У меня странная проблема с tcpdump - это похоже на то, что фильтр, который я хочу применить к захваченным пакетам, не работает мгновенно. Может быть, это совершенно нормально, но, честно говоря, я такого раньше не видел. Вот пример:
tcpdump -i ife0 -n not udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ife0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
08:23:24.720889 IP 10.0.21.67.45892 > 10.2.32.7.667: UDP, length 37
08:23:24.721170 IP 10.2.32.7.5778 > 10.0.21.67.45892: UDP, length 10
Так бывает не каждый раз, иногда вижу 2 пакета, иногда больше. ife0 - это интерфейс GRE (небольшой трафик, небольшие пакеты UDP, обычно ~ 150 пакетов в секунду). Я использую tcpdump версии 4.1-PRE-CVS_2015_07_23 с libpcap версии 1.4.0
Ничто не требует от вас использования версии CentOS 6; вы можете загрузить исходный код для более новых версий »- нет - не на этой конкретной машине, к сожалению, я не могу.
Тогда вам просто придется жить с тем поведением, которое вы наблюдаете.