Quando ouço a interface de rede interna do roteador no freebsd, recebo saídas como esta
10:36:02.372026 IP 192.168.1.11.8888 > 192.168.1.2.49831: Flags [.], ack 1097, win 65050, length 0
10:36:02.374275 IP 46.163.78.160.123 > 192.168.1.2.32999: NTPv4, Server, length 48
10:36:02.376121 IP bad-len 0
Meu objetivo é filtrar os pacotes "bad-len 0" com o próprio tcpdump (não o grep etc.) Tentei escrever opções de filtro "maior 0", mas não funcionou.
Você pode usar essa expressão para filtrar pacotes ip com zero em feild header:
tcpdump -petnvv -i em0 'ip[2:2] = 0'
Veja pcap-filter (4) para a sintaxe da expressão tcpdump e RFC 791 ou outros recursos, e. g. isto para a estrutura do cabeçalho ip.