La taille de capture par défaut de tcpdump diffère sur des servers similaires

L'exécution /usr/sbin/tcpdump -n dst ${some_ip} and dst port 80 sur deux servers différents (similaires, distro, version) me donne différentes tailles de capture (65535 octets pour un, 262144 octets pour un autre).

Qu'est-ce qui pourrait causer cette différence dans la taille de capture tcpdump? Quels écarts pourraient-ils provoquer dans la sortie de données résultante?

EDIT: ldd $(which tcpdump) a la même sortie sur les deux servers:

  linux-vdso.so.1 => (0xdeadbeef) libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0xdeadbeef) libpcap.so.0.8 => /usr/lib/x86_64-linux-gnu/libpcap.so.0.8 (0xdeadbeef) libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0xdeadbeef) libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0xdeadbeef) /lib64/ld-linux-x86-64.so.2 (0xdeadbeef) 

Ah, mais les versions du kernel diffèrent, il faut que ce soit …

 capture size 65535: Ubuntu 14.04.4, Linux 3.13.0-85-generic capture size 262144: Ubuntu 14.04.5, Linux 3.13.0-116-generic 

One Solution collect form web for “La taille de capture par défaut de tcpdump diffère sur des servers similaires”

Longueur de l'instantané

Regardez tcpdump.org et searchz l'instantané. La valeur par défaut est basée sur votre version de libpcap ou sur tout pilote de capture personnalisé que vous utilisez.

  • Journal tcpdump simple avec format personnalisé
  • On me request de prendre en charge la cartographie de plusieurs keys SSL sur une seule IP, mais je pense que c'est une mauvaise idée. Ai-je tort?
  • tcpdump - comment vérifier le taux de packages?
  • Pourquoi tcpdump voit-il une réponse, mais pas netcat
  • Est-il possible d'exécuter 2 tcpdump simultané avec différentes options?
  • Comment supprimer les en-têtes TCP de tcpdump (avec sortie hexadécimale de données non imprimables)
  • Dans la sortie de Chaosreader, où sont les numéros de port source et de destination et les adresses IP pour chaque paquet?
  • tcpdump et dynamics dns update
  • Supprimer les sockets FINISH (en utilisant libpcap - tcpdump / tcpkill)
  • Firewall bloque le trafic - comment savoir quels ports / adresses IP sont utilisés par les logiciels?
  • Impossible de voir le trafic dans mon operating system invité avec tcpdump
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.