Tcpdump - Linux Command - Unix Command

NAME

tcpdump - afrita umferð á netinu

Sýnishorn

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F file ]

[ -i tengi ] [ -m mát ] [ -r skrá ]

[ -s snaplen ] [ -T tegund ] [ -U notandi ] [ -w skrá ]

[ -E algo: leyndarmál ] [ tjáning ]

LÝSING

Tcpdump prentar út fyrirsagnir af pakka á netkerfi sem samsvarar boolean tjáningunni . Einnig er hægt að keyra það með -w flagginu, sem veldur því að hægt sé að vista pakkagögnin í skrá til síðari greininga og / eða með -r-flipanum sem veldur því að það lesi úr vistaðri pakkagrein frekar en að lesa pakka frá netkerfi. Í öllum tilvikum verða aðeins pakkar sem passa tjáning unnin af tcpdump .

Tcpdump mun halda áfram að taka upp pakka þar til það er rofin af SIGINT merki (myndað til dæmis með því að slá inn trufla persónuna þína, venjulega stjórn-C) eða SIGTERM merki (venjulega myndað með því að drepa (1) stjórn); ef hlaupið er með -c fánanum mun það fanga pakka þar til það er rofið af SIGINT eða SIGTERM merki eða tilgreint fjölda pakka hefur verið unnið.

Þegar tcpdump lýkur handtökupakkningum mun það tilkynna um:

pakkar `` móttekin með síu '' (merking þessarar fer eftir því hvaða OS þú ert að keyra tcpdump og hugsanlega hvernig OS var stillt - ef sía var tilgreint á stjórn línunnar, á sumum OSes telur það pakkar óháð því hvort þau voru aðgreind með síunartexinu og á öðrum OSes telur hún aðeins pakka sem voru samsvöruð með síutjáningu og voru unnar af tcpdump );

pakkar `` sleppt með kjarnanum '' (þetta er fjöldi pakka sem var sleppt vegna þess að skortur á biðminni rýmd af pakkningartækifærum kerfisins í OS sem tcpdump er í gangi, ef OS tilkynnti þessar upplýsingar til umsókna; ef ekki, mun það vera tilkynnt sem 0).

Á vettvangi sem styðja SIGINFO merki, eins og flestir BSDs, mun það tilkynna þær tölur þegar það fær SIGINFO merki (myndað til dæmis með því að slá inn '`stöðu' 'karakterinn þinn, venjulega stjórna-T) og mun halda áfram að taka upp pakka .

Að lesa pakka frá netkerfi getur krafist þess að þú hafir sérstaka forréttindi:

Undir SunOS 3.x eða 4.x með NIT eða BPF:

Þú verður að hafa aðgang að / dev / nit eða / dev / bpf * .

Undir Solaris með DLPI:

Þú verður að hafa les- og skrifaðgang að netgervitækinu, td / dev / le . Á að minnsta kosti sumum útgáfum af Solaris, þetta er þó ekki nægjanlegt til að leyfa tcpdump að fanga í lausafjárstöðu; Í þessum útgáfum af Solaris verður þú að vera rót eða tcpdump verður að setja upp setuid í rót til þess að hægt sé að taka það í lausa stöðu. Athugaðu að á mörgum (hugsanlega öllum) tenglum, ef þú tekur ekki í lausafjárham, muntu ekki sjá nein sendanlegar pakkar, þannig að handtaka sem ekki er unnin í lausafjárstillingunni gæti verið ekki mjög gagnleg.

Undir HP-UX með DLPI:

Þú verður að vera rót eða tcpdump verður að setja upp setuid í rót.

Undir IRIX með snoop:

Þú verður að vera rót eða tcpdump verður að setja upp setuid í rót.

Undir Linux:

Þú verður að vera rót eða tcpdump verður að setja upp setuid í rót.

Undir Ultrix og Digital UNIX / Tru64 UNIX:

Allir notendur geta handtaka net umferð með tcpdump . Hins vegar getur enginn notandi (ekki einu sinni frábæran notandi) handtaka í sambandi hátt á tengi nema að frábær notandi hafi gert kleift að nota lausa aðgerð á því tengi með því að nota pfconfig (8) og enginn notandi (jafnvel ekki frábær notandi ) geta handtaka unicast umferð sem er móttekin af eða send af vélinni á tengi nema frábæran notandi hafi gert kleift að nota afrit af öllum aðgerðum á því tengi með pfconfig , þannig að gagnlegt pakkapotti á tengi þarf sennilega að annaðhvort lausafjárstilling eða afrit -all-ham aðgerð, eða báðar aðgerðirnar, virkjaðar á því tengi.

