tcpdump zdrojovy udp port

Zdravim,

potreboval bych poradit jak filtrovat pakety s zdr. udp portem vetsim nez 10000 a mensim nez 20000.

Zkousel jsem tcpdump 'udp[0:2] >= 10000' and 'udp[0:2] <= 20000' nepodarilo se.

Parametr portrange tez nefunguje.

tcpdump version 3.8 libpcap version 0.8.3

tcpdump --version
tcpdump version 3.9.5
libpcap version 0.9.5
tcpdump 'proto \udp and portrange 10000-20000'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

29.11.2007 13:23 Tomáš Binder
Rozbalit Rozbalit vše Re: tcpdump zdrojovy udp port

A neslo by to nejak pomoci te verze, kterou mam nainstalovanou?

29.11.2007 19:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: tcpdump zdrojovy udp port

>tcpdump --version
tcpdump version 3.6
libpcap version 0.6
>tcpdump -ni eth0 'udp[0:2] >= 10000 and udp[0:2] <= 20000'
tcpdump: listening on eth0
20:08:28.315641 10.93.51.3.10000 > 10.93.51.22.9999:  udp 5 (DF)

Testováno příkazem

>nc -u -p 10000 -q 1 10.93.51.22 9999

Verzi přesně 3.8 nikde nemám…

29.11.2007 19:30 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: tcpdump zdrojovy udp port

Takže asi nezbyde než provést tradiční výslech a vyrazit z tazatele, co vlastně znamená to "nepodařilo se"…

30.11.2007 11:19 Tomáš Binder
Rozbalit Rozbalit vše Re: tcpdump zdrojovy udp port

Vyslech nebude treba uz jsem to vyresil. Musi se tam pridat "-O". Asi je nejaka chyba v tom optimalizeru.

tcpdump -i eth0 -v -O \('udp[0:2] >= 10000' and 'udp[0:2] <= 20000'\)

Dotaz: tcpdump zdrojovy udp port

Odpovědi