Есть ли фильтр pcap для TCPDump, который позволит фильтровать сообщения с нулевым окном?
Я знаю, как отфильтровать их в фильтре отображения wirehark (tcp.analysis.zero_window), но объем данных, с которыми мне нужно работать, легко приводит к сбою wirehark (по крайней мере, 32-разрядной версии), а разбиение файла и просмотр этих захватов утомительно.
Есть ли как-нибудь фильтр захвата для сообщений TCP Zero Window?
Думаю, это можно сделать с помощью такого фильтра:
"tcp[14] = 0 && tcp[15] = 0"
В tcp[i] обозначение означает индекс i заголовка TCP. Размер окна расположен после 14 байтов от заголовка TCP. Для получения дополнительной информации вы можете посмотреть man pcap-filter.