Como capturar pacotes ack ou syn pelo Tcpdump?

A sintaxe do filtro pcap usada para tcpdump deve funcionar exatamente da mesma maneira no filtro de captura wireshark.

Com o tcpdump eu usaria um filtro como este.

tcpdump "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0"

Confira a página de manual do tcpdump e preste muita atenção aos tcpflags.

Certifique-se também de verificar as seções no Wireshark Wiki sobre filtros de captura e exibição. Infelizmente, os dois tipos de filtros usam uma sintaxe completamente diferente e nomes diferentes para a mesma coisa.

Se você quisesse um filtro de exibição em vez de um filtro de captura, provavelmente precisaria construir uma expressão combinando tcp.flags.ack e tcp.flags.syn. No entanto, estou muito mais familiarizado com filtros de captura, então você terá que resolver isso sozinho.

• http://wiki.wireshark.org/DisplayFilters
  • Ref. do filtro de exibição: http://www.wireshark.org/docs/dfref/
  • Referência de exibição TCP: http://www.wireshark.org/docs/dfref/t/tcp.html
• http://wiki.wireshark.org/CaptureFilters

Embora a resposta do @Zoredache seja agradável e completa, observe que essa sintaxe produzirá qualquer pacote que tenha o sinalizador TCP SYN ou TCP ACK definido, incluindo pacotes que não são estritamente apenas pacotes "TCP SYN" ou "TCP ACK", porque eles também tem outros sinalizadores definidos. Isso pode ou não ser o que você (ou futuros leitores) pretendia. Por exemplo, essa sintaxe também capturará pacotes TCP SYN-ACK, TCP FIN-ACK, etc. Se você quiser apenas pacotes TCP SYN ou TCP ACK (ou seja, apenas um desses sinalizadores definidos), a sintaxe apropriada do filtro de captura é:

'tcp[tcpflags] == tcp-syn or tcp[tcpflags] == tcp-ack'

Equivalentemente:

'tcp[13] == 2 or tcp[13] == 16'

Felicidades!

tcpdump 'tcp[13] = 3'

http://danielmiessler.com/study/tcpdump/

Avançado

Você também pode filtrar com base em partes específicas de um pacote, bem como combinar várias condições em grupos. O primeiro é útil ao procurar apenas SYNs ou RSTs, por exemplo, e o último para isolamento de tráfego ainda mais avançado.

UAP RSF

[ Dica: Um anagrama para os sinalizadores TCP: Atacantes não qualificados Pester Real Security Folk ]

seu memorando:...

URGMostre-me todos os pacotes URGENTES ( )...

tcpdump 'tcp[13] & 32 != 0'

ACKMostre-me todos os pacotes ACKNOWLEDGE ( )...

tcpdump 'tcp[13] & 16 != 0'

PSHMostre-me todos os pacotes PUSH ( )...

tcpdump 'tcp[13] & 8 != 0'

RSTMostre-me todos os pacotes RESET ( )...

tcpdump 'tcp[13] & 4 != 0'

SYNMostre-me todos os pacotes SYNCHRONIZE ( )...

tcpdump 'tcp[13] & 2 != 0'

FINMostre-me todos os pacotes FINISH ( )...

tcpdump 'tcp[13] & 1 != 0'

SYNACKMostre-me todos os pacotes SYNCHRONIZE/ACKNOWLEDGE ( )...

tcpdump 'tcp[13] = 18'

[ Nota: Apenas os sinalizadores PSH, RST, SYNe FINsão exibidos na saída do campo sinalizador do tcpdump. URGs e ACKs são exibidos, mas são mostrados em outro lugar na saída e não no campo de sinalizadores ]

Fiz um script para ver os principais "synners". Para isso, considero apenas o pacote syn inicial (o primeiro pacote do handshake de três pacotes). Ou seja, syn = 1, ack = 0

while :; do
  date; 
  tcpdump -i eth1 -n -c 100 \
  'tcp[tcpflags] & (tcp-syn) != 0' and 
  'tcp[tcpflags] & (tcp-ack) == 0' 2> /dev/null \
  | awk '{ print $3}' \
  | sort | uniq -c | sort | tail -5;
  echo;
  sleep 1
done

Eu queria obter apenas pacotes SYN, usei o seguinte comando:

tcpdump -i eth7 'tcp[13] & 2 != 0'

Isso deve funcionar para você imediatamente.

deve mostrá-los sem filtros ou argumentos.