tcpdump--。Payloadを解析するとき、フラグ文字列が含まれているものを強調できるとパケットからの解析が楽になる。そこでパケットキャプチャの段階でフラグ文字列を発見したとき、そのパケットを別pcapにわけてみる
インタフェースを指定する -i
、ポートを指定する -p
がある。プロトコルはTCPにのみ対応している
普通のpcapファイルの出力先(-w
)、ローテートするタイミング(-d
)、ローテート後に実行するコマンド(-z
)を指定できる。またフラグ用pcapファイルについてもそれぞれflag-w
, flag-d
, flag-z
がある(特にflag-z
はその頻度でしかpcapを生成しない)
theoremoon