Tcpdump: получить флаги фрагментированного пакета

701
fundagain

Как отличить фрагментированный пакет SYN от фрагментированного пакета FIN с помощью tcpdump?

Бар работает tcpdump -vvv.

Foo сканирует бар, начиная с фрагментированного пакета SYN nmap -sS -f -p22 bar. Вывод из tcpdump:

IP (tos 0x0, ttl 38, id 31142, offset 0, flags [+], proto TCP (6), length 28) foo.45772 > bar.ssh: [|tcp] IP (tos 0x0, ttl 38, id 31142, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp IP (tos 0x0, ttl 38, id 31142, offset 16, flags [none], proto TCP (6), length 24) foo > bar: tcp

Затем Foo сканирует Bar, начиная с фрагментированного пакета FIN nmap -sF -f -p22 bar. Вывод из tcpdump:

IP (tos 0x0, ttl 54, id 3818, offset 0, flags [+], proto TCP (6), length 28) foo.52739 > bar.ssh: [|tcp] IP (tos 0x0, ttl 54, id 3818, offset 8, flags [+], proto TCP (6), length 28) foo > bar: tcp IP (tos 0x0, ttl 54, id 3818, offset 16, flags [none], proto TCP (6), length 28) foo > bar: tcp

Как определить флаги фрагментированного пакета, используя tcpdump?

0

1 ответ на вопрос

0
fundagain

Tcpdump не поддерживает дефрагментацию пакетов, и, следовательно, если вы используете tcpdump для обнаружения вторжений, вы пропустите все фрагментированные сканы.

Вместо этого используйте tshark.

Похожие вопросы