Como filtrar os pacotes “bad-len 0” com o tcpdump?

1

Quando ouço a interface de rede interna do roteador no freebsd, recebo saídas como esta

10:36:02.372026 IP 192.168.1.11.8888 > 192.168.1.2.49831: Flags [.], ack 1097, win 65050, length 0
10:36:02.374275 IP 46.163.78.160.123 > 192.168.1.2.32999: NTPv4, Server, length 48
10:36:02.376121 IP bad-len 0

Meu objetivo é filtrar os pacotes "bad-len 0" com o próprio tcpdump (não o grep etc.) Tentei escrever opções de filtro "maior 0", mas não funcionou.

    
por ibrahim 18.05.2012 / 10:18

1 resposta

1

Você pode usar essa expressão para filtrar pacotes ip com zero em feild header:

tcpdump -petnvv -i em0 'ip[2:2] = 0'

Veja pcap-filter (4) para a sintaxe da expressão tcpdump e RFC 791 ou outros recursos, e. g. isto para a estrutura do cabeçalho ip.

    
por 09.07.2012 / 08:31