tcpdump filter para tcp zero window messages

Navegue suas respostas
6

Existe um filtro pcap para o TCPDump que permitirá filtrar as mensagens da janela zero?

Eu sei como filtrá-los em um filtro de exibição wireshark ( tcp.analysis.zero_window ), mas a quantidade de dados que eu preciso para trabalhar facilmente trava wireshark (pelo menos a versão de 32 bits) e quebra o arquivo e passando por essas capturas é tedioso.

Existe alguma maneira de ter um filtro de captura para o TCP Zero Window Messages?

    
por Kyle Brandt 20.02.2011 / 18:13

1 resposta

7

Acho que isso pode ser feito usando um filtro como: 

"tcp[14] = 0 && tcp[15] = 0"

A notação tcp[i] significa o índice i do cabeçalho TCP. O tamanho da janela está localizado após 14 bytes do cabeçalho TCP. Para mais informações, você pode olhar para man pcap-filter .

    
por 20.02.2011 / 18:32

Tags

Como forçar a cor do plano de fundo com papel de parede centrado no GPO? consulta tamanhos de buffer TCP para um socket no linux