PCAP-фильтр для первых нескольких пакетов и пакетов, связанных с отключение, только TCP
Я бы хотел использовать tcpdump с фильтром для некоторой длительной отладки. В частности, я хотите перехватывать пакеты только при следующих условиях:
- Первые 10 пакетов или около того нового TCP-соединения (включая рукопожатие)
- Что-либо нечетное (повторные передачи, дублирование ACK и т. д.)
- Все, что указывает на отключение (FIN , RST, все остальное)
Часть I ' m застрял - это первое X количество пакетов. Можно ли для этого написать фильтр PCAP для tcpdump (или подобного инструмента)? Если да, то как?
Я застрял в первой части X пакетов. Можно ли для этого написать фильтр PCAP для tcpdump (или аналогичного инструмента)?
Нет. Фильтры Pcap не имеют состояния, что означает, что они действуют на каждый пакет независимо от предыдущих пакетов и не имеют «состояния» (или памяти), которое остается доступным от пакета к пакету; количество увиденных пакетов будет формой состояния, и нет ничего подобного, что вы могли бы проверить в фильтре pcap.
Для повторной передачи и дублирования ACK также потребуется состояние для распознавания, т.е. вам нужно будет запомнить первый передача для проверки повторных передач и запоминания первого ACK для проверки дублирования ACK.