如果使用-w存成一个pcap文件后,在wireshark里显示Bogus IPv4 version等等无法解读的内容,严重影响了数据包分析。 @七禾页话 在tcpdump里提了issue后,其开发的大神迅速告诉了原因因为libpcap的版本bug导致的这个问题。 此问题的Issue Link是:https://github.com/the-tcpdump-group/tcpdump/issues/1092,其中有libpca...
生存时间:0x40,值为64 协议:0x06,代表TCP协议 首部校验和:0x20cb
tcpdump -i${interace}${_usedLinkDataType} 还有一种解决方案就是升级tcpdump,使libpcap的版本是1.10.2或更高的版本,这个方案会更好,因为使用LINUX_SLL2这个link-type的时候可以具体看到数据包从哪个port进入,从哪个port出。 扩展记录一些本案需要的一些tcpdump参数。 如何查看tcpdump的版本?--version: #左右...
tcpdump -i${interace}${_usedLinkDataType} 还有一种解决方案就是升级tcpdump,使libpcap的版本是1.10.2或更高的版本,这个方案会更好,因为使用LINUX_SLL2这个link-type的时候可以具体看到数据包从哪个port进入,从哪个port出。 扩展记录一些本案需要的一些tcpdump参数。 如何查看tcpdump的版本?--version: #左右...
如果是LINUX_SLL2的时候,并且libpcap的版本低于1.10.2,基本就会出现IP Invlid的问题(Wireshark中显示Bogus IPv4 version)。 解决方案是通过-y参数指定data-link-type为LINUX_SLL: #左右滑动 sudo用户运行: $ sudo tcpdump -i any -y LINUX_SLL [-w xxx.pcap] ...