tcpゼロウィンドウメッセージのtcpdumpフィルター
ゼロウィンドウメッセージをフィルタリングできるTCPDump用のpcapフィルターはありますか?
これらをwiresharkディスプレイフィルターでフィルタリングする方法を知っています(tcp.analysis.zero_window)しかし、処理する必要のあるデータの量は、wireshark(少なくとも32ビットバージョン)を簡単にクラッシュさせ、ファイルを分割してそれらのキャプチャを実行するのは面倒です。
TCPゼロウィンドウメッセージ用のキャプチャフィルターを使用する方法はありますか?
私はそれが次のようなフィルターを使用して行うことができると思います:
"tcp[14] = 0 && tcp[15] = 0"
tcp[i]表記は、TCPヘッダーのインデックスiを意味します。ウィンドウサイズは、TCPヘッダーから14バイト後に配置されます。詳細については、man pcap-filterを参照してください。