Entendendo o filtro Tcpdump e o mascaramento de bits
Eu estou tentando cheirar os cabeçalhos http usando o tcpdump.
Este filtro funciona bem, mas não consigo entender
(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)
Eu pesquisei, mas não consigo encontrar nenhuma informação útil
Aqui está o comando tcpdump
sudo tcpdump -A 'dst [dest host] or src [src host] and tcp and
(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -i eth0