Ядро Linux начиная с версии 2.6.14 предоставлет возможность перехватывать пакеты из userspace которые затем можно записывать используя фильтр пакетов ядра.
В таблицу INPUT iptables в самом верху добавить правило
-A INPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
В таблицу OUTPUT в самом верху добавить
-A OUTPUT -m owner --uid-owner 1006 -j CONNMARK --set-mark 1 -A OUTPUT -m connmark --mark 1 -j NFLOG --nflog-group 30
А затем запустить dumpcap чтобы он сохранил в файл протокол обмена
# dumpcap -i nflog:30 -w uid-1006.pcap
И сам файл потом открыть при помощи WireShark.
Источник