- PR -

tcpdump で取得したパケットのフラグメントオフセットについて

投稿者	投稿内容
けそらそら会議室デビュー日: 2005/12/19 投稿数: 12 お住まい・勤務地: 高円寺に住みたい	投稿日時: 2005-12-19 06:37 tcpdumpを使っていて納得いかない現象が見られたので皆様のご意見を聞けたらと思い投稿します。 CentOS4.2にて tcpdump version 3.9.4 libpcap version 0.9.4 を使用してTCPのキャプチャをしてみました。二つターミナルを開いて、片方で tcpdump -i 1 -lxn -s 1600 'port 80 and ip[6:2] & 0x1fff != 0' (port 80 かつ ipヘッダのフラグメントオフセットが0でないもの) もう片方で wget -O - http://www.google.co.jp/intl/ja_jp/images/logo.gif (googleのロゴをDLして保存しないで捨てる) としました。googleのロゴは8734byteですので、必ずフラグメントが発生します。そのため、必ず何らかの表示がなされるはずです。ところが、何も表示されず、 fragment offset は0のようです。断片化された場合、fragment offset != 0 となるはずですが・・・・また、断片化していると思われるデータの Identification(識別子)も一致しません。これはいったいどういうことなのでしょうか？ tcpdumpがおかしいのでしょうか？それとも私の認識がおかしいのでしょうか？(恐らくこれでしょう^^ 皆様のご意見をお願いします。
けそらそら会議室デビュー日: 2005/12/19 投稿数: 12 お住まい・勤務地: 高円寺に住みたい	投稿日時: 2005-12-21 01:17 自己レスです。もしかしたらこれかもしれないです。 http://www.ipa.go.jp/security/rfc/RFC1858JA.html 皆様の環境でテストだけでもして、結果を教えていただけるとありがたいです。

投稿者

投稿内容

けそらそら: 会議室デビュー日: 2005/12/19; 投稿数: 12; お住まい・勤務地: 高円寺に住みたい

投稿日時: 2005-12-19 06:37

tcpdumpを使っていて納得いかない現象が見られたので
皆様のご意見を聞けたらと思い投稿します。

CentOS4.2にて
tcpdump version 3.9.4
libpcap version 0.9.4
を使用してTCPのキャプチャをしてみました。

二つターミナルを開いて、
片方で
tcpdump -i 1 -lxn -s 1600 'port 80 and ip[6:2] & 0x1fff != 0'
(port 80 かつ ipヘッダのフラグメントオフセットが0でないもの)
もう片方で
wget -O - http://www.google.co.jp/intl/ja_jp/images/logo.gif
(googleのロゴをDLして保存しないで捨てる)
としました。googleのロゴは8734byteですので、
必ずフラグメントが発生します。
そのため、必ず何らかの表示がなされるはずです。

ところが、何も表示されず、
fragment offset は0のようです。
断片化された場合、fragment offset != 0 となるはずですが・・・・

また、断片化していると思われるデータの
Identification(識別子)も一致しません。

これはいったいどういうことなのでしょうか？
tcpdumpがおかしいのでしょうか？
それとも私の認識がおかしいのでしょうか？(恐らくこれでしょう^^

皆様のご意見をお願いします。

けそらそら: 会議室デビュー日: 2005/12/19; 投稿数: 12; お住まい・勤務地: 高円寺に住みたい

投稿日時: 2005-12-21 01:17

自己レスです。
もしかしたらこれかもしれないです。
http://www.ipa.go.jp/security/rfc/RFC1858JA.html
皆様の環境でテストだけでもして、
結果を教えていただけるとありがたいです。

＠IT SpecialPR

tcpdump で取得したパケットのフラグメントオフセットについて

スキルアップ／キャリアアップ（JOB@IT）