Wie unterscheidet man mit tcpdump ein fragmentiertes SYN-Paket von einem fragmentierten FIN-Paket?
Die Bar ist in Betrieb tcpdump -vvv.
Foo durchsucht Bar beginnend mit einem fragmentierten SYN-Paket nmap -sS -f -p22 bar. Die Ausgabe von tcpdump lautet:
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
Foo durchsucht dann Bar, beginnend mit einem fragmentierten FIN-Paket nmap -sF -f -p22 bar. Die Ausgabe von tcpdump lautet:
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
Wie bestimme ich die Flags eines fragmentierten Pakets mit tcpdump?
Antwort1
Tcpdump unterstützt keine Paketdefragmentierung. Wenn Sie Tcpdump zur Eindringlingserkennung verwenden, werden Ihnen daher alle fragmentierten Scans entgehen.
Verwenden Sie stattdessen Tshark.