tcpdump -r web_185.pcap "ip[6:2] & 0x1fff != 0"
tcpdump -r web_185.pcap "ip[6:2] & 0x3fff != 0"
一共16个bit,前三个分别为:0 , Do not Frag, More Frag。剩下的13个bit,frag_offset。不分片时frag_offset为0.
MF:不分片的,或分片的最后一个包为0。其他的为1。
frag_offset 用来区分不分片的包和最后一个分片,不为零的代表是最后一个分片。
所以,分片包的特征为,后14个bit不为0。
产生测试数据可以使用ping命令:
/home/tong/Data/ipfrag [tong@T7] [9:43] > ping -4 -s 8192 192.168.10.185