详细参考：

http://blog.csdn.net/ylyuanlu/article/details/7743409
http://stackoverflow.com/questions/13086766/how-to-filter-mac-addresses-using-tcpdump
嘛~一般抓包之后用wireshark看比较舒服，于是推荐结合wireshark使用。

tcpdump的用法比较简单（或者是我用的比较简单）

-i：抓某个指定接口的数据包（详细列表可以用tcpdump -D获得）

-w：输出到指定文件（方便使用wireshark查看内容）

然后的就是源地址，源端口，目标地址，目标端口等，这几个参数没有“-”，直接写，例如

tcpdump -i eth0 src 192.168.1.1 dst port 80

这样就会抓到来源是192.168.1.1，目标端口是80的数据包了。

mac地址的抓包要麻烦一些，暂时没研究通，上面给出的第二个连接是一篇国外的相关资料，看得懂的可以看看