Анализ и интерпретация пакетов в tcpdump с помощью флагов возможна благодаря формату представления информации о TCP-пакете, где флаги обозначаются символами S (SYN), F (FIN), P (PUSH) и R (RST), а точка означает отсутствие установленных флагов. 1

Некоторые флаги и их описание:

• SYN. 5 Флаг синхронизации, используется как первый шаг в установлении трёхстороннего рукопожатия между двумя хостами. 5 Этот флаг должен быть установлен только в первом пакете от отправителя и получателя. 5
• ACK. 5 Флаг подтверждения, используется для подтверждения успешного получения пакета. 5
• FIN. 5 Флаг завершения, означает, что больше нет данных от отправителя. 5 Используется в последнем пакете, отправленном отправителем. 5
• URG. 5 Флаг срочности, используется для уведомления получателя обработать срочные пакеты перед обработкой всех других пакетов. 5
• PSH. 5 Флаг push, похож на флаг URG, указывает получателю обрабатывать пакеты по мере их получения, а не накапливать их в буфере. 5
• RST. 5 Флаг сброса, передаётся от получателя к отправителю, если пакет отправляется определённому хосту, который его не ожидал. 5

Чтобы отфильтровать пакеты с определённым флагом, можно использовать следующий пример: чтобы отфильтровать только пакеты с установленным флагом SYN (инициация TCP-рукопожатия), следует использовать такую запись: tcpdump 'tcp13==2'. 1

В протоколе TCP/IP 13-й байт заголовка TCP содержит набор управляющих флагов. 5 Каждый бит в этом поле представляет конкретный флаг, а значение бита указывает, установлен ли флаг или нет. 5