tcpdump 解析出怪异端口号
用 tcpdump 抓包,发现解析出来的其中某个包的 TCP 端口号大于 65535.
具体包见附件。查看命令为:
也就是 ip id == 23345 的包。
tcpdump 用了两个版本(tcpdump version 3.9.4 和 3.8)均如此。 Wireshark 分析没有问题。
大家帮忙看一下,谢谢。
1300347632.rar (296.02 KB)
具体包见附件。查看命令为:
QUOTE:
[root@Kernel-Test ~]# tcpdump -r 1300347632.pcap -nn -v | grep "id 23345"
reading from file 1300347632.pcap, link-type EN10MB (Ethernet)
15:38:47.723389 IP (tos 0x0, ttl 58, id 23345, offset 0, flags [DF], proto: TCP (6), length: 316) 182.150.188.112.2049 > 122.227.222.96.795438439: reply ERR 276
reading from file 1300347632.pcap, link-type EN10MB (Ethernet)
15:38:47.723389 IP (tos 0x0, ttl 58, id 23345, offset 0, flags [DF], proto: TCP (6), length: 316) 182.150.188.112.2049 > 122.227.222.96.795438439: reply ERR 276
也就是 ip id == 23345 的包。
tcpdump 用了两个版本(tcpdump version 3.9.4 和 3.8)均如此。 Wireshark 分析没有问题。
大家帮忙看一下,谢谢。
1300347632.rar (296.02 KB)
作者: Godbach 发布时间: 2011-03-17
tcpdump --help
tcpdump version 4.0.0
libpcap version 1.0.0
tcpdump -r 1300347632.pcap -nn -v | grep "id 23345"
reading from file 1300347632.pcap, link-type EN10MB (Ethernet)
15:38:47.723389 IP (tos 0x0, ttl 58, id 23345, offset 0, flags [DF], proto TCP (6), length 316)
tcpdump version 4.0.0
libpcap version 1.0.0
tcpdump -r 1300347632.pcap -nn -v | grep "id 23345"
reading from file 1300347632.pcap, link-type EN10MB (Ethernet)
15:38:47.723389 IP (tos 0x0, ttl 58, id 23345, offset 0, flags [DF], proto TCP (6), length 316)
作者: flw2 发布时间: 2011-03-18