Essa é a pergunta que eu faço para dezenas de administradores de redes. TCPDUMP é uma das ferramentas mais fantásticas que existem, presente em praticamente todas as distribuições Linux, você precisa de alguns privilégios para executá-la ou nenhum, caso você seja root 🙂

Há livros, cursos e certificações sobre Wireshark, excelente ferramenta que faz até um pouco mais do que o TCPDUMP, mas tem um problema, o wireshark é vulnerável a ataques. 🙂

Você precisa possuir bons conhecimentos em TCP/IP para saber utilizar e até mesmo interpretar o outuput gerado pelo TCPDUMP, acontece que há pouco documentação esclarecedora sobre o assunto, até que eu acabei encontrando este tutorial fantástico.  Eu já tinha indicado o guia em PDF com os principais comandos.

Espero que isso ajude.