当 UDP 消息可以分段时，使用 tcpdump 捕获特定端口

Question

我正在运行 tcpdump 来捕获特定端口上的 UDP 消息。捕获的 UDP 流量包含分段的 UDP 数据包。

当遇到分段的 UDP 数据包时，tcpdump 仅捕获第一个分段。 （可能是因为只有第一个片段包含端口信息）。

TCP 转储上是否有一个开关可以捕获 UDP 数据包的所有片段，即使来自端口的消息被过滤？

Answer 1

我可能是错的，但我认为你的意思是如何扩展 snaplen，因为你只用 tcpdump 捕获数据包的片段。默认的 snaplen 通常是 68 字节。

将 snaplen 设置为 0 将其设置为默认值 65535 字节，因此使用“-s 0”运行 tcpdump 来捕获所有内容。您是否使用“-s”开关运行？

建议您将 snaplen 限制为能够捕获您感兴趣的协议信息的最小数量。HTH

！