TCPDUMP কেবল নতুন সংযোগগুলি ক্যাপচার করে

9

আমি নির্দিষ্ট আইপি ঠিকানা থেকে ট্র্যাফিক ক্যাপচার করার জন্য টিসিপিডিএমপি ব্যবহার করছি। এসআইএন প্যাকেট দিয়ে শুরু হওয়া টিসিপি স্ট্রিমগুলির অর্থ কী কেবল নতুন সংযোগগুলি ক্যাপচার করার সম্ভাবনা রয়েছে?

ধন্যবাদ

tcpdump

— আনিয়া কাটজেনেলসন
সূত্র

দুর্ভাগ্যবশত না. tcpdump প্যাকেটগুলি আসার সাথে সাথে কেবল ক্যাপচার করে, এটি টিসিপি স্ট্রিমের মধ্যে পার্থক্য করার জন্য কোনও ধরণের সেশন তথ্য বজায় রাখে না। আপনি যদি স্ট্রিম আলাদা করতে চান তবে আপনার ওয়্যারশার্কে ক্যাপচারটি বিশ্লেষণ করতে হবে (উদাহরণস্বরূপ আপনি স্ট্রিম নম্বর দিয়ে অর্ডার করতে পারেন)।

— মার্ক রিডেল

সাবধান থাকুন, এসসিএন বিট টিসিপি 3-ওয়ে হ্যান্ডশেকের দুটি প্রথম প্যাকেটে সেট করা আছে। সুতরাং, এই ফিল্টারটি কেবল নতুন প্রতিষ্ঠিত সংযোগগুলি নয়, সংযোগ স্থাপনের সমস্ত নতুন প্রয়াসের সাথে মিলবে। যদি কোনওভাবে (সফ্টওয়্যার নিয়ম) সংযোগ গ্রহণ না করা হয় তবে এটিও প্রদর্শিত হবে।

— দেবদূত

7

কেবলমাত্র টিসিপি এসওয়াইএন প্যাকেটগুলি ক্যাপচার করতে:

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"

— pstrozniak
সূত্র

3

এটি নতুন অধিবেশনটির জন্য সমস্ত ট্র্যাফিক ক্যাপচার করবে না। এটি কেবল এসওয়াইএন প্যাকেটগুলি ক্যাপচার করবে।

— ব্যবহারকারী5870571

1

নিম্নলিখিত টিসিপি-এসওয়াইএন এবং এসওয়াইএন-এসিপি প্যাকেট উভয়কেই ক্যাপচার করবে।

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"

নিম্নলিখিত টিসিপি-এসওয়াইএন প্যাকেটগুলি কেবল ক্যাপচার করবে।

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

কারণটি হ'ল, এসওয়াইএন-এসি প্যাকেটগুলিতে এসওয়াইএন এবং এসিকে পতাকা উভয়ই অন্তর্ভুক্ত। প্রথম ফিল্টারটি কেবল একটি এসওয়াইএন পতাকা উপস্থিতির জন্য চেয়েছিল।

আপনি যদি কেবল ইনবাউন্ডে ফিল্টার করতে চান তবে -Q বিকল্পটি যুক্ত করুন।

tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

— JamesL
সূত্র