tcpdump를 사용하여 조각난 SYN 패킷과 조각난 FIN 패킷을 어떻게 구별합니까?
바가 운영 중입니다 tcpdump -vvv.
Foo는 조각난 SYN 패킷으로 시작하여 Bar를 검색합니다 nmap -sS -f -p22 bar. tcpdump의 출력은 다음과 같습니다.
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
그런 다음 Foo는 조각난 FIN Packet으로 시작하여 Bar를 검색합니다 nmap -sF -f -p22 bar. tcpdump의 출력은 다음과 같습니다.
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
tcpdump를 사용하여 조각난 패킷의 플래그를 어떻게 확인합니까?
답변1
Tcpdump는 패킷 조각 모음을 지원하지 않으므로 침입 탐지를 위해 tcpdump를 사용하는 경우 모든 조각화된 스캔을 놓칠 수 있습니다.
대신 tshark를 사용하세요.