linux抓包命令
l  tcpdump [ -adeflnNOpqRStvxX ] [ -c count ] [ -F file ][ -i interface ] [ -m module ] [ -r file ][ -s snaplen ] [ -T type ] [ -w file ][ -E algo:secret ] [ expression ]
p  –e：在输出行打印出数据链路层的头部信息
p  –i：报文捕获监听的接口，如果不指定，默认为系统最小编号的接口（不包括loop-back接口）
p  –n：不将IP地址或端口号转化为域名或协议名称
p  –r：从文件中读取（该文件由-w选项创建）
p  –s：确定捕获报文大小
p  –w：直接将捕获报文写入文件，而不是对其进行解析并通过屏幕显示（与-r选项对应）
p  –x：每个报文以十六进制方式显示
p  expression：匹配表达式的分组将进行解析。如果不指定表达式，系统对所有分组进行捕获分析。复杂表达式可以使用与（and）、或（or）、非（not）操作进行组合。表达式有三种：
p  type：有host、net和port三种。如：host 10.1.1.1。如果不指定类型，默认为host
p  dir：有src、dst、 src or dst和src and dst四种方向。默认为src or dst，即双向
p  proto：常见协议，如：ip、arp、tcp、udp、icmp等。如果不指定协议类型，默认为所有协议


正常应该可以用

tcpdump –i bond1 –w aa.cap