TCPDUMP acquisisce solo nuove connessioni

9

Sto usando TCPDUMP per acquisire il traffico da un indirizzo IP specifico. Esiste la possibilità di acquisire solo nuove connessioni, ovvero flussi TCP che iniziano con il pacchetto SYN?

Grazie

tcpdump 
Ania Katzenelson
fonte
Sfortunatamente no. tcpdump acquisisce i pacchetti appena arrivano, non mantiene alcun tipo di informazione sulla sessione per differenziare i flussi TCP. Dovresti analizzare l'acquisizione in Wireshark se vuoi separare i flussi (puoi ordinare per esempio il numero di flusso).
Mark Riddell,
Attenzione, il bit SYN è impostato nei due primi pacchetti dell'handshake a 3 vie TCP. Quindi, questo filtro corrisponderà a tutti i nuovi tentativi di stabilire connessioni, non solo alle connessioni appena stabilite. Se in qualche modo (regola del software) la connessione non viene accettata, verrà mostrata anche.
Angel,

Risposte:

7

Per acquisire solo i pacchetti TCP SYN:

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"
pstrozniak
fonte
3
Ciò non catturerà tutto il traffico per una nuova sessione. Catturerà solo pacchetti SYN.
user5870571
1

Di seguito acquisiranno i pacchetti TCP-SYN e SYN-ACK.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"

Di seguito acquisiranno solo pacchetti TCP-SYN.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

Il motivo è che i pacchetti SYN-ACK includono sia i flag SYN che ACK. Il primo filtro ha cercato solo la presenza di un flag SYN.

Se si desidera filtrare solo in ingresso, aggiungere l'opzione -Q in.

tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"
JamesL
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.