TCPDUMP는 새 연결 만 캡처

9

특정 IP 주소에서 트래픽을 캡처하기 위해 TCPDUMP를 사용하고 있습니다. SYN 패킷으로 시작하는 TCP 스트림을 의미하는 새로운 연결 만 캡처 할 가능성이 있습니까?

감사합니다

tcpdump

불행히도. tcpdump는 패킷이 도착하자마자 캡처하지만 TCP 스트림을 구별하기 위해 어떤 종류의 세션 정보도 유지하지 않습니다. 스트림을 분리하려면 Wireshark에서 캡처를 분석해야합니다 (예 : 스트림 번호로 주문 가능).

— Mark Riddell

SYN 비트는 TCP 3-Way Handshake의 첫 두 패킷에서 설정됩니다. 따라서이 필터는 새로 설정된 연결뿐만 아니라 새로 연결하려는 모든 시도와 일치합니다. 어떻게 든 (소프트웨어 규칙) 연결이 허용되지 않으면 연결이 표시됩니다.

— Angel

7

TCP SYN 패킷 만 캡처하려면

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"

— 프 스트로 즈니 악
소스

3

새 세션에 대한 모든 트래픽을 캡처하지는 않습니다. SYN 패킷 만 캡처합니다.

— user5870571

1

다음은 TCP-SYN 및 SYN-ACK 패킷을 모두 캡처합니다.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"

다음은 TCP-SYN 패킷 만 캡처합니다.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

그 이유는 SYN-ACK 패킷이 SYN 및 ACK 플래그를 모두 포함하기 때문입니다. 첫 번째 필터는 SYN 플래그의 존재 만 찾았습니다.

인바운드 만 필터링하려면 -Q in 옵션을 추가하십시오.

tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

— 제임스
소스