Problem :
tcpdump kürzt anscheinend mitgeschnittene Pakete. Im Wireshark sieht man sehr viele Frames, die im LEN Feld zwar die scheinbar richtige Länge anzeigen (1514), die Frames sind jedoch nicht vollständig. Man sieht diese Meldung:
Packet size limited during capture.
Lösung:
Wenn wir die Pakete ungekürzt in voller Frame Länge mitlesen möchten, müssen wir den Flag „-s 0“ einsetzen.
“-s 0″
# tcpdump -i eth0 -w file.cap -s 0)
In der Manpage wird jedoch darauf hingewiesen, dass dies eine besondere Belastung für den Server darstellt. Also sparsam einsetzen.