一：判断是谁发起的断连，断连事件发生立刻会有输出。
snoop -x  -v 10.4.104.96 port 8770|grep Fin
tcpdump -x -s 512 -tttt port 7003 -l |grep "F 1:1"

二：截获详细tcp数据报文，可以进一步定位断连发生之前的数据报文。
snoop -v -x 54  10.4.104.96 port 8770 >3.txt

三：用tcpdump查看主机A到主机B的报文命令
tcpdump ip host 10.4.104.108 and 10.4.104.107
tcpdump -x -s 512 -tttt port 9997 -l>stbtrace1.txt

四：抓某块网卡的报文：
tcpdump  -i  eth2 -x -s 512 -tttt  port 9897

五：截获的文件可以用ethereal 来阅读
tcpdump  -i  eth2 -x -s 512 -tttt  port 9897 -w data
六：ping 路由
ping 172.28.66.238 -l 300 -t -r 8