Undir BSD:

Þú verður að hafa aðgang að / dev / bpf * .

Að lesa vistað pakkapóst þarf ekki sérstaka forréttindi.

Valkostir

-a

Tilraun til að breyta net- og útvarpsþáttum við nöfn.

-c

Hætta eftir að hafa fengið fjölda pakka.

-C

Áður en þú skrifar hráan pakka í savefile skaltu athuga hvort skráin sé stærri en file_size og, ef svo er, lokaðu núverandi Vista og opnaðu nýjan. Savefiles eftir fyrsta savefile mun hafa nafnið sem er tilgreint með -w flaganum , með númer eftir það, byrjar á 2 og heldur áfram upp. Einingarnar í file_size eru milljón bæti (1.000.000 bæti, ekki 1.048.576 bæti).

-d

Taktu saman samstillt pakka-samsvörunarkóða í læsilegu formi manna til venjulegs framleiðsla og stöðva.

-dd

Tappa pakka-samsvörunarkóða sem C program brot.

-ddd

Tappa pakka-samsvörunarkóða sem tugabrot (á undan telja).

-e

Prenta á hausinn á hleðslustigi á hverri línu.

-E

Notaðu algo: leyndarmál til að afkóða IPsec ESP pakka. Reikniritar geta verið des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , eða enginn . Sjálfgefin er des-cbc . Hæfni til að afkóða pakka er aðeins til staðar ef tcpdump var safnað með dulritunarvirkt. leyndu ASCI-textanum fyrir ESP leyniskort. Við getum ekki tekið handahófskennda tvöfalt gildi á þessari stundu. Þessi valkostur gerir ráð fyrir RFC2406 ESP, ekki RFC1827 ESP. Valkosturinn er aðeins til afköstum og notkun þessa valkostar með sannarlega "leynilegum" takkanum er hugfallast. Með því að birta IPsec leynilega lykilorð á stjórn lína gerirðu það sýnilegt öðrum, með ps (1) og öðrum tilefni.

-f

Prentaðu "erlendum" netföngum tölulega frekar en táknrænt (þessi valkostur er ætlað að komast í kringum alvarlegar heilaskemmdir í Yp miðlara sólarinnar - venjulega hangir það að eilífu að þýða netnúmer sem ekki eru heimamaður).

-F

Notaðu skrá sem inntak fyrir síutáknið. Annar tjáning sem gefinn er á stjórn línunnar er hunsuð.

-i

Hlustaðu á tengi . Ef ótilgreindur leitar tcpdump kerfisviðmótalistann fyrir lægsta númeraða, stillt upp tengi (að undanskildu loopback). Bindingar eru brotnar með því að velja fyrsta leik.

Í Linux kerfum með 2,2 eða síðar kjarna, er hægt að nota tengiargrein af `` einhverjum '' til að fanga pakka úr öllum tengi. Athugaðu að handtökur á `` einhverjum '' tækinu verða ekki gerðar á lausu hátti.

-l

Gerðu stutta línu í biðminni. Gagnlegt ef þú vilt sjá gögnin meðan þú tekur það. Eg,
`` tcpdump -l | tee dat '' eða `` tcpdump -l> dat & tail -f dat ''.

-m

Hlaða SMI MIB mát skilgreiningar úr skráareiningu . Þessi valkostur er hægt að nota nokkrum sinnum til að hlaða nokkrum MIB einingar í tcpdump .

-n

Ekki umbreyta gestgjafi heimilisföng til nafna. Þetta er hægt að nota til að koma í veg fyrir DNS leit.

-nn

Ekki umbreyta samskiptareglum og höfnarnúmerum osfrv. Til nafna.

-N

Ekki prenta lén hæfileika gestgjafi nöfn. Til dæmis, ef þú gefur þessari fána þá mun tcpdump prenta `` nic '' í stað `` nic.ddn.mil ''.

