OK, aquí va una pista para señalarle en la dirección correcta.
El desafío era: "Escribe un filtro de tcpdump / WinDump que la captura de paquetes ICMPv6 Multicast Listener".
Suena fácil, ¿verdad?
Con un poco de ayuda de Google verá que el "tipo" de escucha de multidifusión es de 130, y el tipo de campo ICMPv6 es el primer byte de la cabecera. Así que esto debería ser tan fácil como:
tcpdump-nn-p-v-s 0 icmp6 [0] = 130
Sin embargo, si ejecuta el comando que pondremos en contacto:
tcpdump: IPv6 protocolo de capa superior no es compatible con proto [x]
En otras palabras, puede utilizar "icmp6" para ver todos los paquetes ICMPv6, pero no se puede utilizar para filtrar en cualquiera de los campos de la cabecera ICMPv6.
Así que necesitamos un "Plan B". Descubrir el plan B y que ha resuelto el problema. 
Puestos relacionados con:
La solución pragmática es, por supuesto,
tcpdump-l-i cualquier icmp6 | grep-E '\ B160 \ b'
o similar.
La solución basada en pcap depende de si quieren apoyar a las cabeceras de extensión IPv6 o no. Si no, usted puede simplemente utilizar un desplazamiento de la cabecera IP, si usted quiere que lo apoyen, que empieza a ser más malo (ver tcpdump-d ip6 protochain 58 para un ejemplo de BPF de perseguir a estos títulos!), Pero de nuevo, icmp6 no parece ser realmente el apoyo que sea. ¿Hay una solución que no involucre a escribir su propia BPF, y apoya perseguir las cadenas de protocolo?
/ * Steinar * /
Grep acuerdo es la forma más fácil implementación. Sólo hace que sea más difícil de guardar archivos pcap.
Para citar RFC 2710: "Todos los mensajes MLD se describe en este documento se envían con una dirección de origen de enlace local IPv6, un límite de saltos IPv6 de 1, y una opción Router alerta IPv6 [RTR-ALERT] en las opciones Hop-by-Hop cabecera. "
Así que tienen una cabecera de extensión de tratar. En cuanto a la necesidad de perseguir a los encabezados, hasta ahora sólo he visto los paquetes de multidifusión oyente con la cabecera hop-by-hop. A pesar de que no se ve nada en 2710 que prohibía el uso de cabeceras adicionales.
Uno podría imaginar opciones de IPsec, pero suena un poco oscuro para MLD ...
Supongo que si se asume que sólo hay la opción de RTR-alerta, es de longitud fija y es posible que utilices el desplazamiento. No tengo idea de si realmente puede hacer la iteración o indirecta en los filtros de pcap textual.
/ * Steinar * /
Hola, esta función no es compatible con las capas superiores.
No estoy seguro es que esto funciona si la siguiente cabecera será incluido.
Así que si usted desea filtrar icmp6 packtes es por el tipo y sabe que esa cabecera IPv6 es de 20 bytes que simplemente podía hacer ip6 [21] y 130! = 0. Significa el primer byte después de cabecera IPv6, y no debe haber encabezado ICMPv6