Você pode usar a forma proto[x:y]
de filtragem no tcpdump para fazer isso.
A RFC 793 diz-nos que o número de sequência começa no byte 4 do cabeçalho TCP e o número de confirmação no byte 8; ambos têm 4 bytes de comprimento.
Assim, você pode procurar por pacotes que tenham números de sequência e confirmação 123456
, assim:
tcpdump -r capturefile tcp[4:4] = 123456 or tcp[8:4] = 123456
Você precisa usar os números absolutos seq / ack para fazer isso, já que o tcpdump está combinando os valores com os dados brutos no pacote. Use tcpdump -Sr filename
para exibir seu arquivo de captura com números de seqüência absoluta.