특정 IP 주소에서 트래픽을 캡처하기 위해 TCPDUMP를 사용하고 있습니다. SYN 패킷으로 시작하는 TCP 스트림을 의미하는 새로운 연결 만 캡처 할 가능성이 있습니까?
감사합니다
답변
TCP SYN 패킷 만 캡처하려면
# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"
답변
다음은 TCP-SYN 및 SYN-ACK 패킷을 모두 캡처합니다.
tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"
다음은 TCP-SYN 패킷 만 캡처합니다.
tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"
그 이유는 SYN-ACK 패킷이 SYN 및 ACK 플래그를 모두 포함하기 때문입니다. 첫 번째 필터는 SYN 플래그의 존재 만 찾았습니다.
인바운드 만 필터링하려면 -Q in 옵션을 추가하십시오.
tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"