目次

ホーム#ツール

Linux tcpdump出力結果の見方


関連ページ



tcpdumpの出力

tcpdump 4.X系の出力

CentOS7など

時刻 HH:MM:SS.マイクロ秒
IP IP
送信元アドレス ホスト名(またはIPアドレス).ポート番号
矢印 >
宛先アドレス ホスト名(またはIPアドレス).ポート番号:
フラグ Flags [S]:SYN(コネクション確立要求)
Flags [P]:PUSH(バッファリングせず、即時にデータを送るようTCPに要求)
Flags [F]:FIN(コネクション開放要求)
Flags [R]:RST(コネクション強制切断要求)
Flags [.]:上記いずれのフラグビットも立っていない
(シーケンス番号) seq s1:s2
s1:新しいデータの最初のバイトに対する(バイト単位の)シーケンス番号
s2:(今までに送った最後のバイトに対するシーケンス番号)+1
ACKだけを単独で送信する場合は、このフィールドはない
(ACKビット) ack:ビットが立っており、 次のフィールドがACK番号であることを示す
ACKビットが立っていない場合は、このフィールドはない
(ACK番号) ACKビットが立っていない場合は、このフィールドはない
ウィンドウ win:次のフィールドがウィンドウサイズであることを示す
ウィンドウサイズ
オプション mss: (Max Segment Size) 最大パケット長をこのサイズに制限させる
val
ecr
length


3ウェイハンドシェイクのフラグとack
Syn     : Flags [S]
Syn/Ack : Flags [S.]   ack
Ack     : Flags [.]   ack  

その後   : Flags [P.]  ack
その後   : Flags [.]  ack


tcpdump 3.X系の出力

CentOS5など

時刻 HH:MM:SS.マイクロ秒
IP
送信元アドレス ホスト名(またはIPアドレス).ポート番号
矢印 >
宛先アドレス ホスト名(またはIPアドレス).ポート番号:
フラグ S:SYN(コネクション確立要求)
P:PUSH(バッファリングせず、即時にデータを送るようTCPに要求)
F:FIN(コネクション開放要求)
R:RST(コネクション強制切断要求)
.:上記いずれのフラグビットも立っていない
(シーケンス番号) s1:s2(s3)
s1:新しいデータの最初のバイトに対する(バイト単位の)シーケンス番号
s2:(今までに送った最後のバイトに対するシーケンス番号)+1
s3:バイト数
ACKだけを単独で送信する場合は、このフィールドはない
(ACKビット) ack:ビットが立っており、 次のフィールドがACK番号であることを示す
ACKビットが立っていない場合は、このフィールドはない
(ACK番号) ACKビットが立っていない場合は、このフィールドはない
ウィンドウ win:次のフィールドがウィンドウサイズであることを示す
ウィンドウサイズ
フラグメント禁止 (DF):フラグメント(パケット分割)禁止ビットON
mss 次のフィールドがmssであることを示す
通信の開始時にのみ設定される
最大セグメントサイズ mss(Max Segment Size): 最大パケット長をこのサイズに制限させる
timestamp


3ウェイハンドシェイクのフラグとackビット
Syn     : S
Syn/Ack : S ack
Ack     : . ack

その後   : P  ack
その後   : .  ack


参考


関連ページ





ホーム#ツール