Comprimento do instantâneo
Veja o tcpdump.org e pesquise o tamanho do instantâneo. O padrão é baseado na sua versão do libpcap ou em qualquer driver de captura personalizado que você esteja usando.
A execução de /usr/sbin/tcpdump -n dst ${some_ip} and dst port 80 em dois servidores diferentes, mas similares (distro, versão), oferece tamanhos de captura diferentes (65535 bytes para um, 262144 bytes para outro).
O que pode causar essa diferença no tamanho da captura do tcpdump? Quais discrepâncias podem causar na saída de dados resultante?
EDIT: ldd $(which tcpdump) tem a mesma saída nos dois servidores:
linux-vdso.so.1 => (0xdeadbeef)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0xdeadbeef)
libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0xdeadbeef)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0xdeadbeef)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0xdeadbeef)
/lib64/ld-linux-x86-64.so.2 (0xdeadbeef)
Ah, mas as versões do kernel são diferentes, devem ter algo a ver com isso ...
capture size 65535:
Ubuntu 14.04.4, Linux 3.13.0-85-generic
capture size 262144:
Ubuntu 14.04.5, Linux 3.13.0-116-generic
Comprimento do instantâneo
Veja o tcpdump.org e pesquise o tamanho do instantâneo. O padrão é baseado na sua versão do libpcap ou em qualquer driver de captura personalizado que você esteja usando.