Eu instalei o tcpdump no debian 8 através do comando apt-get. Quando tento gravar pacotes em uma interface de monitoramento que obtém pacotes via porta SPAN com o seguinte comando "tcpdump -i interface -nn -c 25" , vejo o tráfego indo para um servidor da Web e um servidor da Web respondendo de volta ao cliente.
No entanto, quando tento gravar esses pacotes em um arquivo como "interface tcpdump -i -nn -w file.pcap -s 0" e depois tento ler o arquivo como "interface tcpdump -i interface -r file.pcap 'host xxxx' " Eu posso ver apenas um lado da comunicação. Esse é o servidor da web que responde de volta ao cliente. Alguém já enfrentou essa situação antes?
Eu sei que os dois lados da conversa são gravados no file.pcap porque eu posso recuperar os dois lados da conversa via tshark, mas não pelo tcpdump.
tcpdump -nn -r file.pcapele deve mostrar ambos os lados