Всем, кто занимается глубокой работой с TCP, уверен, знакома проблема, что tshark/wireshark вместо реальных номеров seq (длиннющих чисел) отображает относительные (начинающиеся с нуля при старте сессии).
Это далеко не всегда нужно, поэтому будем отключать!
Было вот так:
Это далеко не всегда нужно, поэтому будем отключать!
Было вот так:
tshark -r ../raw_packets_data/ip_packet_with_telnet_to_22_port_with_dropbear_from_mac_os_el_capitan.pcap -V |grep Seq Sequence number: 0 (relative sequence number)
Стало:
tshark -r ../raw_packets_data/ip_packet_with_telnet_to_22_port_with_dropbear_from_mac_os_el_capitan.pcap -V -o "tcp.relative_sequence_numbers: FALSE" |grep seq -iTransmission Control Protocol, Src Port: 52500 (52500), Dst Port: ssh (22), Seq: 1133079759, Len: 0 Sequence number: 1133079759
Как можно видеть, помог нам флаг: -o "tcp.relative_sequence_numbers: FALSE"
No comments :
Post a Comment
Note: only a member of this blog may post a comment.