1

我正在尝试从正确启动(使用 3 路协议:syn、syn-ack、ack)并正确结束的 pcap 文件连接中捕获。

To capture connections that starts correctly I use the following filter:
(tcp.flags.syn == 1) || (tcp.flags.syn==1 && tcp.flags.ack==1)

我不只通过 ack 进行过滤,因为它会过滤每个包含 ack 的包并且对我没有用处。所以我使用: SYN 或 SYN-ACK 标志来过滤。那仅用于启动连接,所以我应该如何过滤包以获取结束包?

I'm using something like this: (tcp.flags.fin==1) || (tcp.flags.fin==1 && tcp.flags.ack==1)

我不觉得这是正确的,因为我不知道每个连接到底是如何结束的,这取决于实现?还是总是一样?

4

1 回答 1

1

TCP 连接始终相同,除非对等方重置连接(RST 标志)时出现异常情况。另外,在wireshark中你有一个方便的选项:如果你右键单击一个数据包并选择“follow TCP stream”,它将只显示属于该连接的数据包,所以你可以看到它是如何开始和结束的......

于 2014-07-01T17:08:49.140 回答