Tcpdump 특정 헤더 조건 모음

 

 

 

 

 tcpdump에서 일반적으로 쓰는 옵션들은 그냥 검색해도 다 확인 가능하다.

 

 

 자주 사용하진 않지만 필요할 때마다 찾아보게 되는 특정 헤더들이 있는데, syn, ack, fin, rst 등의 헤더들이 대표적이다.

 이 글에서는 그런 조건식들이 대해서 쭉 나열하려고 한다.

 

 

 

 개인적으로 쓰기위한 글이라 쓰게되면 추가할 예정

 

 

 

 

---

 

 

 - tcp flag syn인 패킷

# tcpdump -ne tcp[13]=0x02

 

 

 - tcp flag syn,ack인 패킷

# tcpdump -ne tcp[13]=0x12

 

 

 - tcp flag ack인 패킷

# tcpdump -ne tcp[13]=0x10

 

 

 - tcp flag reset인 패킷

# tcpdump -ne tcp[tcpflags] & (tcp-rst)!=0

 

 

 - tcp flag fin인 패킷

# tcpdump -ne tcp[13]=0x01

 

 

 

 - ip헤더 ttl값이 1인 패킷

# tcpdump -ne -v ip and 'ip[8]<2'

 

 

 - lldp 패킷

# tcpdump -ne ether proto 0x88cc

 

 

 

 

 

---

 

 

 

 

 

 

 

 

 

 

- 참고

https://wiki.geant.org/display/public/EK/TcpdumpExamples

 

 

 

tcpdump syn

tcpdump ack

tcpdump reset

tcpdump ttl 1

 

 

 

 

 

 

 

 

끝