В статье "Network monitoring with ngrep (http://software.newsforge.com/article.pl?sid=05/07/08/164249)" приводится несколько примеров использования замечательной утилиты ngrep (http://www.packetfactory.net/Projects/ngrep/), для отображения проходящих сетевых пакетов удовлетворяющих заданной маске  (поддерживаются регулярные выражения и pcap (http://www.tcpdump.org/release/) правила выборки).  

Как мне кажется, ngrep гораздо проще и удобнее, чем tcpdump. Вот несколько примеров:

Показать содержимое всех пакетов, прошедших по 80 порту, со словом google
   ngrep google port 80

Вывод пакетов удовлетворяющих маске по одному в строке, для интерфейса eth0:
   ngrep -i \'game*|chat|recipe\' -W byline -d eth0

Слушать весь SMTP трафик на всех сетевых интерфейсах:
   ngrep -i \'rcpt to|mail from\' -d any tcp port smtp

Показать текущее время для каждого совпадения (кто и когда заходит на машину телнетом):
   ngrep -q -t -wi "login" port 23

URL: http://software.newsforge.com/article.pl?sid=05/07/08/164249
Новость: http://www.opennet.dev/opennews/art.shtml?num=5789