Algumas boas alternativas para a opção -A
apontaram:
tcpflow
lerá um arquivo pcap e dividirá as conexões TCP em arquivos separados. Certifique-se de usar um diretório temporário, pois ele será dividido em arquivos separados para cada conexão.
tcpdump -s0 -w capfile
...
mkdir tmp && cd tmp
tcpflow -r ../capfile
Você também pode obter algo do tcpflow muito semelhante ao tcpdump -A
, sem dividir arquivos diferentes:
tcpflow -C -r capfile
Pessoalmente, acho que usar wireshark
e sua opção Seguir fluxo TCP é o mais fácil de ler, pois ele codifica em cores cada lado da conversa. Você pode capturar diretamente com o wireshark ou ler capturas feitas com o tcpdump.