我有时会观察大多数初始 TCP 连接尝试,如下所示:
tcpdump -nn -Z somepcapuser 不是源主机(12x.x5.109.xxx 或 62.75.160.xxx )且不是(端口 9001 或 443 或 8080 )且 tcp[tcpflags]&(tcp-syn) !=0 且不是 tcp[tcpflags]& (tcp-ack) !=0 或 icmp
到目前为止,这种方法可以快速识别异常情况。但是,我现在对以下输出有一个疑问:
03:53:52.227884 IP 203.81.166.20.53786 > 62.75.160.xxx.80:S 846930886:846930886(0)win 61690“<”mss 1460,nop,nop,sackOK,opt-178:f04700000000,nop,wscale 4">”
我想知道标记的部分是什么意思,以前没有见过。
感谢 wlaus 的帮助
答案1
这是 TCP 选项。tcpdump 可以理解它。我不确定,但看起来像时间戳:
f04700 - current timestamp
000000 - previous timestamp
178 可能是从启动 TCP 选项偏移
答案2
也许可以尝试将 tcpdump 捕获的内容提供给 Wireshark?它很好地说明了数据包内容的含义。
答案3
最近在多个 IDS 上也看到了这种情况 - 成千上万个来自不同来源(缅甸、印度、中国)的攻击指向端口 80 和 443... 肯定是由同一款软件生成的 - SYN、SEQ 和 ACK 字段始终相同。很奇怪。新的漏洞?
答案4
现在有一篇官方的 sans 日记条目:
http://isc.sans.edu/diary/Call+for+Packets+-+Unassigned+TCP+Options/10504