tcpdump的：精确匹配数据包长度

Question

我需要捕捉长度等于包16个字节

越接近我想出了是这样的：

tcpdump -ni lo -ttt dst port 1337 and greater 16 

如果我添加其他过滤器，以配合我会喜欢：

tcpdump -ni lo -ttt dst port 1337 and greater 16 and not greater 17 
tcpdump -ni lo -ttt dst port 1337 and \(greater 16 and not greater 17\) 
tcpdump -ni lo -ttt dst port 1337 and greater 16 and less 16 

它根本没有显示任何数据包。

Althought，使用：

tcpdump -ni lo -ttt dst port 1337 and less 16 

似乎并没有工作都不是，我实际上游荡，如果少滤镜......

欢迎任何帮助:)

Answer 1

正如Barry Margolin指出的那样，greater运算符检查整个数据包的长度，包括所有头部。 16个字节的TCP有效载荷加上20个字节的TCP报头（这是最小的TCP报头长度，没有选项）加上20个字节的IPv4报头（这是最小的IPv4报头长度，没有选项）加上14个字节的以太网报头，例如， 70个字节。

我从“lo”中猜测你在Linux上捕获并捕获在回送接口上，在这种情况下数据包有一个（假的）以太网头。

68字节是旧版tcpdump默认的快照长度，当没有IPv6支持时，所以可能被报告为68的长度是捕获的长度，最后2个字节被截断。尝试运行带有标记-o 0的tcpdump（除非它是一个确实是旧版本的tcpdump，则快照长度为0意味着“将快照长度设置得非常高，以便数据包不会被切断）。

Answer 2

好吧，它确实有效。数据包长度通过“-v”标志可见。