Basics:
tcpdump
tcpdump -i eth0
tcpdump -i eth0 -c 5
tcpdump -i eth0 -c 5 -w tmp.tr
tcpdump -i eth0 -c 5 -w tmp.tr -C 0.001
tcpdump -i eth0 -w tmp.tr -C 0.001
tcpdump -i eth0 -w tmp-large.tr -C 1
tcpdump -i eth0 -c 200 -w tmp.tr 
tcpdump -r tmp.tr


Expressions:types
tcpdump -r tmp.tr -c 2 host nslab.ee.ntu.edu.tw
tcpdump -r tmp.tr -c 2 net 140.112.154
tcpdump -r tmp.tr -c 2 net 140.112.154.128/25
tcpdump -r tmp.tr -c 2 net 140.112.154.128 mask 255.255.255.128
tcpdump -r tmp.tr -c 2 port 80
tcpdump -r tmp.tr -c 2 port http
tcpdump -r tmp.tr -c 2 port ssh

Expressions:directions
tcpdump -r tmp.tr -c 2 src or dst host nslab.ee.ntu.edu.tw
tcpdump -r tmp.tr -c 2 dst net 140.112.154
tcpdump -r tmp.tr -c 2 dst port 80

Expressions:protocols
tcpdump -r tmp.tr -c 2 ip src or dst host nslab.ee.ntu.edu.tw
tcpdump -r tmp.tr -c 2 arp dst net 140.112.154
tcpdump -r tmp.tr -c 2 tcp dst port 80
tcpdump -r tmp.tr -c 2 udp 
tcpdump -r tmp.tr -c 2 broadcast

Expressions:others
tcpdump -r tmp.tr -c 2 greater 100
tcpdump -r tmp.tr -c 2 less 100

Expressions:oprands
tcpdump -r tmp.tr -c 2 dst host nslab.ee.ntu.edu.tw and tcp 
tcpdump -r tmp.tr -c 2 dst host nslab.ee.ntu.edu.tw \&\& tcp 
tcpdump -r tmp.tr -c 2 dst host nslab.ee.ntu.edu.tw and \(tcp or udp\)

Expressions:in a separate file
tcpdump -r tmp.tr -c 2 -F test.exp


Additional flags:
tcpdump -n -r tmp.tr -c 2 -F test.exp
tcpdump -N -r tmp.tr -c 2 -F test.exp
tcpdump -q -r tmp.tr -c 2 -F test.exp
tcpdump -v -r tmp.tr -c 2 -F test.exp
tcpdump -vv -r tmp.tr -c 2 -F test.exp
tcpdump -vvv -r tmp.tr -c 2 -F test.exp
tcpdump -e -r tmp.tr -c 2 -F test.exp
tcpdump -q -t -r tmp.tr -c 2 -F test.exp
tcpdump -q -tt -r tmp.tr -c 2 -F test.exp
tcpdump -q -ttt -r tmp.tr -c 2 -F test.exp
tcpdump -S -r tmp.tr -c 2 -F test.exp

tcpdump -l -r tmp.tr -F test.exp | more
tcpdump -l -p | more
tcpdump -l | more


Output Formats
tcpdump -t -n -r tmp.tr -c 10 arp
tcpdump -t -n -r tmp.tr -c 10 tcp
tcpdump -t -n -r tmp.tr -c 10 udp