当客户端连接“SYN”/“SYN,ACK”和PSH,ACK == 0时,如何过滤wireshark以显示我? 我正在尝试确定客户端连接到服务器并断开连接但没有收到数据的客户端列表。我想我需要查看tcp标志,但不知道如何获取我的过滤器。 Wireshark wiki对我帮助不大。
答案 0 :(得分:0)
假设您要跟踪端口22上的连接/断开连接。然后您的捕获过滤器将如下所示:
"(port 22) && (tcp[0xd]&18=2 || tcp[0xd]&1=1)"
或与tshark:
tshark -f "(port 22) && (tcp[0xd]&18=2 || tcp[0xd]&1=1)"