Netflow TCP 标记不代表 UAPRSF 的十六进制字符
Netflow TCP Flags hexidecimal characters not representative of UAPRSF
我正在尝试对提供给我的数据集中的网络流量数据进行一些统计分析,但是我得到了一些不代表正常 UAPRSF 格式的 TCP 标志。
还包括以下十六进制值:
- 0x52
- 0x5a
- 0xc2
- 0xd3
- 0xd6
- 0xd7
- 0xda
- 0xdb
- 0xdf
我了解 TCP 标志最初存储为 HEX,然后转换为适当的标志,但我不明白其他值从何而来
在用于描述 TCP 标志的 6 个控制位之前还有另外 3 个 ECN 位。 (参见 http://www.networksorcery.com/enp/protocol/tcp.htm)
按照下面link中提供的解释,您可以将附加的十六进制值转换为包括 ECN 位的标志:
https://www.manitonetworks.com/flow-management/2016/10/16/decoding-tcp-flags
| N | C | E | U | A | P | R | S | F | Hex | Binary |
| 256 | 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 | | |
|------------------------------------------------------------------------------------------------|
| 0 | 0 | 1 | 0 | 1 | 0 | 0 | 1 | 0 | 0x52 | 1010010 |
| | 1 | 1 | 0 | 1 | 1 | 1 | 1 | 1 | 0xdf | 11011111 |
所以 0x52 = ..E.A..S.
我正在尝试对提供给我的数据集中的网络流量数据进行一些统计分析,但是我得到了一些不代表正常 UAPRSF 格式的 TCP 标志。
还包括以下十六进制值:
- 0x52
- 0x5a
- 0xc2
- 0xd3
- 0xd6
- 0xd7
- 0xda
- 0xdb
- 0xdf
我了解 TCP 标志最初存储为 HEX,然后转换为适当的标志,但我不明白其他值从何而来
在用于描述 TCP 标志的 6 个控制位之前还有另外 3 个 ECN 位。 (参见 http://www.networksorcery.com/enp/protocol/tcp.htm)
按照下面link中提供的解释,您可以将附加的十六进制值转换为包括 ECN 位的标志: https://www.manitonetworks.com/flow-management/2016/10/16/decoding-tcp-flags
| N | C | E | U | A | P | R | S | F | Hex | Binary |
| 256 | 128 | 64 | 32 | 16 | 8 | 4 | 2 | 1 | | |
|------------------------------------------------------------------------------------------------|
| 0 | 0 | 1 | 0 | 1 | 0 | 0 | 1 | 0 | 0x52 | 1010010 |
| | 1 | 1 | 0 | 1 | 1 | 1 | 1 | 1 | 0xdf | 11011111 |
所以 0x52 = ..E.A..S.