Вывод всех POST запросов в файл fpost2
tcpdump -i eth0 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354' -w fpost2
Так как вывод генерирует бинарный файл, открыть его можно также tcpdump`ом:
tcpdump -r -s 0 -A fpost2
w – пишет в файл
-r – открывает файл
-s 0 A – показывает содержимое пакетов помимо заголовков