LINUX.ORG.RU
решено ФорумAdmin

flow_tools TCP_FLAGS

 , ,


1

1

Открываю полученный поток 

# flow-cat /flow/2015/2015-07/2015-07-17/ft-v05.2015-07-17.113355+0200 | flow-export -f2 -m"UNIX_SECS,DPKTS,DOCTETS,FIRST,LAST,SRCADDR,DSTADDR,SRCPORT,DSTPORT,PROT,TOS,TCP_FLAGS" | tail -n2
1437125808,1,52,1048515621,1048515621,192.168.0.1,172.16.0.1,80,58515,6,0,18
1437125808,11,2060,1048510946,1048511818,172.16.1.2,192.168.0.2,443,51919,6,0,26
Интересует, что есть в данном случае TCP_FLAGS?
Все ссылаются на connection_state-флаги, но кроме этого нашел ещё такое: TCP_OPTIONS
KIND    LENGTH  DESCRIPTION
18	3	Trailer Checksum Option.
26	 	TCP Compression Filter.

★★★★

Последнее исправление: Yustas (всего исправлений: 1)
Vpn маршрутизация без шлюза в подсети?
Ejabberd crash memory
Ответ на: комментарий от blind_oracle

Тогда вопрос: как трансформировать то что отдаёт flow-export(int) в TCP_FLAGS?
Или же оно отдаёт вообще херню? Непонятно

Yustas ★★★★
() автор топика
Ответ на: комментарий от Yustas

Там битовая маска. Берёшь значение из строки и проверяешь наличие флага, к примеру твои 18 в первой строке это 0x12:

(0x12 & 0x02) == 0x02, значит флаг SYN установлен.

С остальным аналогично. Значения флагов берём из ссылки которую скинул hizel

blind_oracle ★★★★★
()
Ответ на: комментарий от Yustas

«tcp_flags field is contructed by an OR operation on the TCP header» не просто буквы, после прочтения которых, желание расшифовать это поле должно немедленно скукожится, если только вы не извращенец

hizel ★★★★★
()
Ответ на: комментарий от hizel

Ну почему извращенец сразу, может человек син-флуд хочет выявлять.

blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Vpn маршрутизация без шлюза в подсети?
Admin
Ejabberd crash memory