<div dir="ltr"><div class="gmail_default" style="font-size:small">Right after sending this email I remembered the display filters available in tshark - so I'll just install tshark everywhere I need and run it in a double-pass mode. KISS</div>
<div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_default" style="font-size:small">​Sorry again for the noise​</div><br clear="all"><div>***Stefan </div>
<br><br><div class="gmail_quote">On Wed, Jul 2, 2014 at 8:56 AM, Stefan <span dir="ltr"><<a href="https://mail.google.com/mail/?view=cm&fs=1&tf=1&to=netfortius@gmail.com" target="_blank">netfortius@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div style="font-size:small">Hello, DNS gurus,</div>
<div style="font-size:small"><br></div><div style="font-size:small">Does anybody have a good set of tcpdump/tshark capture filters, associated with DNS, already prep-ed for specific fields in the payload (so beyond just the simplistic udp 53 or tcp 53)? </div>

<div style="font-size:small"><br></div><div style="font-size:small">Why am I asking?</div><div style="font-size:small"><br></div><div style="font-size:small">
- I need to set up traffic captures in various tiers of servers-hosting-applications whose owners cannot tell where the inter-tiers reachability depends (and maybe fails) on FWD or REVERSE lookups. This cannot be done by asking the server or apps folks to use the DNS traditional tools (dig, nslookup, host, etc.) simply because they cannot tell which hostnames or IPs make up the functionality of very complex apps, and have dependency on name resolution (direct or reverse) in order to work</div>

<div style="font-size:small">- I would be mostly interested (of course) in DNS packets with no responses</div><div style="font-size:small">- I would like to avoid re-inventing the wheel by trying to figure out at which byte offset I would have to start reading a string (is it even possible to identify that, knowing that certain strings are variable in length??), and identify no response, if someone has already figured out such things ;-)</div>

<div style="font-size:small"><br></div><div style="font-size:small">Thanks in advance for directions or "no way - forget about it"</div><span class=""><font color="#888888"><div style="font-size:small">
***Stefan</div>
</font></span></div>
</blockquote></div><br></div></div>