O tcpdump não suporta a desfragmentação de pacotes e, portanto, se você estiver usando o tcpdump para detecção de intrusões, perderá todas as varreduras fragmentadas.
Em vez disso, use tshark.
Como distinguir um pacote SYN fragmentado de um pacote FIN fragmentado usando o tcpdump?
A barra está executando tcpdump -vvv .
Foo varre a barra começando com um pacote SYN fragmentado nmap -sS -f -p22 bar . A saída do tcpdump é:
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
O Foo, em seguida, verifica a barra começando com um% FIN fragmentado do pacotenmap -sF -f -p22 bar. A saída do tcpdump é:
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
Como faço para determinar os sinalizadores de um pacote fragmentado usando o tcpdump?
O tcpdump não suporta a desfragmentação de pacotes e, portanto, se você estiver usando o tcpdump para detecção de intrusões, perderá todas as varreduras fragmentadas.
Em vez disso, use tshark.
Tags networking tcpdump