Bitte keine heisse Asche einwerfen

Archive for March, 2008

SYN pcap Filter / tcpdump

Monday, March 10th, 2008

Das Synchronize Flag ist das zweite Bit im vierzehnten Oktett des TCP Headers. Nach diesem Bit kann man den pcap filter suchen lassen:

Nur SYN gesetzt:
'tcp[13] == 2'

SYN gesetzt, andere Bits im 14ten Oktett ignorieren:
'tcp[13] & 2 == 2'


FIN 1
SYN 2
RST 4
PSH 8
ACK 16
URG 32

(Das vierzehnte Oktett ist das dreizehnte, wenn man bei Null anfängt zu zählen)