我正在运行tcpdump来捕获特定端口上的UDP消息。捕获的UDP流量包含碎片UDP数据包。
当遇到碎片UDP数据包时,tcpdump仅捕获第一个片段。 (可能是因为只有第一个片段包含端口信息)。
TCP转储上是否有交换机,即使来自端口的消息被过滤,也会捕获UDP数据包的所有片段?
答案 0 :(得分:1)
我可能错了,但我认为你的意思是如何扩展snaplen,因为你只是用tcpdump捕获数据包片段。默认的snaplen通常是68个字节。
将snaplen设置为0会将其设置为默认值65535字节,因此请使用“-s 0”运行tcpdump以捕获所有内容。您是否使用'-s'开关运行?
建议您将snaplen限制为捕获您感兴趣的协议信息的最小数字。
HTH!