_log.txt에 저장
# tcpdump -i eth0 -w packet_log.txt
// 지정한 수 만큼만 저장
# tcpdump -i eth0 kj-c 50
// eth0을 통해 들어오는 패킷 중 지정된 포트와 IP로 들어오는 패킷에 대해서만 모니터링하여 packet_log에 저장
# tcpdump -i eth0 -w packet_log.txt -1 1500 tcp port 23 and host 218.38.71.24
// 저장된 파일을 확인
# tcpdump -r packet_log.txt
// 예시
# tcpdump -nns0 host 172.30.1.80 -i bond0 -w pcap_20150911_002.cap