我正在尝试从正确启动的pcap文件中捕获(使用3路协议:syn,syn-ack,ack)并正确结束。
To capture connections that starts correctly I use the following filter:
(tcp.flags.syn == 1) || (tcp.flags.syn==1 && tcp.flags.ack==1)
我不过滤ack,因为它会过滤每个包含ack的包,对我没用。所以我使用:SYN或SYN-ACK标志来过滤。这只是为了启动连接所以,我应该如何过滤包以获得结束包?
I'm using something like this: (tcp.flags.fin==1) || (tcp.flags.fin==1 && tcp.flags.ack==1)
我觉得这不对,因为我不确切知道每个连接是如何结束的,取决于实现?或者总是一样的?
答案 0 :(得分:1)
TCP连接始终相同,除了对等体重置连接(RST标志)时的异常情况。此外,在wireshark中,您有方便的选择:如果您右键单击数据包,请选择"按照TCP流"它只显示属于该连接的数据包,因此您可以看到它的开始和结束方式......