Estou tentando capturar apenas pacotes TCP SYN-ACK, ou seja, com os bits SYN e ACK definidos com:
tcpdump -vvvni eth0 tcp[tcpflags] == tcp-syn and tcp[tcpflags] == tcp-ack
mas dá esse erro:
tcpdump: expression rejects all packets
Ainda não consigo descobrir se existe uma maneira de fazer isso através do arquivo tcpdump.
A propósito, tentei capturar pacotes apenas com o sinalizador SYN definido, esperando que também houvesse SYN-ACKs (porque não há contradição aqui), mas havia apenas pacotes SYN puros (com apenas o bit SYN definido). Portanto, preciso de uma maneira de ver apenas SYN-ACKs ou SYNs e SYN-ACKs.
PS é sobre TCP regular sobre IPv4.