TCPDUMP是一款数字化界面的抓包工具,它的魅力在于内嵌的命令可以随意组合抓取对自己有用的包
我用抓取的pcap文件来做个简单的演示
src host <IP>是查看源IP的请求 -X是以16进制显示 那么tcp[13]是个什么意思,我也是研究了一下搞明白了,我们抓取的tcp协议的报文图是这样的
每一个tcp数据有4个字节,8个位为一个字节,第四层协议中数据偏移量(data offset)和保留位(res)各占用4各位,后面的8个位就是flag位,标记的是数据的请求、响应、数据的交换.....tcp[13]表示的就是psh标签(tcp三次握手后开始的第一个数据发送),来看看wireshark之中falg位的示意图
如果我们屏蔽掉tcp的握手只查看数据的发送那么用二进制表示即为00011000转换成10进制为24,其转换的原理为第一位数(从右至左)最大位1,第二位最大位2,第三位最大位4依次往后类推,占用则用1表示,空位则用0表示,AP(ack和psh)位为16和8,8+16=24,那么tcp[13] = 24抓取的则是tcp的AP数据
网友评论