tcpdump

$ tcpdump -i eth0 -s0 -w resolv.pcap port 53

$ tcpdump -An  tcp port 80

$ tcpdump -nAs 20000 -i lo tcp port 9000

• -i - Прослушиваемый интерфейс
• port 9000, port 80
• -n
• -s
• -A
• -w

• tcpdump -n -i eth0 -l | tee resolv.pcap
• затем Wireshark

• http://www.lexpr.ru/tcpdump
• http://storm.in.ua/a2/analiz-setevogo-trafika-s-pomoschyu-Tcpdump.html
• http://www.inattack.ru/article/analiz-trafika-pri-pomoschi-tcpdump-chas/266.html#.UIpnsYKCgUA