AI 助理
文档备案控制台
开发者社区 云计算 文章 正文

tcpdump如何对特定的tcp标志位进行过滤

2022-05-12 517
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: tcpdump如何对特定的tcp标志位进行过滤

根据tcp保文结构可知,TCP标志头位于头的第14字节中,因为编号从0字节开始,所以TCP标志头在第13字节。

tcp_header.png

字节13最多可以包含8个单比特标志;但是,TCP只能使用6个标志。其他两个位是保留的,应该设置为零。

对于只有一个标志的TCP头,每一位都有一个字节,字节13包含以下十进制的二进制值。

  • Final (FIN) = 1
  • Sync (SYN) = 2
  • Reset (RST) = 4
  • Push (PSH) = 8
  • Acknowledgement (ACK) = 16
  • Urgent (URG) = 32
  • Reserved = 64 and 128

如果为TCP头设置了多个标志,字节13的值是所有被设置的位的二进制值之和。例如

  • FIN, ACK = 17 (1 + 16)
  • SYN, ACK = 18 (2 + 16)
  • PSH, ACK = 24 (8 + 16)
  • FIN, PSH = 9 (1 + 8)
  • FIN, PSH, ACK = 25 (1 + 8 + 16)

用过滤SYN举例

[root@ucloud ~]# tcpdump -ni eth0 'tcp[13] == 2'tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:28:45.929246 IP 113.65.30.42.jomamqmonitor > 10.13.132.171.ssh: Flags [S], seq 356758948, win 64240, options [mss 1412,nop,wscale 8,nop,nop,sackOK], length 023:28:55.109148 IP 113.65.30.42.netscript > 10.13.132.171.ssh: Flags [S], seq 1672259268, win 64240, options [mss 1412,nop,wscale 8,nop,nop,sackOK], length 023:29:06.584163 IP 128.199.4.167.45848 > 10.13.132.171.ssh: Flags [S], seq 572498397, win 42340, options [mss 1412,sackOK,TS val 2388703754 ecr 0,nop,wscale 8], length 0

假如需要过滤SYN+ACK的包,则是SYN, ACK = 18 (2 + 16)。像这样

[root@ucloud ~]# tcpdump -ni eth0 'tcp[13] == 18'tcpdump: verbose output suppressed, use -v or -vvfor full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
23:30:41.332866 IP 10.13.132.171.ssh > 113.65.30.42.macbak: Flags [S.], seq 1578017406, ack 2299936850, win 64952, options [mss 1412,nop,nop,sackOK,nop,wscale 8], length 023:30:43.381328 IP 10.13.132.171.ssh > 188.166.240.30.34898: Flags [S.], seq 3237261487, ack 715567311, win 64400, options [mss 1412,sackOK,TS val 498768258 ecr 1839524773,nop,wscale 8], length 023:30:45.616443 IP 10.13.132.171.ssh > 113.65.30.42.wcpp: Flags [S.], seq 3406886282, ack 1487533276, win 64952, options [mss 1412,nop,nop,sackOK,nop,wscale 8], length 0
文章标签:
容器服务Kubernetes版
网络协议
关键词:
TCPDUMP tcp
tcp/ip协议tcpdump
相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
姚华
目录
相关文章
爱因诗贤
|
网络协议 算法 Linux
TCP 协议报文格式&tcpdump抓包工具
之前文章介绍过 wireshark 抓包工具的 捕获过滤器 和 显示过滤器,而 捕获过滤器 使用的 BPF 过滤语法可以在 tcpdump 中使用,tcpdump 可以在 Linux 服务端使用,熟悉和了解 tcpdump 抓包工具的使用,可以帮助分析服务端数据报文的情况。
爱因诗贤
937 0
游客mldfis24krfue
|
存储 监控 网络协议
在Linux中,如何使用 tcpdump 监听主机为 192.168.1.1,tcp 端⼝为 80 的数据,并将将输出结果保存输出到tcpdump.log?
在Linux中,如何使用 tcpdump 监听主机为 192.168.1.1,tcp 端⼝为 80 的数据,并将将输出结果保存输出到tcpdump.log?
游客mldfis24krfue
880 2
vnjohn
|
机器学习/深度学习 监控 网络协议
浅谈 TCP 握手/数据传输/挥手过程以及 tcpdump 抓包工具使用
浅谈 TCP 握手/数据传输/挥手过程以及 tcpdump 抓包工具使用
vnjohn
646 0
eisc
|
编解码 网络协议 网络架构
计算机网络基础 和 tcp 三次握手四次挥手,tcpdump抓包分析 协议过滤 分析,连接状态,标志位详解
wireshark 软件过滤及转码使用 ,TCP tcpdump 连接状态,标志位详解
eisc
427 1
与你一起星光下漫步
|
网络协议
使用tcpdump工具与对tcp协议的理解
使用tcpdump工具与对tcp协议的理解
与你一起星光下漫步
476 0
eisc
|
网络协议 Shell
tcpdump 方式检测ip 网段 扫段 tcp并发数攻击防御shell 脚本
tcpdump 自定义抓包时间将信息存入文件, 以systemd 系统服务方式进行启动
eisc
803 0
xumaojun
|
机器学习/深度学习 缓存 监控
基于tcpdump实例讲解TCP/IP协议
xumaojun
1372 0
nothingfinal
|
机器学习/深度学习 缓存 监控
基于tcpdump实例讲解TCP/IP协议
前言 虽然网络编程的socket大家很多都会操作,但是很多还是不熟悉socket编程中,底层TCP/IP协议的交互过程,本文会一个简单的客户端程序和服务端程序的交互过程,使用tcpdump抓包,实例讲解客户端和服务端的TCP/IP交互细节。
nothingfinal
1089 0
余二五
|
网络协议 Linux 网络安全
linux日常维护(iostat,free,ps,netstat,tcp三次握手,tcpdump)
余二五
1574 0
余二五
|
监控 网络协议 Linux
linux下使用tcpdump抓包分析tcp的三次握手
余二五
2871 0