-O

Ekki keyra pakka-samsvörun kóða hagræðingu. Þetta er aðeins gagnlegt ef þú grunar að galla í fínstillingu.

-p

Ekki setja tengið í lausnaham. Athugaðu að viðmótið gæti verið í lausafjárhami af einhverjum öðrum ástæðum; Þess vegna er "-p" ekki hægt að nota sem skammstöfun fyrir `eter gestgjafi {staðbundin-hw-addr} eða eter útsending '.

-q

Fljótur (rólegur?) Framleiðsla. Prenta minna siðareglurupplýsingar svo að framleiðslulínur séu styttri.

-R

Gerum ráð fyrir að ESP / AH pakkar séu byggðar á gömlum forskriftum (RFC1825 til RFC1829). Ef tilgreint er, mun tcpdump ekki prenta replay forvarnir reit. Þar sem ekki er nein samskiptareglur í ESP / AH forskriftum, getur tcpdump ekki dregið úr útgáfu ESP / AH samskiptareglunnar.

-r

Lesið pakka úr skrá (sem var búin til með -w valkostinum). Standard inntak er notað ef skráin er `` - ''.

-S

Prenta hreint, frekar en ættingja, TCP röðarnúmer.

-s

Snarf snaplen bæti gögn úr hverri pakka frekar en sjálfgefið af 68 (með NIT, SunOS er lágmarkið í raun 96). 68 bæti er fullnægjandi fyrir IP, ICMP, TCP og UDP en getur afkortað siðareglur upplýsingar frá nafni miðlara og NFS pakka (sjá hér að neðan). Pakkningar sem styttar eru vegna takmarkaðs myndataps eru tilgreindar í framleiðslunni með `` [| proto ] '', þar sem proto er nafnið á siðareglunarstiginu þar sem styttingin hefur átt sér stað. Athugaðu að taka stærri myndatökur eykur bæði þann tíma sem þarf til að vinna úr pakka og á áhrifaríkan hátt dregur úr fjölda pakkahömlunar. Þetta getur valdið því að pakkar glatast. Þú ættir að takmarka snaplen við minnsta númerið sem mun fanga siðareglurupplýsingar sem þú hefur áhuga á. Stilling snaplen til 0 þýðir að nota nauðsynlega lengd til að ná heilum pakka.

-T

Force pakka valin með " tjáningu " til að túlka tilgreint tegund . Núverandi þekktar tegundir eru cnfp (Cisco NetFlow siðareglur), rpc (Remote Procedure Call), rtp (siðareglur í rauntíma forritum), rtcp ) og wb (dreift White Board).

-t

Ekki prenta tímastimpil á hverri línu.

-tt

Prenta óformað tímastimpill á hverri línu.

-U

Sleppir rótartilboðum og breytir notandanafninu til notandanafns og hópritunar við aðalhóp notanda .

Athugaðu! Red Hat Linux sleppir sjálfkrafa forréttindi til notanda `` pcap '' ef ekkert annað er tilgreint.

-ttt

Prenta delta (í ör-sekúndur) á milli núverandi og fyrri línu á hverri línu.

-tttt

Prenta tímastimpill í vanrækslaformi framhjá dagsetningu á hverri línu.

-u

Prenta undecoded NFS handföng.

-v

(Nokkuð meira) veruleg framleiðsla. Til dæmis er tími til að lifa, auðkenni, heildarlengd og valkostir í IP-pakka prentuð. Einnig gerir þér kleift að fylgjast með viðbótarpakka, svo sem staðfesting á IP- og ICMP-heitum eftirlitsupplýsingum.

-vv

Jafnvel fleiri veruleg framleiðsla. Til dæmis eru fleiri sviðum prentuð úr NFS svarpökkum og SMB-pakkar eru að fullu afkóðaðar.

-vvv

Jafnvel fleiri veruleg framleiðsla. Til dæmis, telnet SB ... SE valkostir eru prentaðar að fullu. Með -X telnet valkostir eru prentaðir í sex eins og heilbrigður.

-w

Skrifaðu hráa pakka til að skrá frekar en að flokka og prenta þær út. Þeir geta síðar prentað með -r valkostinum. Standard framleiðsla er notuð ef skráin er `` - ''.

