tcpdump считывает пакеты ipv4 и ipv6 с pcap

возможно, это вам поможет:

tcpdump 'ip6[6]==17 or udp or (ip6[6]==6 and ip6[53]&8!=0) or tcp[13]&8!=0' -X -r some.pcap

In tcpdump вы не можете получить пакеты ipv6, как вы пытаетесь, потому что это не поддерживает (по крайней мере до версии 4.9.2) фильтры BPF под ipv6.

и

• ip6[6]==17 означает udp через ipv6 (6-й байт это поле протокола IPv6-заголовка), ip6[6]==6 означает tcp через ipv6 соответственно;

• ip6[53]&8!=0 означает tcp - push over ipv6 (40 байт IPv6-заголовка и 13 байт tcp-заголовка, который является tcp-флагами);

• tcp[13]&8!=0 совпадает с tcp[tcpflags] & tcp-push != 0.

Подробнее: IPv6 и протокол tcpip pocketguide и здесь.

имейте в виду (!):используя ip6[6] определить отказы протокола если любое выдвижение заголовки присутствуют (как указано kasperd). Подробнее о заголовках расширения ipv6 здесь. Отсюда такой способ tcp-пакетов над ipv6 с заголовками расширений не будут захвачены.

кроме того, вы можете написать свой собственный простой фильтр для конкретных (например, чтобы получить последний символ полезных) целей, таких как:

perl -le 'print map { /(?:Flags \[P\.\]|UDP).*(\S)$/s } split /\d{2}:\d{2}:\d{2}\.\d{6}/, `tcpdump -X -r some.pcap 2>/dev/null`'