Анализ сетевого трафика на сервере с помощью tshark

[mafet]

полезно. спасибо! я раньше как-то опасался tshark.

[faustoFF]

Чертовски удобная штука, спасибо!

[flase]

Очень полезная статья!
Tshark — функционально, просто и полезно.

[Nastradamus]

Ну, лучше учиться сначала tcpdump'у — он есть в базе на всех системах и позволяет понять большинство сетевых проблем.

А для глубокого анализа, мне нравится загрузить дамп в Wireshark и там извращатсья как угодно с помощью удобного gui.

[ntkt]

На самом деле, даже tcpdump есть не везде, например, на solaris встроенный аналог называется snoop, и опции у него немного другие.

[ayambit]

Ну фильры и логические выражения это само собой разумеется.

Но я так и не понял из статьи, чем оно лучше tcpdump. Автор, добавь примеров со сравнением.

[Nastradamus]

Видимо, возможностью фильтровать «внутренности» протоколов: GET-запросы, SQL-запросы по типу и т.д.

[ayambit]

А оно вообще оказалось консольным wiresharkом.

[Nastradamus]

Там в мане написано, что это, вроде как, оно основано на коде Wireshark, но что-то изменено (предлагают почитать исходники чтобы понять что изменено, лол).

[ayambit]

-

[lexore]

$ sudo tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"'

Вот тут фильтр для pcap непонятный.
Вы не могли бы пояснить, что дает "(((ip[2:2] - ((ip[0]&0xf)<>2)) != 0)"?