tcpdumpはインストールされていることが多いので、習得必須ツールのひとつなわけですが、filterが貧弱なのが難点。あるホストとの通信だけ、とか単純なfilterに満足できなくなったらtsharkですよ。tsharkはより上位のレイヤもdisplay filterに書ける(capture filterはpcapだけど)。ただし、正規表現でfilterは掛けない。そういうのはsnortで頑張ってもらいましょう。 mixi.jpの名前解決を引っかけるなら、 # tshark -i ngeth0 -n -R 'dns.qry.name == "mixi.jp"' -s 1515 -w mixi.lpc vlan and port 53 ここから、-w -でpipe経由でargusに食わせて、ragraphに突っ込めば、DNSの通信をrrdtoolでグラフ化できるよねとか、logger使ってs