Я использую TCPDUMP для захвата трафика с определенного IP-адреса. Есть ли возможность перехватывать только новые соединения, то есть потоки TCP, начинающиеся с пакета SYN?
К сожалению нет. tcpdump просто перехватывает пакеты по мере их поступления, он не поддерживает какую-либо информацию о сеансе для различения потоков TCP. Вам нужно будет проанализировать перехват в Wireshark, если вы хотите разделить потоки (например, вы можете упорядочить по номеру потока).
Марк Ридделл
Будьте осторожны, бит SYN установлен в двух первых пакетах трехстороннего рукопожатия TCP. Таким образом, этот фильтр будет соответствовать всем новым попыткам установления соединений, а не только вновь установленным соединениям. Если каким-либо образом (правило программного обеспечения) соединение не будет принято, оно также будет показано.
Ответы:
Для захвата только пакетов TCP SYN:
источник
Следующее будет захватывать пакеты TCP-SYN и SYN-ACK.
Следующее будет захватывать только пакеты TCP-SYN.
Причина в том, что пакеты SYN-ACK включают флаги SYN и ACK. Первый фильтр только проверял наличие флага SYN.
Если вы хотите фильтровать только входящие, добавьте опцию -Q in.
источник