tcpdump -v -i eth0 "ip and (dst net $ip) and (tcp[13]!=20 and tcp[13]!=2)
tcp[13] 第14个字节(数组序号从0算起,为13),即CWR~FIN位,CWR、ECE默认为0
tcp[13]!=20 不等于20(00010100),即ACK及RST([R.])
tcp[13]!=2 不等于2 (00000010),即SYN([S])
原文:https://www.cnblogs.com/Primzahl/p/tcpdump.html