如何设置过滤tcpdump器tcp.len !=0
在 Wireshark 中。这很容易,但是我如何设置该过滤器tcpdump?
答案1
不容易,但我从男人tcpdump 页面
tcpdump -ni eth0 tcp and ' (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) >0 )'
ip[2:2] 是个总长度IP 数据包
((ip[0]&0xf)<<2) 是互联网标头长度IP 报头的大小
https://en.wikipedia.org/wiki/IPv4#Packet_structure
tcp[12]&0xf0 是个数据偏移量TCP 段报头
https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure