¿Cómo se distingue un paquete SYN fragmentado de un paquete FIN fragmentado usando tcpdump?
La barra está funcionando tcpdump -vvv.
Foo escanea Bar comenzando con un paquete SYN fragmentado nmap -sS -f -p22 bar. La salida de tcpdump es:
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
Luego, Foo escanea Bar comenzando con un paquete FIN fragmentado nmap -sF -f -p22 bar. La salida de tcpdump es:
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
¿Cómo determino los indicadores de un paquete fragmentado usando tcpdump?
Respuesta1
Tcpdump no admite la desfragmentación de paquetes y, por lo tanto, si utiliza tcpdump para la detección de intrusiones, se perderá todos los análisis fragmentados.
En su lugar, utilice tshark.