TCPの3ハンドシェイク失敗

WiresharkでパケットをCSV形式でエクスポートすると以下のようなCSVファイルになります。

"84257","...","x","x","TCP","70","443  >  41636 [ACK] Seq=1 Ack=704394492 Win=132 Len=0 TSval=3523963227 TSecr=4426924582"

というわけでSYNの一行後にACK単体で返しているという検索条件にすると

$ cat test.csv | grep -A 1 "\[SYN\]"  | grep -v "\[SYN\]" | grep "\[ACK\]"

一覧が出てきます。

ちなみにそこからWiresharkが怪しいパケットに付与する

[TCP ACKed unseen segment]

という文字列で絞るとさらに怪しいパケットが出てきて便利です。