tcpdump...дам
'> wireshark е много удобно и нагледно нещо, но за жалост ужасно тромаво, гълтащо памет и несигурно от край време. Освен това като софтуерен дизайн е малко скапана идея, поради това че заделя все повече памет напред във времето за да може да "анализира" впоследствие трафика и евентуално при желание да го експорт-не във pcap формат. Не знам дали има някакъв вариант да му се дава timeframe, но навремето като съм го ползвал, ако го забравeх за дълго време си заварвах машината изпаднала в тежък swapping
'>
Иначе, wireshark (ethereal постаро му) е прекрасен инструмент за "сглобяване" на ICQ сесии изснифени, хахаха.
Апропо...има и друг малко по-power вариант, нарича се hunt. Той позволява и разни хахорски изпълнения, например има MitM arpspoof наклонности (с relay-ване на трафика през tun/tap), "трепане" на TCP сесии с RST, дори превземане на установени такива (голям смях е ако го използваш на рутера докато някой от мрежата ти чати с cleartext протокол, например IRC - носи голямо удовлетворение за детински глупости). hunt дори го има из дебиан-ските пакетни репозитори-та, въпреки че версията която бях дръпнал с apt-get не работеше. И да, същият шит има прилични снифинг способности, макар че са далеч от тези на tcpdump.
редакция: всъщност не се налага да го пускаш на рутера и трафика да минава през теб, както и работи в switched среда. Просто трябва да си поиграеш със ARP spoofing & relaying възможностите му.
И да, работи само в рамките на етернет сегмента. layer2 е пословично несигурно нещо и го позволява. Не работи и със суичове подържащи порт секюрити (ще резнат фалшифицираните арп пакети вероятно).