Как фильтр только активный пакет с tcpdump
Вы, вероятно, захотите использовать что-то как обратные директивы Apache прокси. Может просто быть столь же легким как:
ProxyPass /foo/ http://www.windowsbox.com/foo/ProxyPassReverse /foo/ http://www.windowsbox.com/foo/
Это перенаправит все запросы к/foo/папке на Вашем сервере Apache, к/foo/папке в Вашем Windows Box. Любые ссылки на страницах на поле Windows будут переписаны для работы правильно также.
Вам, вероятно, также придется загрузить все модули прокси, которые перечислены наверху той страницы через LoadModule.
- Christopher Karel
Зонд поддержки активности - это пакет без данных в нем и установлен флаг ACK
tcpdump -pni $intf -v "tcp port $port and ( tcp[tcpflags] & tcp-ack != 0 and ( (ip[2:2] - ((ip[0]&0xf)<<2) ) - ((tcp[12]&0xf0)>>2) ) == 0 ) "
что он делает:
- побитно и между полем флагов tcp и tcp-ack для убедитесь, что это ACK
- Длина IP-пакета (в байтах) - Длина IP-заголовка - Длина заголовка TCP, чтобы убедиться, что в нем нет данных
Отказ от ответственности: на самом деле не тестировался, но должен указать вам на хороший направление
Wireshark использует тот же синтаксис захвата, что и tcpdump. Оба работают из libpcap. Однако я думаю, что функция, которую вы рассматриваете в Wireshark, - это фильтр отображения, который эвристически анализирует соседние пакеты. Я думаю, лучшее, что вы можете сделать при захвате, - это искать 1-байтовые или 0-байтовые ACK в ответ на запрос keep-alive. Попробуйте следующее:
tcpdump -vv "tcp [tcpflags] == tcp-ack and less 1"
и посмотрите, получаете ли вы трафик между ожидаемыми хостами.
RFC 1122 охватывает TCP Keep-alives и оставляет большую часть реализации на усмотрение поставщика.
Кроме того, вы можете рассмотреть возможность использования tcpdump на вашем хосте Linux для захвата в файл и последующей передачи захваченного изображения на вашу рабочую станцию для анализа.