tcpdump 'udp[2:2] >= 34300 and udp[2:2] <= 34320', was mache ich falsch?

[SchienenHaenger]

Ein Client sendet UDP-Packets per Broadcast an den Portbereich von 34297 - 34395.

Also schnell ein

tcpdump 'udp[2:2] >= 34300 and udp[2:2] <= 34320'

gemacht um zu gucken was Sache ist. Leider habe ich nur Port 34300 als Output:

tcpdump 'udp[2:2] >= 34300 and udp[2:2] <= 34320'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
11:26:29.484922 IP bitstreamer.schienenhaenger.de.ms-sql-m > 255.255.255.255.34300: UDP, length: 21

Wenn ich nur 'udp[2:2] >= 34300' o.ä. für sich einsetzte, stimmt der Output, alle Ports grösser/Gleich 34300 werden brav angezeigt.

Könnt ihr mir helfen?

 

[gamlix]

hmm, komisch,

FreeBSD 5.3
tcpdump version 3.8.3
libpcap version 0.8.3 --> gleiches Prob.

Debian
tcpdump version 3.9-PRE-CVS
libpcap version 0.9-PRE-CVS --> gleicher syntax tut!

leider keine loesung, aber vllt hilft das weiter ...

gruss

 

[SchienenHaenger]

Ah, zumindest scheint hier meinerseits kein Verständnisproblem vorzuliegen. Komisch, dass so etwas nicht auffällt. Portbereiche dürften doch häufiger gesniffed werden...


Danke Dir.