預置條件：linux上已有tcpdump客戶端並有可執行的許可權

./tcpdump -i any -n port 8443 or host 192.168.4.5 -w test.pcap

該命令是 抓8443埠的資料包或者192.168.4.5的包並生成為pcap檔案，可供wireshark 使用

-i 是網絡卡，any 是所有網絡卡，也可這樣子指定只抓eth0 網絡卡的包 ./tcpdump -i eth0 -n port 8443 or host 192.168.4.5 -w eth0.pcap

-n 是把抓包的機子資訊，轉化數字

未加n的時候

加n的時候

後的port 和 host 都為條件，譬如有dst src 這樣子的條件，條件可以根據實際情況去設定

-w 是指定生成檔案

生成檔案後，利用wireshark分析抓到的資料

檔案直接匯入後。wireshark的資料包分析，Filter功能是最離不開的~

經常用到的過濾條件：

tcp.port 指定tcp協議，並指定是哪個埠的資料包，然後 可以多個條件 or and 等條件

譬如 該過濾條件：

tcp.flags.ack == 1 and tcp.port == 8045 

tcp.flags.ack==1 指定 資料包包含ack 標誌

tcp.flags.fin == 1  資料包包含fin 標誌

在 wireshark中有 Expression 中 所有可用的過濾條件都在裡面，可根據實際要求去檢視，如果看不懂，請補充一下tcp 的三次握手和四次揮手以及資料包的傳送

然後還有給比較重要常用的功能follow tcp stream 

另外補充三次握手和四次揮手的詳解連結：

如果其他的內容下次補充