TCP头部标记位笔记

最新推荐文章于 2024-06-15 16:33:14 发布
最新推荐文章于 2024-06-15 16:33:14 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bt517840374/article/details/80030715
版权

SYN:用来表示打开连接
FIN:用来表示拆除连接
ACK: 用来确认(通过TCP连接)收到的数据
RST:用来表示立刻拆除连接
PSH: 用来表示应将数据提交给末端应用程序(进程)处理
URG:(紧急数据)位(表示紧急指针字段有效,一般不用)

tcp[13] & 0x00 = 0: 用来抓取所有标记位都未置1的TCP流量(在怀疑遭遇了空扫描[null scan]攻击时使用)
tcp[13] & 0x01 = 1 用来抓取FIN位置1,但ACK位置0的TCP流量
tcp[13] & 0x03 = 3 用来抓取SYN和FIN同时位置1的TCP流量
tcp[13] & 0x05 = 5 用来抓取RST和FIN同时位置1的TCP流量
tcp[13] & 0x06 = 6 用来抓取SYN和RST同时位置1的TCP流量
tcp[13] & 0x08 = 8 用来抓取PSH位置为1,但ACK位置为0的TCP流量

!或not
&& 或 and
|| 或 or

tcp dst port 23 and tcp src portrange 5000-6000 抓取tcp源端口5000-6000的Telnet流量

is present 符合某项参数、满足某个条件,或出现某个现象 http.response
contains 包含某个(串)字符 http.host contains cisco
match 某串字符匹配某个条件 http.host matches www.yumin.com

eth.addr == 《MAC Address》 (‘<’这个括号在这个编辑软件中是注释的意思,所以用这个标记了) MAC地址
arp.opcode = 《value》 让wires hark只显示指定类型的ARP帧(ARP帧按其所含操作代码字段值,可分为:ARP应答帧、ARP响应帧、RARP应答帧、RARP响应帧).
ip.ttl == 《value》 IP的ttl值

tcp.flags:该参数一经调用,Wireshark就会检查数据包TCP头部各标记位的置位情况.
tcp.flags.syn == 1:用来让Wireshark显示SYN标记位置1的TCP数据包
tcp.flags.reset == 1:用来让Wireshark显示RST标记位置1的TCP数据包
tcp.flags.fin == 1:用来让Wireshark显示FIN标记位置1的TCP数据包

