有人能解释一下tcp[13] & 4 == 4 是什么意思吗?
我不知道如何用外行的话来解释。
【问题讨论】:
标签: networking tcp filter wireshark flags
读取 SYN capture tcpdump 'tcp[13] & 4 == 4',你是说在 TCP 报头中找到第 13 个字节,并且只抓取第 4 位标志等于 4 的数据包。 试试这个网站,它解释得很好https://danielmiessler.com/study/tcpflags/
【讨论】:
& 的优先级高于 ==,因此检查 TCP 标志 (tcp[13]) 的 0x4 位 (RST) 设置的数据包(请参阅RFC 793 section 3.1) .正如 willyo 所指出的那样,tcp[13] & 4 == 4 和 tcp[13] & 4 != 0 在测试单个位时将具有相同的结果 - tcp[13] & 4 的结果将是 4 或 0。libpcap 编译器为 tcp[13] & 4 != 0 生成稍微更高效的代码.
这有点晚了。语句tcp[13] & 4 == 4 本质上说第 13 个字节(基于 0)应该打开 TCP RESET 位(数值为 4)(不要关心该字节中的其他位)。
希望以上内容能帮助您理解它。
【讨论】: