[daily][tcpdump][bpf] 如何用tcpdump抓到一个分片包

tcpdump -r web_185.pcap "ip[6:2] & 0x1fff != 0"

tcpdump -r web_185.pcap "ip[6:2] & 0x3fff != 0"

一共16个bit，前三个分别为：0 ， Do not Frag, More Frag。剩下的13个bit，frag_offset。不分片时frag_offset为0.

MF：不分片的，或分片的最后一个包为0。其他的为1。

frag_offset 用来区分不分片的包和最后一个分片，不为零的代表是最后一个分片。

所以，分片包的特征为，后14个bit不为0。

产生测试数据可以使用ping命令：

/home/tong/Data/ipfrag [tong@T7] [9:43]
> ping -4 -s 8192 192.168.10.185

posted on 2017-03-24 20:47 toong 阅读(900) 评论(0) 编辑收藏举报

刷新页面返回顶部

The Classic Tong's Cave