如何使用 tcpdump 區分分段的 SYN 封包和分段的 FIN 封包?
酒吧正在營業tcpdump -vvv。
Foo 從分段的 SYN 封包開始掃描 Bar nmap -sS -f -p22 bar。 tcpdump 的輸出是:
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
然後 Foo 從碎片 FIN 資料包開始掃描 Bar nmap -sF -f -p22 bar。 tcpdump 的輸出是:
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp]
IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp
IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
如何使用 tcpdump 確定分段資料包的標誌?
答案1
Tcpdump 不支援封包碎片整理,因此如果您使用 tcpdump 進行入侵偵測,您將錯過所有碎片掃描。
而是使用 tshark。