0

我正在尝试对提供给我的数据集的 netflow 数据进行一些统计分析,但是我得到了一些不代表正常 UAPRSF 格式的 TCP 标志。

还包括以下十六进制值:

  • 0x52
  • 0x5a
  • 0xc2
  • 0xd3
  • 0xd6
  • 0xd7
  • 0xda
  • 0xdb
  • 0xdf

我知道 TCP 标志最初存储为 HEX,然后翻译成适当的标志,但我不明白附加值来自哪里

4

1 回答 1

1

在用于描述 TCP 标志的 6 个控制位之前还有另外 3 个 ECN 位。(见http://www.networksorcery.com/enp/protocol/tcp.htm

按照以下链接中提供的说明,您可以将附加的十六进制值转换为标志,包括 ECN 位: https ://www.manitonetworks.com/flow-management/2016/10/16/decoding-tcp-flags

|   N   |   C   |   E   |   U   |   A   |   P   |   R   |   S   |   F   |    Hex   |    Binary   |
|  256  |  128  |   64  |   32  |   16  |   8   |   4   |   2   |   1   |          |             |
|------------------------------------------------------------------------------------------------|
|   0   |   0   |   1   |   0   |   1   |   0   |   0   |   1   |   0   |   0x52   |   1010010   |
|       |   1   |   1   |   0   |   1   |   1   |   1   |   1   |   1   |   0xdf   |   11011111  |

所以 0x52 = ..EA.S.

于 2020-10-17T22:49:09.613 回答