Я пытаюсь зафиксировать трехстороннее рукопожатие, используя следующее в linux, похоже, это не работает ...
sudo tcpdump "tcp[tcpflags] & (tcp-syn) !=0" -w filename.pcap -i eth0
Не могли бы вы предложить мне отредактировать его ??
Может быть сложно захватить только трехстороннее рукопожатие. Таким образом, традиционное трехстороннее рукопожатие будет представлять собой пакет SYN, пакет SYN / ACK для подтверждения исходного SYN, а затем ACK для подтверждения этого SYN / ACK. С точки зрения фильтрации вы, вероятно, могли бы захватить вторую часть трехстороннего рукопожатия с помощью (tcp-syn & tcp-ack), но этот третий ACK будет трудно отфильтровать из всех других обычных пакетов ACK, отправленных во время TCP-диалога.
В этом случае я бы, вероятно, просто сделал бы гораздо более простой фильтр, чтобы захватить весь разговор (возможно, избегайте всего пакета, чтобы сохранить размер в строке), а затем просто использовал бы wirehark (или сам tcpdump), чтобы увидеть трехстороннее рукопожатие. Так что-то вроде
sudo tcpdump -s 32 -w filename.pcap -i eth0