Tcpdump не поддерживает дефрагментацию пакетов, и, следовательно, если вы используете tcpdump для обнаружения вторжений, вы пропустите все фрагментированные сканы.
Вместо этого используйте tshark.
Как отличить фрагментированный пакет SYN от фрагментированного пакета FIN с помощью tcpdump?
Бар работает tcpdump -vvv
.
Foo сканирует бар, начиная с фрагментированного пакета SYN nmap -sS -f -p22 bar
. Вывод из tcpdump:
IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp] IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp
Затем Foo сканирует Bar, начиная с фрагментированного пакета FIN nmap -sF -f -p22 bar
. Вывод из tcpdump:
IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp] IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp
Как определить флаги фрагментированного пакета, используя tcpdump?
Tcpdump не поддерживает дефрагментацию пакетов, и, следовательно, если вы используете tcpdump для обнаружения вторжений, вы пропустите все фрагментированные сканы.
Вместо этого используйте tshark.