12/11/2003, 11:28
| ||||
| ||||
| Acabo de enviarte la respuesta. De cualquier forma te contesto también aquí.. que para eso están los foros  Si viste la explicación sobre enmascaramiento, filtros avanzados, etc verás, observando la cabecera IP, que el campo Id lo podemos sacar usando el formato: ip[4:2] [x:y] x es el octeto ó byte de comienzo e y significa: "leer" y bytes a partir del byte x . Hay que tener en cuenta que los octetos se comienzan a contar desde 0. De esta manera, si observas el campo Identificación de la cabecera IP, vemos que tenemosque comenzar a leer en el octeto 4 una cantidad de 2 octetos ( tiene una longitud total de 2 octetos). por ejemplo:
Código:
tcpdump -qn -s 0 "ip[4:2] = 1" tcpdump -qn -s 0 "ip[4:2] > 1" |
