Как отслеживать прерванные соединения через порт 80 с помощью tcpdump

Question

Как отслеживать прерванные соединения через порт 80 с помощью tcpdump

Могу ли я использовать tcpdump для обнаружения прерванных соединений через порт 80 (Apache), исходящих от определенного IP (мой удаленный IP). Я могу воспроизвести прерванное соединение в своем веб-браузере, но у меня нет возможности проверить, поступает ли запрос на мой сервер. Я попробовал это, но не мог точно сказать, было ли соединение Прервано.

tcpdump -n -i eth0 -s 0 src or dst port 80|grep -F "XXX.XXX.XXX.XXX"

1

linux apache-2.2 unix tcpdump

Источник

Shaun 07 сен '12 в 13:16

1 ответ

Решение

Другие вопросы по тегам linux apache-2.2 unix tcpdump

Kyle Brandt 07 сен '12 в 15:11 2012-09-07 15:11 · Accepted Answer · 2012-09-07 15:11

Я думаю, что "Прерванное" соединение происходит, когда отправляется TCP-пакет, который сообщает о сбросе соединения, флаг, который представляет это RST флаг.

Вы можете фильтровать по RST используя tcpdump -i eth1 'tcp[13] & 4 = 4', Кроме того, немного не в порядке, но grepping tcp dump немного ленив, вы всегда можете добавить dst host X or src host X на ваш фильтр.