Кратко: TShark — это терминальная версия Wireshark. Без графики, но с той же мощью. Идеален для удалённых серверов, скриптов и автоматизации. Если Wireshark — хирургический стол с мониторами, то TShark — скальпель, который работает вслепую, но точно.

▫️ TShark vs Wireshark Wireshark — кнопки, графики, мышка. TShark — чёрный экран и строчки. Запустил команду — получил результат. TShark незаменим, когда: · Вы по SSH на сервере (GUI не доставить). · Нужно обработать 100 ГБ pcap-файлов. · Вы пишете скрипт для CI/CD или SIEM.

▫️ Базовые команды Установка: sudo apt install tshark -y sudo usermod -aG wireshark $USER

Список интерфейсов: tshark -D Вы увидит eth0, lo, any.

Захватить 10 пакетов с eth0: tshark -i eth0 -c 10 -i — интерфейс, -c — количество.

Захват на 10 секунд: tshark -i eth0 -a duration:10 -a — автостоп.

▫️ Фильтры Capture filters (-f) — экономят ресурсы: tshark -i eth0 -f "tcp" -c 10 # только TCP tshark -i eth0 -f "port 53" -c 10 # только DNS

Display filters (-Y) — гибче, работают с уже пойманным: tshark -i eth0 -c 100 -Y "http" # только HTTP

▫️ Работа с файлами Сохранить дамп: tshark -i eth0 -c 100 -w capture.pcap -w — запись в файл.

Прочитать и отфильтровать: tshark -r capture.pcap -Y "dns" -r — чтение, -Y — фильтр.

Тихий режим со статистикой: tshark -r capture.pcap -q -z tcp,tree -q — не показывать пакеты, только итоги.

Выборочные поля (CSV): tshark -r capture.pcap -T fields -e ip.src -e ip.dst -E separator=,

Hex-дамп пакета: tshark -r capture.pcap -x | head -50

▫️ Реальный кейс Проблема: сервер тормозит, подозрение на перегрузку сети. За минуту пишем скрипт: tshark -i eth0 -c 1000 -w debug.pcap tshark -r debug.pcap -Y "tcp.analysis.retransmission"

Видим кучу переотправленных пакетов — диагноз: проблемы с сетевым оборудованием или перегрузка канала.

▫️ Культурный феномен TShark — «рабочая лошадка» для автоматизации. В серьёзных компаниях процессы анализа инцидентов строятся на скриптах с tshark, которые переваривают терабайты PCAP-файлов и выдают готовые отчёты. Если ваш скрипт на TShark работает подозрительно быстро — проверьте фильтры.

#tshark #wireshark #сети #анализтрафика #cli #devops #networksecurity