? ??TCPDUMP是一款數(shù)字化界面的抓包工具泽铛,它的魅力在于內(nèi)嵌的命令可以隨意組合抓取對(duì)自己有用的包
? ? 我用抓取的pcap文件來(lái)做個(gè)簡(jiǎn)單的演示
src host <IP>是查看源IP的請(qǐng)求 -X是以16進(jìn)制顯示 那么tcp[13]是個(gè)什么意思旗们,我也是研究了一下搞明白了既绩,我們抓取的tcp協(xié)議的報(bào)文圖是這樣的
每一個(gè)tcp數(shù)據(jù)有4個(gè)字節(jié),8個(gè)位為一個(gè)字節(jié)轮蜕,第四層協(xié)議中數(shù)據(jù)偏移量(data offset)和保留位(res)各占用4各位秆撮,后面的8個(gè)位就是flag位,標(biāo)記的是數(shù)據(jù)的請(qǐng)求奴愉、響應(yīng)、數(shù)據(jù)的交換.....tcp[13]表示的就是psh標(biāo)簽(tcp三次握手后開始的第一個(gè)數(shù)據(jù)發(fā)送)铁孵,來(lái)看看wireshark之中falg位的示意圖
如果我們屏蔽掉tcp的握手只查看數(shù)據(jù)的發(fā)送那么用二進(jìn)制表示即為00011000轉(zhuǎn)換成10進(jìn)制為24锭硼,其轉(zhuǎn)換的原理為第一位數(shù)(從右至左)最大位1,第二位最大位2蜕劝,第三位最大位4依次往后類推檀头,占用則用1表示,空位則用0表示岖沛,AP(ack和psh)位為16和8暑始,8+16=24,那么tcp[13] = 24抓取的則是tcp的AP數(shù)據(jù)
