Claro, tshark
(tubarão de texto) é o mesmo programa, mas com um interface de linha de comando não interativa.
Você também pode executar o tshark no servidor e transferir as capturas por ssh para um wireshark em outro lugar.
Por exemplo:
mbp@joy% sudo tshark -i wlan0 -p -R 'http'
Capturing on wlan0
3.929359 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.104763 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 301 Moved Permanently (text/html)
4.118925 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.295749 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 302 Found (text/html)
4.355713 192.168.178.22 -> 66.102.11.104 HTTP GET / HTTP/1.1
4.560568 66.102.11.104 -> 192.168.178.22 HTTP HTTP/1.1 200 OK (text/html)
4.588767 192.168.178.22 -> 66.102.11.104 HTTP GET /images/nav_logo40.png HTTP/1.1
Você também pode fazer tshark ... |tee packetlog
, de modo que seja para a tela e para o arquivo.
Ou, alternativamente, tshark -w stuff.pcap
gravará os pacotes brutos nesse arquivo, que você poderá copiar para outra máquina e abrir dentro da wireshark gui, se desejar fazer uma investigação mais aprofundada.