tcpdump を使用して、断片化された SYN パケットと断片化された FIN パケットをどのように区別するのでしょうか?
バーは稼働中ですtcpdump -vvv。
Foo は断片化された SYN パケットから Bar をスキャンしますnmap -sS -f -p22 bar。tcpdump からの出力は次のようになります。
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
次に、Foo は断片化された FIN パケットから Bar をスキャンしますnmap -sF -f -p22 bar。tcpdump からの出力は次のようになります。
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
tcpdump を使用して断片化されたパケットのフラグを判別するにはどうすればよいですか?
答え1
Tcpdump はパケットのデフラグをサポートしていないため、侵入検出に tcpdump を使用している場合は、断片化されたスキャンがすべて失われます。
代わりにtsharkを使用してください。