TCPDUMP chỉ nắm bắt các kết nối mới

9

Tôi đang sử dụng TCPDUMP để nắm bắt lưu lượng truy cập từ địa chỉ IP cụ thể. Có khả năng chỉ bắt các kết nối mới, có nghĩa là các luồng TCP bắt đầu bằng gói SYN không?

Cảm ơn bạn

tcpdump

— Ania Katzenelson
nguồn

Không may măn. tcpdump chỉ chụp các gói khi chúng đến, nó không duy trì bất kỳ loại thông tin phiên nào để phân biệt giữa các luồng TCP. Bạn sẽ cần phân tích việc chụp trong Wireshark nếu bạn muốn tách các luồng (ví dụ: bạn có thể đặt hàng theo số luồng).

— Đánh dấu Riddell

Hãy cẩn thận, bit SYN được đặt trong hai gói đầu tiên của Bắt tay 3 bước TCP. Vì vậy, bộ lọc này sẽ phù hợp với tất cả các nỗ lực mới để thiết lập kết nối, không chỉ các kết nối mới được thiết lập. Nếu bằng cách nào đó (quy tắc phần mềm), kết nối không được chấp nhận, nó cũng sẽ được hiển thị.

— Thiên thần

7

Để chỉ chụp các gói TCP SYN:

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"

— pstrozniak
nguồn

3

Điều đó sẽ không nắm bắt tất cả lưu lượng truy cập cho một phiên mới. Nó sẽ chỉ chụp các gói SYN.

— dùng5870571

1

Sau đây sẽ nắm bắt cả các gói TCP-SYN và SYN-ACK.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"

Sau đây sẽ chỉ chụp các gói TCP-SYN.

tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

Lý do là, các gói SYN-ACK bao gồm cả hai cờ SYN và ACK. Bộ lọc đầu tiên chỉ tìm kiếm sự hiện diện của cờ SYN.

Nếu bạn chỉ muốn lọc trong nước, hãy thêm tùy chọn -Q trong.

tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"

— JamesL
nguồn