我有一个简单的input规则为iptableslogging任何新的连接到日志文件。 --log-tcp-options和--log-ip-options标志都被设置,我得到相应的OPT输出。
我的日志的一行看起来像这样:
11月29日17:00:00 IN = venet0 OUT = MAC = SRC = xxxx DST = xxxx LEN = 64 TOS = 0x00 PREC = 0x00 TTL = 53 ID = 37898 DF PROTO = TCP SPT = 57755 DPT = 8888 WINDOW = 65535 RES = 0x00 SYN URGP = 0 OPT(0204057D010303010101080A3E521D4D0000000004020000)
我想了解如何解释OPTstring(粗体)。
0204057D010303010101080A3E521D4D0000000004020000
从sans.org学习指南,
前2个字节(0x0204)04 – 长度为02表示MSS标志
接下来的2个字节(0x057D)是最大大小段(MSS)的值
下一个字节(0x01)是空操作
接下来的2个字节(0x0303)表示启用了窗口缩放
3个字节(“010101”)是空操作(AKA填充)
接下来的两个字节(“080a”)标记时间戳值
接下来的4个字节((“0x3E521D4D00000000”)是date时间5 * 2个字节
接下来的4个字节(“0402”)是确定的
主文档: ftp : //ftp.ietf.org/iana/tcp-parameters/tcp-parameters.xml
其他: http : //tools.ietf.org/html/draft-ietf-tcpm-tcp-security-03
http://www.ietf.org/mail-archive/web/tcpm/current/msg03199.html
幽默! : http : //tools.ietf.org/html/rfc5841
RFC 791定义了IPv4协议。 在3.1节,从第15页开始,有一个关于OPTIONS字段的解释。
来源: RFC 791
这是TCP标头的选项部分。
在这里寻找详细的信息。