[Gutl-l] Entender mejor salida de tcpdump para pflog

Tue, 29 Nov 2011 06:15:57 -0800

Me gustaría entender un poco mas las salidas de tcpdump para analizar los logs de PF, por ejemplo en algunas líneas puedo facilmente interpretar lo que está haciendo cada regla definida en el fichero de configuración de PF por ejemplo usando la orden ... 

#tcpdump -n -e -ttt -i pflog0

Fragmentos de la salida de tcpdump
00:00:00.000000 rule 18/0(match): pass in on ale0: 192.168.0.2.34386 > 172.18.22.2.110: [|tcp] 00:00:00.000022 rule 16/0(match): pass out on rl0: 172.18.4.226.63510 > 172.18.22.2.110: tcp 40 [bad hdr length 0 - too short, < 20] 00:00:00.909659 rule 0/0(match): block in on ale0: 192.168.0.3.1033 > 192.33.4.12.53: [|domain] 00:00:00.000024 rule 0/0(match): block in on ale0: 192.168.0.3.1033 > 199.7.83.42.53: [|domain]
No tengo muy claro la última parte de la salida en la 2da línea, según entiendo parece una cabecera invalida con tamaño cero y menor que 20 que mas debería saber de esta parte? que puedo estar omitiendo y hasta quizás entendiendo de forma incorrecta? 

Gracias de antemano ...

--
=======================================
  Jenny Cabrera Varona
  Administrador de Red
  [Nodo Geominera Camagüey]
  OS: [GNU/Linux]&[BSD/UNIX]
  Teléfono: (53) (32) 27-21-08
  JID: jcvgnu...@jb.gmcmg.gms.minbas.cu
  E-Mail: jcvgnu...@gmcmg.gms.minbas.cu
========================================
              ,        ,
             /(        )`
             \ \___   / |
             /- _  `-/  '
            (/\/ \ \   /\
            / /   | `    \
            O O   ) /    |
            `-^--'`<      '
           (_.)  _  )   /
            `.___/`    /
              `-----' /
 <----.     __ / __   \
 <----|====O)))==) \) /====
 <----'    `--' `.__,' \
              |        |
               \       /       /\
          ______( (_  / \______/
        ,'  ,-----'   |
        `--{__________)

      ______
     |  ____| __ ___  ___
     | |__ | '__/ _ \/ _ \
     |  __|| | |  __/  __/
     | |   | | |    |    |
     |_|   |_|  \___|\___|
     ____   _____ _____
     |  _ \ / ____|  __ \
     | |_) | (___ | |  | |
     |  _<  \___ \| |  | |
     | |_) |____) | |__| |
     |     |      |      |
     |____/|_____/|_____/



--
Este mensaje ha sido analizado por MailScanner del Nodo Geominera Camaguey
en busca de virus y otros contenidos peligrosos y se considera que está limpio.


uk


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a