Differences

This shows you the differences between two versions of the page.

--- informatique:logiciels:tcpdump [2023/02/07 10:46] – [Filtrer les messages ICMP] pteu
+++ informatique:logiciels:tcpdump [2025/09/19 15:18] (current) – [Filtrer les paquets TCP SYN] et SYN+ACK pteu
@@ Line 259: / Line 259: @@
 | ce qu'on recherche |  x  |  x  |  x  |  0  |  x  |  x  |  1  |  x  |
-On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie la valeur de l'octet 13) :
+On ne fait attention qu'au flags ACK et SYN : on veut que le premier soit à 0 et le second à 1. Ceci se traduit par l'expression suivante (on utilise un masque binaire avec un ET logique sur l'octet 13 afin de ne sélectionner que ces 2 flags, et on vérifie le résultat) :
 <code bash>
@@ Line 266: / Line 266: @@
 </code>
 Soit, en décimal :
-<code>
+<code bash>
 tcp[13] ET 18 = 2
 </code>
 Bref :
-<code>
+<code bash>
 tcpdump -i eth1 -s 40 'tcp[13] & 18 == 2'
+# si on veut afficher également les "SYN+ACK", on ne filtre que sur SYN=1 :
+tcpdump -i eth1 -s 40 'tcp[13] & 2 == 2'
 </code>
 (l'option -s spécifie de ne capturer que les 40 premiers octets de chaque paquet : en effet on ne s'intéresse qu'aux entêtes des paquets.)