Display only SYN-Packets –
tcp.flags.syn==1 && !tcp.flags.ack==1
Display SYN-ACK-Packets – tcp.flags.syn==1 && tcp.flag.ack==1
Only TCP SYN: tcp[0xd]&18=2
Durch das Hinzufügen zwei weiterer 'Custom'-Spalten lässt sich die TCP-Analyse vereinfachen:
tcp.stream tcp.time_delta
sudo apt-get install libpcap-devsudo chgrp admin /usr/bin/dumpcap sudo chmod 750 /usr/bin/dumpcap sudo setcap cap_net_raw,cap_net_admin+eip /usr/bin/dumpcap
Danach kann man mit Wireshark auch ohne Root-Rechte sniffen.
Offizielle Doku:
Forum:
Anleitungen:
Beispiele: