如何使用tcpdump来捕获TCP SYN，ACK和FIN包

问题：我想要监控TCP连接活动（如，建立连接的三次握手，以及断开连接的四次握手）。要完成此事，我只需要捕获TCP控制包，如SYN，ACK或FIN标记相关的包。我怎样使用tcpdump来仅仅捕获TCP SYN，ACK和/或FYN包？

作为业界标准的捕获工具，tcpdump提供了强大而又灵活的包过滤功能。作为tcpdump基础的libpcap包捕获引擎支持标准的包过滤规则，如基于5重包头的过滤（如基于源/目的IP地址/端口和IP协议类型）。

参考下面文章：

Linux网络十分有用的两个命令ip和TcpDump

Linux下抓包工具TcpDump使用

Linux TcpDump命令详解

Linux操作系统TcpDump抓包分析详解

Tcpdump的用法及使用案例

Linux运维工程师利器：Nmap和TCPdump

tcpdump/libpcap的包过滤规则也支持更多通用分组表达式，在这些表达式中，包中的任意字节范围都可以使用关系或二进制操作符进行检查。对于字节范围表达，你可以使用以下格式：

    proto [ expr : size ]

“proto”可以是熟知的协议之一（如ip，arp，tcp，udp，icmp，ipv6），“expr”表示与指定的协议头开头相关的字节偏移量。有我们熟知的直接偏移量如tcpflags，也有取值常量如tcp-syn，tcp-ack或者tcp-fin。“size”是可选的，表示从字节偏移量开始检查的字节数量。

使用这种格式，你可以像下面这样过滤TCP SYN，ACK或FIN包。

只捕获TCP SYN包：

    # tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0"

只捕获TCP ACK包：

    # tcpdump -i <interface> "tcp[tcpflags] & (tcp-ack) != 0"

只捕获TCP FIN包：

    # tcpdump -i <interface> "tcp[tcpflags] & (tcp-fin) != 0"

只捕获TCP SYN或ACK包：

    # tcpdump -r <interface> "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0"

如何使用tcpdump来捕获TCP SYN，ACK和FIN包相关推荐

1. TCP: SYN ACK FIN RST PSH URG 详解【转】

   TCP: SYN ACK FIN RST PSH URG 详解 ============================================================= TCP的三次 ...

2. TCP SYN,ACK 详解

   TCP协议::: 三次握手: 握手过程的第一个段的代码位设置为SYN,序列号为x,表示开始一次握手.接收方收到这个段后,向发送者回发一个段.代码位设置为SYN和ACK,序列号设置为y,确认序列号设置为 ...

3. TCP SYN ACK RST UTG PSH FIN

   TCP连接:SYN ACK RST UTG PSH FIN 三次握手:发送端发送一个SYN=1,ACK=0标志的数据包给接收端,请求进行连接,这是第一次握手:接收端收到请求并且允许连接的话,就会发送一 ...

4. TCP SYN扫描分析探密

   ［内容摘要］:TCP SYN扫描之所以叫半开放扫描,或半打开式扫描,是相对完整的TCP连接而言的.它是一次未完成的,由一方有意中止的TCP连接.因此它的本质还是一个TCP协议的具体应用. ［关键词］: ...

5. Python的DoS拒绝服务之TCP/SYN洪水攻击

   首先了解TCP和SYN,摘自百科:SYN:同步序列编号(Synchronize Sequence Numbers).是TCP/IP建立连接时使用的握手信号.在客户机和服务器之间建立正常的TCP网络连接 ...

6. TCP SYN扫描技术探测原理

   TCP SYN扫描 TCP SYN扫描又称"半开扫描".回顾TCP连接的三次握手,申请方首先发送的是一个SYN数据包,服务方在接到这个SYN数据包后,如果该端口处于侦听状态,则会回 ...

7. TCP标志位syn,ack,fin以及序列号(seq),响应号(ack)

   一,三次握手 TCP使用三次握手建立一个连接: 第一次握手:客户端发送SYN包至服务器,并进入SYN_SENT状态,等待服务器确认 第二次握手:服务器收到客户端的SYN包,发送一个ACK,同时发送自己 ...

8. tcpdump抓syn，ack，fin，rst包

   tcp包里有个flags字段表示包的类型,tcpdump可以根据该字段抓取相应类型的包: tcp[13] 就是 TCP flags (URG,ACK,PSH,RST,SYN,FIN) # Unskil ...

9. linux TCP连接失败(不回复SYN,ACK)问题分析

   问题现象 在某一台服务器无法访问另一台服务器的https服务,telnet检测端口发现端口无法连接: [root@020113 ~]# telnet 192.168.5.27 443 Trying 1 ...

10. Linux accept tcp,Linux TCP accept without SYN|ACK

    问题 I'm trying to write a TCP transparent proxy to run on Linux. I want to, upon receipt of an incomi ...

最新文章

1. python画有权重网络图_python networkx 根据图的权重画图实现
2. Brute Force STL --- UVA 146 ID Codes
3. Python操作Json、Csv、Excel文件
4. 如何修复 Flutter 中的“正在检查 Dart SDK 版本... ＜＜ 此时出乎意料”错误？
5. Oracle ROWNUM的陷阱
6. 计算机二进制基础列式,计算机基础;十进制数100对应的二进制数、八进制数和十六进制数分别是...
7. 云栖专辑 | 阿里开发者们的第19个感悟：Simple is better.
8. 张孝祖的第一次作业展示
9. 史上最佳GAN被超越！生成人脸动物高清大图真假难辨，DeepMind发布二代VQ-VAE
10. 2017秋-软件工程第八次作业-第九周例行总结
11. aerials标准测试图像_VIFB: 一个可见光与红外图像融合Benchmark
12. fusioncharts 嵌套饼图_仙桃酸洗钝化20#无缝管图
13. 工作总结02（海报上传模块）
14. 封装获取一个URL地址问号后面传递的参数信息以及哈希值HASH 方法
15. web前端—前端三剑客之JS(12)：字符串
16. Android 撕开衣服解析
17. win11 快捷键无法使用？键盘win无法呼出？win+d无法显示桌面？
18. 基本SQL命令表命令
19. 融云聊天室属性 kv
20. 开箱即用的百度开放域信息抽取的统一框架UIE

热门文章

1. 打工人年终的自我犒赏,一人食火锅走起
2. [note] 电磁场和微波课组（一）——电磁学（电学部分）
3. C# Excel绘制组合图
4. 微软“玻璃硬盘”问世：2毫米杯垫大小可存储75.8G数据，1000年不坏！
5. igs时间和utc_UTC时间与北京时间的差多久？
6. 数字集群通信知识与应用
7. 关于“程序员996”，大能发话了，能顶用吗？
8. java实现角谷步数
9. android 正则表达式6-16位字母或数字,一个匹配8-16位数字和字母密码的正则表达式...
10. Es的mapping映射