Ver Mensaje Individual
  #2 (permalink)  
Antiguo 12/11/2003, 11:28
Avatar de Alfon
Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Acabo de enviarte la respuesta. De cualquier forma te contesto también aquí.. que para eso están los foros

Si viste la explicación sobre enmascaramiento, filtros avanzados, etc verás, observando la cabecera IP, que el campo Id lo podemos sacar usando el formato:

ip[4:2]

[x:y] x es el octeto ó byte de comienzo e y significa: "leer" y bytes a partir del byte x . Hay que tener en cuenta que los octetos se comienzan a contar desde 0.

De esta manera, si observas el campo Identificación de la cabecera IP, vemos que tenemosque comenzar a leer en el octeto 4 una cantidad de 2 octetos ( tiene una longitud total de 2 octetos).

por ejemplo:
Código:
tcpdump -qn -s 0 "ip[4:2] = 1"
tcpdump -qn -s 0 "ip[4:2] > 1"
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com