Параметры:
-D – вывод на экран имён доступных интерфейсов
-i имя интерфейса – указываем конкретный сетевой интерфейс
-с десятичное число – сколько пакетов вывести на экран
-q – вывод минимальной информации о проходящих пакетах
-v – вывод подробной информации о проходящих пакетах
-vv – вывод более подробной информации о проходящих пакетах
-vvv – вывод максимально подробной информации о проходящих пакетах
-t – запрет отображения метки времени
-tt – отображает не форматированную метку времени
-ttt – отображает время вместе с текущей датой
-n – отображает IP-адрес вместо имени хоста
-nn – отображает номер порта вместо используемого им протокола
-l – использовать стандартный потоковый вывод
-w имя файла – сохраняет все выводимые данные в файле в двоичном формате
-r имя файла – читает данные из указанного файла и выводит на экран
-C десятичное число – определяем размер создаваемого файла (для опции –w) в байтах (к следующему создаваемому файлу присваивается числовой суффикс номера файла)
-x – просмотр содержимого пакетов в шестнадцатеричной форме
-X – просмотр содержимого пакетов в ASCII- и hex-формате
host имя или ip-адрес хоста – вывод информации о пакетах конкретного хоста
port номер порта – указание номера порта
src и dst – только исходящая или только входящая информация
not, and и or – ключевые слова логических операций

Параметры фильтрации: по протоколу {arp|rarp|ip|tcp|udp|icmp|wlan|multicast|broadcast}
по размеру пакетов {less|greater размер пакета}

Также возможно осуществление фильтрации по флагам в заголовке пакетов FIN(1), SYN(2), RST(4), PSH(8), ACK(16), URG(32), ECE(64), CWR(128), анализируя 13-ый байт в заголовке пакета (в скобках указаны битовые позиции флагов в десятичном числовом выражении).

tcpdump -nn -i eth1 host 192.168.0.47 and port 3389

tcpdump -i bond0.17 dst 10.126.126.1 -v

Для wireshark

tcpdump -nn -vv host 10.126.126.1 -s 65535 -i ens3 -w p3.dmp