В статье "Network monitoring with ngrep" приводится несколько примеров использования замечательной утилиты ngrep, для отображения проходящих сетевых пакетов удовлетворяющих заданной маске (поддерживаются регулярные выражения и pcap правила выборки).

Как мне кажется, ngrep гораздо проще и удобнее, чем tcpdump. Вот несколько примеров:

Показать содержимое всех пакетов, прошедших по 80 порту, со словом google 
   ngrep google port 80 

Вывод пакетов удовлетворяющих маске по одному в строке, для интерфейса eth0:
   ngrep -i \'game*|chat|recipe\' -W byline -d eth0

Слушать весь SMTP трафик на всех сетевых интерфейсах:
   ngrep -i \'rcpt to|mail from\' -d any tcp port smtp

Показать текущее время для каждого совпадения (кто и когда заходит на машину телнетом):
   ngrep -q -t -wi "login" port 23