Бег /usr/sbin/tcpdump -n dst ${some_ip} and dst port 80 на двух разных, но похожих (дистрибутив, версия) серверах дает мне разные размеры захвата (65535 байтов для одного, 262144 байта для другого).
Что может вызвать эту разницу в размере захвата tcpdump? Какие расхождения могут возникнуть в результирующих выходных данных?
РЕДАКТИРОВАТЬ: ldd $(which tcpdump) имеет одинаковый вывод на обоих серверах:
linux-vdso.so.1 => (0xdeadbeef)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0xdeadbeef)
libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0xdeadbeef)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0xdeadbeef)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0xdeadbeef)
/lib64/ld-linux-x86-64.so.2 (0xdeadbeef)
Ах, но версии ядра различаются, должно быть, это как-то связано ...
capture size 65535:
Ubuntu 14.04.4, Linux 3.13.0-85-generic
capture size 262144:
Ubuntu 14.04.5, Linux 3.13.0-116-generic
Длина снимка
смотреть на tcpdump.org и выполните поиск по длине снимка. Значение по умолчанию зависит от вашей версии libpcap или любого используемого вами настраиваемого драйвера захвата.