tcpdump не пишет трафик

Попробуй из man tcpdump

-B Set the operating system capture buffer size to buffer_size, in units of KiB (1024 bytes).

Может быть tcpdump не на тот сетевой интерфейс лезет слушать? Попробуй добавить -i eth0 или что там у тебя

tshark ещё «лучше» - выводит трафик, но в файл не пишет вообще ни одного пакета

ты через tee что-ли делаешь? покажи команду целиком

Для начала запускай с ключами -vvv, при этом будет отображаться количество перехваченных пакетов

Кстати, с диском всё в порядке?

помниться ..опцией -w сбрасывался дамп, то есть формат гоораздо более компактный чем то что выводится в консольку.

Интерфейс тот же, что и при выводе на консоль.

Команда целиком - tcpdump host 10.0.0.1 для вывода на консоль, tcpdump -s0 -w /home/user/1.dmp host 10.0.0.1 для записи в файл. Обычно, в файле пишется ровно то, что можно увидеть на консоли. Я этой фичей пользуюсь ежедневно для отладки телефонии. На данной машине же какие-то чудеса. Вместо полных SIP-сессий с RTP - в файл пишутся обрывки вызовов (SIP) и... ВСЁ. RTP вообще не видно. Хотя - повторюсь - вывод на консоль (что в tcpdump, что в tshark) все эти пакеты кажет в огромном количестве именно с указанного хоста на указанном интерфейсе.

помниться ..опцией -w сбрасывался дамп, то есть формат гоораздо более компактный чем то что выводится в консольку.

Раньше при открытии такого дампа в графическом Wireshark на десктопе, я там видел всё. Сейчас - вижу 0,1% от того что должно быть.

Есть такие пакеты, они называются фрагментированные. Может быть у тебя там ppp соединение или что-то в этом роде. Так вот в такой ситуации я допускаю, что tcpdump ловит только первый фрагмент, так как поля IP адрес протокол и тд, как раз будут только в нем