Открыть список
Как стать автором
Обновить

Комментарии 11

полезно. спасибо! я раньше как-то опасался tshark.
Чертовски удобная штука, спасибо!
Очень полезная статья!
Tshark — функционально, просто и полезно.
Ну, лучше учиться сначала tcpdump'у — он есть в базе на всех системах и позволяет понять большинство сетевых проблем.

А для глубокого анализа, мне нравится загрузить дамп в Wireshark и там извращатсья как угодно с помощью удобного gui.
На самом деле, даже tcpdump есть не везде, например, на solaris встроенный аналог называется snoop, и опции у него немного другие.
Ну фильры и логические выражения это само собой разумеется.

Но я так и не понял из статьи, чем оно лучше tcpdump. Автор, добавь примеров со сравнением.
Видимо, возможностью фильтровать «внутренности» протоколов: GET-запросы, SQL-запросы по типу и т.д.
А оно вообще оказалось консольным wiresharkом.
Там в мане написано, что это, вроде как, оно основано на коде Wireshark, но что-то изменено (предлагают почитать исходники чтобы понять что изменено, лол).
$ sudo tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'

Вот тут фильтр для pcap непонятный.
Вы не могли бы пояснить, что дает "(((ip[2:2] - ((ip[0]&0xf)<>2)) != 0)"?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.