Tshark: удобный анализатор сетевого трафика

        Из сети я узнал что Tshark - анализатор сетевого трафика на сервере  Одним из самых распространенных анализаторов трафика, затоптав всех остальных, на сегодняшний день является Wireshark, а вот Tshark использует для захвата ту же библиотеку libpcap, реализующую API pcap (packet capture) и является его консольной версией. Эту библиотеку использует и стандартная утилита tcpdump(они весьма похожм, к слову). Файлы, созданные tcpdump, можно передавать tshark для последующего анализа. 
        Преимуществом tshark, по сравнению с tcpdump, является более ясный формат вывода. Tshark включена в дистрибутивы большинства современных Linux-систем и устанавливается при помощи стандартного менеджера пакетов.

Примеры на будущее:

Матчим по порту и номеру из Астера:

 tshark -ta -ni any -Y "udp.port==5060"
 tshark -ta -ni any -Y "sip contains 4991234567"


 Смотрим интерфейс и адрес:

 tshark -i eth0 host 192.168.1.100


Вытаскиваем пакеты из файла по адресу:

tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap

Посмотреть интерфейсы:

tshark -D

Решение проблем с доступом к интерфейсам и запуска от имени root

su 
groupadd wireshark 
usermod -a -G wireshark имя_пользователя 
newgrp wireshark 
chgrp wireshark /usr/bin/dumpcap 
chmod 750 /usr/bin/dumpcap 
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap

Вывод

Сам хоть и знал данную утилиту достаточно давно, но лишь не давно понравилась в деле, ключевое в ней это доступность чтения дампа, тот же
tcpdump я использовал в основном для записи того же дампа, после выкачивал его и в Wireshark уже на своем ПК открывал, с Tshark иначе, его вывод приятнее и более функционален, что дает возможность сразу читать + выборку по дампу можно делать в нем же, а не грепать = если привыкнуть, то в итоге одной утилитой несколько заменить и появится эстетическая красота в процессе работы.