Pregunta:
Quiero usar una regla de filtro para capturar solo paquetes ack o syn. ¿Cómo hago esto?
Respuesta:
La sintaxis del filtro pcap usada para tcpdump debería funcionar exactamente de la misma manera en el filtro de captura de wirehark.
Con tcpdump usaría un filtro como este.
tcpdump "tcp[tcpflags] & (tcp-syn|tcp-ack) != 0"
Consulte la página de manual de tcpdump y preste mucha atención a tcpflags.
Asegúrese de consultar también las secciones de Wireshark Wiki sobre filtros de captura y visualización. Desafortunadamente, los dos tipos de filtros usan una sintaxis completamente diferente y diferentes nombres para lo mismo.
Si quisiera un filtro de visualización en lugar de un filtro de captura, probablemente necesitaría crear una expresión que combine tcp.flags.ack y tcp.flags.syn. Sin embargo, estoy mucho más familiarizado con los filtros de captura, así que tendrás que resolverlo por tu cuenta.
- http://wiki.wireshark.org/DisplayFilters
- Referencia del filtro de visualización: http://www.wireshark.org/docs/dfref/
- Referencia de pantalla TCP: http://www.wireshark.org/docs/dfref/t/tcp.html
- http://wiki.wireshark.org/CaptureFilters