TCPDump 是否有一个 pcap 过滤器可以过滤零窗口消息?
我知道如何在 wireshark 显示过滤器(tcp.analysis.zero_window)中过滤这些内容,但我需要处理的数据量很容易导致 wireshark 崩溃(至少是 32 位版本),而且拆分文件并浏览这些捕获内容非常繁琐。
有没有用于捕获 TCP 零窗口消息的过滤器?
答案1
我认为可以使用如下过滤器来完成:
"tcp[14] = 0 && tcp[15] = 0"
该tcp[i]符号表示 TCP 标头的索引i。窗口大小位于 TCP 标头后 14 个字节处。有关更多信息,您可以查看man pcap-filter。