Tcpdump на разных уровнях

[northrop]

Так, для поиска пакетов с флагом  SYN нам необходимо указать значение поля 13 в TCP пакете

Что-то непонятно, почему у поля SYN номер 13. Подсчет полей в картинке дает совсем не этот номер. Можете пояснить?

[wilcot]

Нужно считать по байтам:
2(порт источника)+2(порт назначения)+4(номер последовательности)+4(номер подтверждения)+1(длина заголовка и часть резерва).

[nv13]

Было бы полезно упомянуть примеры трафика с виртуальными сетями, вывод дампа в файл и то, что по дефолту дампится только заголовок без пейлоада

[kekoz]

Не секрет, что утилита Tcpdump не интерпретирует протоколы прикладного уровня, ограничиваясь работой с транспортным уровнем.

На картинке — “выхлоп” tcpdump -ni vmx0 udp port domain. Т.е. выделенное зелёным не является интерпретацией прикладного протокола DNS по-вашему?