Tcpdump está muy bien para debugear problemas de red pero hay ocasiones en las que necesitamos funcionalidades específicas de wireshark como el reconstructor de streams de audio a partir de tráfico RTP, para ello la mejor opción es empipar la salida de un tcpdump remoto a nuestro wireshark local a través de una conexión ssh.
Compilamos wireshark con las use flags necesarias:
vi /etc/portage/package.use/wireshark
net-analyzer/wireshark capinfos caps captype dftest dumpcap editcap filecaps mergecap netlink pcap qt5 randpkt randpktdump reordercap sharkd ssl text2pcap tshark udpdump zlib -adns -androiddump -ciscodump -doc -doc-pdf -geoip -gtk -kerberos libssh -libxml2 -lua -lz4 -nghttp2 -portaudio -sbc -selinux -smi -snappy -spandsp sshdump -tfshark
Empipamos la salida del tcpdump remoto a nuestro wireshark local:
ssh HOSTNAME "tcpdump -U -s0 -w - ’not port 22’" | wireshark -k -i -