प्रदर्शित टीसीपी डेटा पर tcpdump का उपयोग करना

अगर

sudo tcpdump -i eth0 -X

मुझे देता है

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
16:16:11.837543 IP cnt62-i386.gci.xxxx.org.ssh > jazz.gci.xxxx.org.49283: Flags [P.], seq 291677310:291677502, ack 4122992911, win 1002, options [nop,nop,TS val 2421999802 ecr 2194736071], length 192
        0x0000:  4510 00f4 7f77 4000 4006 7f84 ac16 f184  E....w@.@.......
        0x0010:  ac16 f146 0016 c083 1162 a47e f5bf e10f  ...F.....b.~....
...

मैं प्रदर्शित डेटा (उदाहरण के लिए प्रारंभिक हेक्स 45 मान) पर कैसे फ़िल्टर करूं?

विशेष रूप से,

sudo tcpdump -i eth0 -X 'tcp[0]=0x45'
sudo tcpdump -i eth0 -X 'tcp[12]=0x45'
sudo tcpdump -i eth0 -X 'tcp[14]=0x45'
sudo tcpdump -i eth0 -X 'tcp[20]=0x45'

सभी कोई मिलान नहीं देते हैं (बेतरतीब ढंग से और चारों ओर गुगली से विभिन्न ऑफसेट का उपयोग करके)।

tcp tcpdump

— और खाना बनाना
स्रोत

के ipबजाय का उपयोग करके फ़िल्टर करें tcp। अपने उदाहरण के लिए:

sudo tcpdump -i eth0 -X 'ip[0] = 0x45'

— जोएल टेलर
स्रोत

आह! उत्तम। तो इसमें tcp [0] कहां से शुरू होता है? वहाँ एक tcp में ऑफसेट मैं उपयोग कर सकते हैं, या tcp केवल हेडर के लिए है? धन्यवाद! या मैं उलझन में हूँ - कि एक tcp पैकेट नहीं था?

— andrew cooke

"45" में "5" 4-बाइट इकाइयों में आईपी हैडर की लंबाई है, इसलिए यह 20 बाइट्स है। इसलिए, tcp[0]20 बाइट्स के बाद ip[0], और इस प्रकार यह 0x00 है, इसके बाद 0x16 है, इसके बाद 0xc0 है, इसके बाद 0x83 है। हालांकि, TCP HEADER , TCP PAYLOAD नहीं है , इसलिए यदि आप TCP पर ट्रांसपोर्ट किए जा रहे डेटा को फ़िल्टर करना चाहते हैं, तो आपको TCP हेडर (जो कि वैरिएबल है, जैसा कि IP हैडर) है, अतीत को छोड़ना होगा।

धन्यवाद। यह पता चला है कि मेरे पास इसका एक गुच्छा था (हालांकि मुझे इसका बहुत भरोसा नहीं था)। लेकिन मुझे चर लंबाई tcp हैडर याद आ रही थी (मैं वास्तव में tcp पेलोड में कुछ खोज रहा हूँ, और उपरोक्त सब कुछ अब समझ में आता है)।

— andrew cooke