Вопрос: TCPDUMP фиксирует только новые подключения


Я использую TCPDUMP для захвата трафика с определенного IP-адреса. Есть ли возможность захвата только новых соединений, то есть потоков TCP, которые начинаются с пакета SYN?

спасибо


5
2017-08-24 06:53


Источник


К сожалению нет. tcpdump просто захватывает пакеты по мере их поступления, он не поддерживает никакой информации о сеансе, чтобы различать потоки TCP. Вам нужно будет проанализировать захват в Wireshark, если вы хотите разделить потоки (например, вы можете заказать по номеру потока). - Mark Riddell
Будьте осторожны, бит SYN установлен в двух первых пакетах TCP-3-Way Handshake. Таким образом, этот фильтр будет соответствовать всем новым попыткам установить соединения, а не только новые соединения. Если каким-то образом (правило программного обеспечения) соединение не будет принято, оно также будет показано. - Angel


Ответы:


Для захвата только TCP SYN-пакетов:

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"

3
2017-08-24 06:57



Это не приведет к захвату всего трафика для нового сеанса. Он будет захватывать только пакеты SYN. - user5870571