服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何用tcpdump过滤掉“bad-len 0”数据包?
Intereting Posts
RAID 1 + 0冗余和针对RAID 1的数据丢失恢复能力 我如何知道为什么我有权访问Windows Server上的文件共享? 在Windows XP上同步时间是不可能的吗? Ansible:主持人出现在多个小组中,并且两个小组的任务相同。 任何方式来运行一次任务? 阻止Google Analytics(分析)打破了一些应用 SQL 2008报告pipe理器不起作用 为什么我的系统事件日志中充满了WMI Performance Adapter消息? 使用Robocopy将Windows Server 2008 OS驱动器克隆到较小的驱动器 无法看到Windows Server 2012任务计划任务的计划“SynchronizeTime” FCRDNS是否需要RDNS与第一个转发查询相同的主机名? 两个节点之间的直接和路由stream量的networking拓扑 sshfs + encfs是稳定的吗? 在Solaris上安装Oracle Instant Client 10.2 神秘丢弃的数据包 IEEE802.11前导码是空帧吗?

如何用tcpdump过滤掉“bad-len 0”数据包?

当我在freebsd上监听路由器的内部networking接口时,我得到这样的输出 

10:36:02.372026 IP 192.168.1.11.8888 > 192.168.1.2.49831: Flags [.], ack 1097, win 65050, length 0 10:36:02.374275 IP 46.163.78.160.123 > 192.168.1.2.32999: NTPv4, Server, length 48 10:36:02.376121 IP bad-len 0

我的目的是用tcpdump本身(不是grep等)过滤掉“bad-len 0”数据包。我尝试写入“更大的0”filter选项,但是它不工作。

你可以使用这个expression式来过滤ip长度为header fe的零包: 

 tcpdump -petnvv -i em0 'ip[2:2] = 0'

有关tcpdumpexpression式语法和RFC 791或其他资源,请参阅pcap-filter(4), 例如,用于ip头结构。