小人物哎
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网页设计基础备课笔记.pdf
03-20
在本课程中,我们将深入理解网络的定义,了解互联网的分类和发展历程,如OSI/ISO参考模型和TCP/IP参考模型,以及IP地址和域名的概念。 HTML(HyperText Markup Language)是网页设计的基础语言,我们需要熟悉并掌握...
Wireshark 提示和技巧 | 快速显示过滤之 TCP 三次握手
7ACE的博客
10-22 4206
Wireshark 提示和技巧系列 | 快速显示过滤之 TCP 三次握手
TCP协议
bobi1024的博客
01-20 257
TCP协议一.定义二.功能三.原理面向连接(三次握手、四次挥手)可靠传输(序列号SEQ+确认号ACK+重传算法)![6](https://img-blog.csdnimg.cn/20210119005414400.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0JvYl9fX19fXw==,size_16,color_FFFFFF,t_70) 一.定
TCP协议报头详解
qq_45730378的博客
06-15 1199
TCP报头详解
TCPFlags 标志 ACK、SYN 与 seq、ack
ikun 的博客
09-17 6483
ack 只管带上期望置的字节数据编号,接收端根据接收到的数据长度 + 最近一次 ACK=1 的 seq + 1 作为下次 ack 期望值。循环往复,直到 FIN=1 结束 TCP 连接。
TCP Flags标志介绍
网络资源是无限的
04-10 1万+
传输控制协议(Transmission Control Protocol,TCP)是一种传输层协议。TCP使数据包从源到目的地的传输更加顺畅。它是一种面向连接的端到端协议。每个数据包由TCP包裹在一个报头中,该报头由10个强制字段共20个字节和一个0到40 字节的可选数据字段组成。如下图所示:来自于https://www.geeksforgeeks.org 1.源端口号(Source Port):16bits,该字段标识发送方应用程序的端口号。 2.目...
(1) wireshark基本操作
Hulk
02-21 4001
1. 标记数据包 选中报文,右击,选择标记,该报文显示黑色。 2. 设置相对时间 选择某个报文时间为基准时间0,后面报文时间相对于此偏移。 选择报文右击,选择设置时间参考。 3. 包过滤 设置一些选项,过滤报文。 ip.src == 1.1.1.1 ip.dst == 2.2.2.2 ip.addr == 3.3.3.3 tcp.port == 80 tcp.port <= 80 tcp.srcport == 80 tcp.dstport == 80 tcp
网络相关知识2024笔记
05-28
### 网络相关知识2024笔记 #### TCP与UDP协议对比 - **TCP (Transmission Control Protocol)**: 面向连接的协议,确保数据的可靠传输。TCP通过三次握手建立连接,并通过四次挥手关闭连接。其特点是: - 可靠性高...
HTTP协议学习笔记之c++
最新发布
07-09
- **ETag**:实体标记,用于验证资源是否已更改。 - **Last-Modified**:表示资源最后一次被修改的时间,用于判断资源的新鲜程度。 #### 五、状态码与错误处理 HTTP状态码用于表示响应的状态信息,常见的状态码...
CCNA笔记CCNA要点小结
11-06
- 控制:控制传输行为。 - 紧急指针:指示紧急数据的置。 - 窗口大小:管理流量控制。 - 选项:扩展功能选项。 - **网络层**: - 版本:识别IP版本。 - 首部长度:标识IP头部长度。 - 服务类型:定义IP...
WireShark 常见过滤规则
码中飞翔
04-09 2141
0 常见的操作符 wireshark中有几个比较常见的条件判断操作符: 不等于 操作符 操作符 含义 eq r== 等于 ne != 不等于 gt > 大于 ge >= 大于等于 lt < 小于 le <= 小于等于 and && 与 or not ! 非 复杂的条件运算建议加上括号进行区分 () ...
Wireshark网络分析实战笔记(二)显示过滤器
microminor
04-05 6750
显示过滤器 如何将数据包的某个属性指定为过滤条件:右键数据包的某个属性选择apply as filter(直接作为显示过滤器使用)或prepare a filter(作为有待应用的显示过滤器)即可应用显示过滤器 如何设置显示过滤器:在显示过滤器工具条Filter输入框内直接输入显示过滤语句 如何获悉显示过滤器包含的参数:选中协议中的某个字段,对应过滤参数显示在底部状态栏 如何把数据包某个属性作为数据包列表新列:选中某个属性右键apply as column即可把数据包某个属性作为数据包列表新列 常见的IP过
TCP的各种标志和状态
MADE_哒哒
08-24 2776
TCP各种标志: SYN:SYN= 1 表示这是一个连接请求或连接接受报文。在建立连接时用来进行同步序号(个人理解是,在建立连接的时候,提醒对方记录本方的起始序号)。当SYN=1而ACK=0时,表明这是一个连接请求报文段。对方若是同意建立连接,则应响应的报文段中使SYN=1、ACK=1。因此SYN=1表示该报文是一个连接请求报文或者是一个连接请求接收报文。 ACK:确认号只有在该设置为1的...
wireshark 抓包过滤器使用
weixin_30781631的博客
02-12 837
目录 wireshark 抓包过滤器 一、抓包过滤器 二、显示过滤器 整理自陈鑫杰老师的wireshark教程课 wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件的包丢弃,只保留满足条件的包,而显示过滤器则是对已抓取...
TCP协议详解之TCP Flag标志来判断TCP会话的开始和结束
热门推荐
answer3lin的博客
12-06 2万+
首先回顾一下TCP标志的具体含义。 TCP Flag标志(控制) 一个TCP包的详细内容: TCP FLAG 标记占1.5个byte,12bit(4bit+8bit,前半个byte与Header Length公用)。 12bit中前三个bit是保留,默认为全0: 000. .... .... = Reserved: Not set 第4个bit为: ...0 ......
tcp协议有关的几个知识点
stark张宇
07-29 677
在Linux中,这个设置是由内核参数net.ipv4.tcp_syn_retries控制的,默认值为6,一个空的TCP连接会消耗3.3KB左右的内存。
[na]wireshark抓包排错-tcp.flags.reset
weixin_33884611的博客
03-24 1880
这是以前处理无线portal问题时候的一个梗. 一 抓包思路-用抓包来解决问题 1,了解协议交互大概过程 2,抓包 抓包法则: 1.最小化原则,过滤到想要的最小数据,别忽略上下文数据包 2.对比法, 正常的包和不正常情况的包做对比   二 抓包解决问题-案例 微信连wifi问题: 不同地区的微信服务器的地址可能不同. 当出现认证问题: 1,不能跳转,点了...
Wireshark计网实验笔记
人工智能小白
05-08 393
计算机网络实验使用的wireshark工具的理解,关于过滤器,arp,ICMP,tcp的简单解释
数据包取证分析笔记
5L2g556F5ZWl77yf
11-17 932
攻击机扫描了22端口,靶机回复syn ack,按理论攻击机收到靶机回复的 syn ack 就代表靶机此端口大概率开放,应发送RST断开连接,但是我的nmap并没有,可能需要多等一会儿。tcpack利用标志 ack,ack在tcp协议中表示确认序号有效,确认连接,但因为tcpack并没有完整的tcp连接,所以靶机都会返回 RST,所以无法用于端口扫描。nmap 使用tcp/ip 协议栈识别操作系统,nmap保存了众多操作系统指纹特征,根据返回的特征与之匹配,如果无法匹配,则会以概率形式列举可能的系统。
TCP校验和覆盖TCP头部
05-28
是的,TCP校验和覆盖了TCP头部和数据部分。在TCP协议中,发送端会计算TCP头部和数据部分的校验和,并将计算结果添加在TCP头部中的校验和字段中。接收端在接收到数据包后,也会计算TCP头部和数据部分的校验和,并与接收到的校验和进行比较,以判断数据是否出现错误或传输过程中是否出现了丢包等问题。 TCP协议中的校验和是在网络层进行计算和校验的,而不是在传输层以上的协议。因此,TCP校验和不会覆盖IP头部的校验和,而是覆盖TCP头部和数据部分。通过校验和机制,TCP协议能够保障传输的数据的完整性和可靠性,提高通信的可靠性和正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值