正しく開始され (3 方向プロトコル: syn、syn-ack、ack)、正しく終了する pcap ファイル接続からキャプチャしようとしています。
To capture connections that starts correctly I use the following filter:
(tcp.flags.syn == 1) || (tcp.flags.syn==1 && tcp.flags.ack==1)
ack を含むすべてのパッケージがフィルター処理され、役に立たないため、ack だけでフィルター処理しません。だから私は使用します:SYNまたはSYN-ACKフラグを使用してフィルタリングします。これは接続を開始するためだけなので、パッケージをフィルタリングして終了パッケージも取得するにはどうすればよいですか?
I'm using something like this: (tcp.flags.fin==1) || (tcp.flags.fin==1 && tcp.flags.ack==1)
実装に依存するすべての接続がどのように終了するか正確にわからないため、それは正しくないと思いますか? それともいつも同じですか?