Мне было интересно, почему у tcpdump есть магический номер 262144 как длина снимка по умолчанию?
--snapshot-length = snaplen Замаскировать снимок в байтах данных из каждого пакета, а не 262144 байта по умолчанию. Пакеты, усеченные из-за ограниченного моментального снимка, указываются в выходных данных с помощью «[| proto]», где proto - это имя уровня протокола, на котором произошло усечение. Обратите внимание, что создание снимков большего размера увеличивает время, необходимое для обработки пакетов, и, по сути, уменьшает объем буферизации пакетов. Это может привести к потере пакетов. Также обратите внимание, что при создании снимков меньшего размера данные из протоколов выше транспортного уровня будут отброшены, что приведет к потере информации, которая может быть важной. Например, запросы и ответы NFS и AFS имеют очень большой размер, и большая часть деталей не будет доступна, если выбрана слишком короткая длина снимка. Если вам нужно уменьшить размер снимка ниже значения по умолчанию, вы должны ограничить snaplen до наименьшего числа, которое будет захватывать интересующую вас информацию о протоколе. Установка snaplen на 0 устанавливает для него значение по умолчанию 262144 для обратной совместимости с недавними более ранними версиями. версии tcpdump.
Ссылка: страница руководства
https://github.com/the-tcpdump-group/tcpdump/blob/tcpdump-4.9/netdissect.h
/*
* Maximum snapshot length. This should be enough to capture the full
* packet on most network interfaces.
*
*
* Somewhat arbitrary, but chosen to be:
*
* 1) big enough for maximum-size Linux loopback packets (65549)
* and some USB packets captured with USBPcap:
*
* http://desowin.org/usbpcap/
*
* (> 131072, < 262144)
*
* and
*
* 2) small enough not to cause attempts to allocate huge amounts of
* memory; some applications might use the snapshot length in a
* savefile header to control the size of the buffer they allocate,
* so a size of, say, 2^31-1 might not work well.
*
* XXX - does it need to be bigger still?
*/
#define MAXIMUM_SNAPLEN 262144
Ничего особенного. Loopback Linux не ограничен аппаратными фреймами и поэтому имеет довольно большой максимальный размер - 64 КБ. Другие пакеты могут быть еще больше, поэтому увеличьте число от двух до 256 КБ.