ngrep служит для отображения проходящих сетевых пакетов удовлетворяющих заданной маске.
Как мне кажется ngrep гораздо проще и удобнее, чем tcpdump. Вот несколько примеров:

Показать содержимое всех пакетов, прошедших по 80 порту, со словом google
   ngrep google port 80

Вывод пакетов удовлетворяющих маске по одному в строке, для интерфейса eth0:
   ngrep -i \'game*|chat|recipe\' -W byline -d eth0

Слушать весь SMTP трафик на всех сетевых интерфейсах:
   ngrep -i \'rcpt to|mail from\' -d any tcp port smtp

Показать текущее время для каждого совпадения (кто и когда заходит на машину телнетом):
   ngrep -q -t -wi "login" port 23

URL: http://www.packetfactory.net/Projects/ngrep/
Обсуждается: http://www.opennet.me/tips/info/876.shtml

• Примеры использования ngrep для выборки и просмотра содержимого пакетов,0x21h, 12:55 , 15-Ноя-12

Полезно, спасибо.