Vlákno názorů k článku Resetujeme počítadlo tiskárny Epson, které blokuje tisk od Tomáš Matějíček - Už několikrát jsem uvažoval, kam jde všechen ten...

Už několikrát jsem uvažoval, kam jde všechen ten inkoust, který tiskárna "spotřebuje" při čištění, teď už mám jasno :)
Škoda že autor článku jen napsal "Odfiltroval jsem komunikaci podle IP adresy" ale nepopsal, co jak kde nastavit ve wiresharku - například já ten program vůbec neznám, netuším jak ho používat, a ocenil bych (pokud je to command line utilita) příklady s jakými parametry to spustit, aby to patřičné pakety dumplo v čitelném stavu.

Wireshark je GUI program a je poměrně intuitivní. https://www.wireshark.org/#learnWS
Vyberete síťové (nebo např. USB) rozhraní a spustíte záznam. Hned by se měly začít zobrazovat pakety. Lze také uplatnit filtry, které Vaše hledání lépe zacílí a nesbíráte balast, což má pozitivní dopad na výkon i množství dat, které musíte projít. Samozřejmě záznam lze i stopnout.
Wireshark umí číst i soubory se záznamem paketů.

Existuje i varianta Tshark pro terminál, která umí prakticky to samé.

Omezená, ale možná o něco robustnější alternativa je tcpdump (*NIX) nebo windump (Windows). Nemají tolik funkcionality, ale díky tomu je možné je přihodit na server a v případě problému pořídit záznam ve formátu pcap a ten potom třeba analyzovat jinde pomocí Wiresharku (nebo např. Pythonu + Scapy nebo dpkt).

Každopádně umět používat tcpdump na základní úrovni je užitečné nejen pro administrátory a bezpečnostní analytiky, ale i pro vývojáře a studenty, kteří si můžou takto ověřit funkcionalitu programu nebo řešit chyby v síťových aplikacích nebo např. ovladačích USB zařízení. Jak jsme viděli, umožňuje to i reverzní inženýrství.

Jinak o Wiresharku se na rootu již tento rok psalo: https://www.root.cz/zpravicky/vysel-wireshark-3-0-0/
Použití tcpdump můžete vidět třeba v přednášce Brendana Gregga: https://youtu.be/FJW8nGV4jxY?t=2664 (zde jsou slidy: http://cdn.oreillystatic.com/en/assets/1/event/122/Linux%20perf%20tools%20Presentation.pdf)

Wireshark je pomerne komplexni program, jeho popis by vydal na cely clanek
Filter podle adresy vypada takhle:
ip.addr==192.168­.160.222
pripadne pokud chces jenom odchozi packety
ip.dst==192.168­.160.222

Jestli se ti vic libi command line programy, tak tcpdump
tcpdump -xX -s0 -i eth0 host 192.168.160.222
ale ten ti to jenom dumpne, na rozdil od wireshark to nedekoduje

command line pro Wireshark: tshark -i eth0 host 192.168.160.222