tcpdump -i eth0 'port 43246' -S -s 0 -vv -nn -w capexpo23.cap
对seq过滤
17159614=0x0105d5be
1008=0x3f0
(ip.src==10.10.5.206 and tcp.payload[0]==77 and tcp.payload[31]==0x3f and tcp.payload[36]==0x01 and tcp.payload[37]==0x05 and tcp.payload[38]==0xd5 and tcp.payload[39]==0xbe) or (ip.src==10.90.5.11 and data[0]==77 and tcp.data[31]==0x3f and tcp.data[36]==0x01 and tcp.data[37]==0x05 and tcp.data[38]==0xd5 and tcp.data[39]==0xbe)
wireshark字符串匹配
tcp contains "1721267332811"
wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)
“TCP segment of a reassembled PDU”指的不是IP层的分片,IP分片在wireshark里用“Fragmented IP protocol”来标识。详细查了一下,发现“TCP segment of a reassembled PDU”指TCP层收到上层大块报文后分解成段后发出去。于是有个疑问,TCP层完全可以把大段报文丢给IP层,让IP层完成分段,为什么要在TCP层分呢? 其实这个是由TCP的MSS(Maximum Segment Size,最大报文段长度)决定的,TCP在发起连接的第一个报文的TCP头里通过MSS这个可选项告知对方本端能够接收的最大报文(当然,这个大小是 TCP净荷的大小),以太网上这个值一般设置成1460,因为1460Byte净荷+20Byte TCP头+20Byte IP头 = 1500字节,正好符合链路层最大报文的要求。
tcpdump 抓包wireshark解析:等您坐沙发呢!