tcpdump número de sequência do filtro

Navegue suas respostas
1

Capturei um rastreio de pacote e gostaria de escrever um script que me permita isolar um par de pacotes de confirmação e Sequência (nenhuma outra maneira de filtrar todos os outros pacotes) para que eu possa resolver o problema. Tempo de ida e volta (RTT) entre dois computadores

O problema que estou tendo é que não posso filtrar os 2 pacotes com base nos seus números ACK e Sequence

Ele precisa ser realizável com o tcpdump, mas as linguagens de script, como o awk, estão ok

    
por james darno 22.04.2014 / 09:50

1 resposta

0

Você pode usar a forma proto[x:y] de filtragem no tcpdump para fazer isso.

A RFC 793 diz-nos que o número de sequência começa no byte 4 do cabeçalho TCP e o número de confirmação no byte 8; ambos têm 4 bytes de comprimento.

Assim, você pode procurar por pacotes que tenham números de sequência e confirmação 123456 , assim: 

tcpdump -r capturefile tcp[4:4] = 123456 or tcp[8:4] = 123456

Você precisa usar os números absolutos seq / ack para fazer isso, já que o tcpdump está combinando os valores com os dados brutos no pacote. Use tcpdump -Sr filename para exibir seu arquivo de captura com números de seqüência absoluta.

    
por 22.04.2014 / 10:42

Tags

“show_signal_msg: N callbacks suprimidos” então indexados em 100% e máquina sem resposta iptables não conseguiu encaminhar pacotes para o NFQ