Когда я слушаю внутренний сетевой интерфейс маршрутизатора на freebsd, я получаю такие выходные данные
10:36:02.372026 IP 192.168.1.11.8888 > 192.168.1.2.49831: Flags [.], ack 1097, win 65050, length 0
10:36:02.374275 IP 46.163.78.160.123 > 192.168.1.2.32999: NTPv4, Server, length 48
10:36:02.376121 IP bad-len 0
Моя цель - отфильтровать пакеты «bad-len 0» с помощью самого tcpdump (не grep и т. Д.). Я пытался написать параметры фильтра «больше 0», но это не сработало.
Вы можете использовать это выражение для фильтрации ip-пакетов с нулевым размером заголовка ip feild:
tcpdump -petnvv -i em0 'ip[2:2] = 0'
См. Pcap-filter (4) для синтаксиса выражения tcpdump и RFC 791 или других ресурсов, е. грамм. этот для структуры заголовка IP.