問(wèn)題：我想要監(jiān)控TCP連接活動(dòng)（如，建立連接的三次握手，以及斷開(kāi)連接的四次握手）。要完成此事，我只需要捕獲TCP控制包，如SYN，ACK或FIN標(biāo)記相關(guān)的包。我怎樣使用tcpdump來(lái)僅僅捕獲TCP SYN，ACK和/或FYN包？

作為業(yè)界標(biāo)準(zhǔn)的捕獲工具，tcpdump提供了強(qiáng)大而又靈活的包過(guò)濾功能。作為tcpdump基礎(chǔ)的libpcap包捕獲引擎支持標(biāo)準(zhǔn)的包過(guò)濾規(guī)則，如基于5重包頭的過(guò)濾（如基于源/目的IP地址/端口和IP協(xié)議類(lèi)型）。

tcpdump/libpcap的包過(guò)濾規(guī)則也支持更多通用分組表達(dá)式，在這些表達(dá)式中，包中的任意字節(jié)范圍都可以使用關(guān)系或二進(jìn)制操作符進(jìn)行檢查。對(duì)于字節(jié)范圍表達(dá)，你可以使用以下格式：

proto [ expr : size ]

“proto”可以是熟知的協(xié)議之一（如ip，arp，tcp，udp，icmp，ipv6），“expr”表示與指定的協(xié)議頭開(kāi)頭相關(guān)的字節(jié)偏移量。有我們熟知的直接偏移量如tcpflags，也有取值常量如tcp-syn，tcp-ack或者tcp-fin。“size”是可選的，表示從字節(jié)偏移量開(kāi)始檢查的字節(jié)數(shù)量。

使用這種格式，你可以像下面這樣過(guò)濾TCP SYN，ACK或FIN包。

只捕獲TCP SYN包：

 # tcpdump -i <interface> "tcp[tcpflags] & (tcp-syn) != 0" 

只捕獲TCP ACK包：

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-ack) != 0"

只捕獲TCP FIN包：

# tcpdump -i <interface> "tcp[tcpflags] & (tcp-fin) != 0"

之捕獲TCP SYN或ACK包：

 # tcpdump -r <interface> "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0" 

via: http://ask./capture-tcp-syn-ack-fin-packets-tcpdump.html

譯者：GOLinux 校對(duì)：wxy

本文由 LCTT 原創(chuàng)翻譯，Linux中國(guó) 榮譽(yù)推出