TCPDUMPは新しい接続のみをキャプチャします
TCPDUMPを使用して、特定のIPアドレスからのトラフィックをキャプチャしています。 TCP SYNパケットで始まるストリームを意味する新しい接続のみをキャプチャする可能性はありますか?
ありがとうございました
TCP SYNパケットのみをキャプチャするには:
# tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"
以下は、TCP-SYNパケットとSYN-ACKパケットの両方をキャプチャします。
tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0"
以下は、TCP-SYNパケットのみをキャプチャします。
tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"
その理由は、SYN-ACKパケットにはSYNフラグとACKフラグの両方が含まれているためです。最初のフィルターは、SYNフラグの存在のみを探しました。
インバウンドのみをフィルタリングする場合は、-Q inオプションを追加します。
tcpdump -i <interface> -Q in "tcp[tcpflags] & (tcp-syn) !=0 and tcp[tcpflags] & (tcp-ack) =0"