Как анализировать и интерпретировать пакеты в tcpdump с помощью флагов?

Анализ и интерпретация пакетов в tcpdump с помощью флагов возможна благодаря формату представления информации о TCP-пакете, где флаги обозначаются символами S (SYN), F (FIN), P (PUSH) и R (RST), а точка означает отсутствие установленных флагов. xakep.ru

Некоторые флаги и их описание:

• SYN. www.howtouselinux.com Флаг синхронизации, используется как первый шаг в установлении трёхстороннего рукопожатия между двумя хостами. www.howtouselinux.com Этот флаг должен быть установлен только в первом пакете от отправителя и получателя. www.howtouselinux.com
• ACK. www.howtouselinux.com Флаг подтверждения, используется для подтверждения успешного получения пакета. www.howtouselinux.com
• FIN. www.howtouselinux.com Флаг завершения, означает, что больше нет данных от отправителя. www.howtouselinux.com Используется в последнем пакете, отправленном отправителем. www.howtouselinux.com
• URG. www.howtouselinux.com Флаг срочности, используется для уведомления получателя обработать срочные пакеты перед обработкой всех других пакетов. www.howtouselinux.com
• PSH. www.howtouselinux.com Флаг push, похож на флаг URG, указывает получателю обрабатывать пакеты по мере их получения, а не накапливать их в буфере. www.howtouselinux.com
• RST. www.howtouselinux.com Флаг сброса, передаётся от получателя к отправителю, если пакет отправляется определённому хосту, который его не ожидал. www.howtouselinux.com

Чтобы отфильтровать пакеты с определённым флагом, можно использовать следующий пример: чтобы отфильтровать только пакеты с установленным флагом SYN (инициация TCP-рукопожатия), следует использовать такую запись: tcpdump 'tcp {13-host} ==2'. xakep.ru

В протоколе TCP/IP 13-й байт заголовка TCP содержит набор управляющих флагов. www.howtouselinux.com Каждый бит в этом поле представляет конкретный флаг, а значение бита указывает, установлен ли флаг или нет. www.howtouselinux.com