Muitas vezes precisamos fazer um tcpdump e depois filtrar algum conteúdo de um pacote.
Geralmente o Wireshark é usado para essa finalidade porém, fazer um tcpdump no servidor, gerar um arquivo, transferir via SFTP, etc, etc, etc…. nada prático.
Você pode fazer isso diretamente na linha de comando, sabia ?
No exemplo abaixo iremos pegar os pacotes HTTP na porta 80:
tcpdump -ni eth0 -vvs 1500 -l -A port 80 | egrep 'HTTP|\: |\{'
Espero que tenha ajudado!
Boa sorte! 