-x

Prenta hverja pakka (mínus hleðslustigshaus) í álfötu. Minni af öllu pakkanum eða snaplen bæti verður prentað. Athugaðu að þetta er allt hlekkurlagspaketið, svo að hleðslulög þessi púði (td Ethernet), verður padding bæti einnig prentuð þegar hærri lagpakkinn er styttri en nauðsynlegt padding.

-X

Þegar prentun er lokið skaltu prenta ASCII líka. Þannig að ef -x er einnig sett er pakkinn prentaður í hex / ascii. Þetta er mjög vel til þess að greina nýjar samskiptareglur. Jafnvel þótt -x sé ekki stillt er hægt að prenta nokkra hluta sumra pakka í hex / ascii.

tjáning

velur hvaða pakkar verða seldar. Ef engin tjáning er gefin verða allar pakkningar á netinu seldar. Annars verður aðeins pakkað fyrir hvaða tjáningu er "satt".

Tjáningin samanstendur af einum eða fleiri frumkvöðlum. Primitives samanstanda yfirleitt af kennitölu (nafn eða númer) á undan einum eða fleiri hæfileikum. Það eru þrjár mismunandi tegundir af hæfileikum:

gerð

hæfileikar segja hvers konar hlutur nafnið eða númerið vísar til. Mögulegar gerðir eru gestgjafi , net og höfn . Til dæmis, "gestgjafi foo", "net 128,3", "höfn 20". Ef það er engin tegundarhæfur, er gestgjafi gert ráð fyrir.

dir

hæfir tilgreina tiltekna flutningsstefnu til og / eða frá kennitölu . Mögulegar leiðbeiningar eru src , dst , src eða dst og src og dst . Td, `src foo ',` dst net 128.3', `src eða dst port ftp-data '. Ef það er engin dir hæfileiki, er gert ráð fyrir src eða dst . Fyrir "núll" hlekkur lag (þ.e. benda til að benda samskiptareglum eins og miði) er hægt að nota heimleið og útkoman til að tilgreina viðeigandi stefnu.

proto

hæfileikar takmarka samsvörun við tiltekna siðareglur. Mögulegar prótónir eru: eter , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp og udp . Td, 'ether src foo', `arp net 128.3 ',` tcp port 21'. Ef það er engin proto hæfileiki er gert ráð fyrir öllum samskiptareglum sem eru í samræmi við gerðina. Td "src foo" þýðir `(ip eða arp eða rarp) src foo '(nema hið síðarnefndu er ekki lagaleg setningafræði),` net bar' þýðir `(ip eða arp eða rarp) net bar 'og' port 53 ' `(tcp eða udp) höfn 53 '.

[`fddi 'er í raun alias fyrir` eter'; Parserinn skilur þá á sama hátt og þýðir `` gagnatengilinn sem notaður er á tilgreindan netviðmót. '' FDDI hausar innihalda Ethernet-eins og upphafs- og ákvörðunarstaðsetningar og innihalda oft Ethernet-eins pakka, þannig að þú getur síað á þessum FDDI reitum alveg eins og með hliðstæðum Ethernet sviðum. FDDI hausar innihalda einnig aðra reiti, en þú getur ekki nefnt þau sérstaklega í síu tjáningu.

Á sama hátt, `tr 'er alias fyrir` eter'; Yfirlýsingar um fyrri málsgreinar um FDDI haus eiga einnig við um táknhringingu.]

Til viðbótar við ofangreindu eru nokkrar sérstakar "frumstæðar" leitarorð sem fylgja ekki mynstrum: gátt , útvarpsþáttur , minna , hærri og reiknuð tjáning. Öll þessi eru lýst hér að neðan.

Flóknari síuútgáfur eru byggðar upp með því að nota orðin og , eða og ekki að sameina frumkvöðla. Til dæmis, "gestgjafi foo og ekki port ftp og ekki port ftp-gögn". Til að vista slá inn er hægt að sleppa sömu hæfileikalistum. Til dæmis er `tcp dst port ftp eða ftp-gögn eða lén 'nákvæmlega það sama og` tcp dst port ftp eða tcp dst port ftp-data eða tcp dst port domain'.

Leyfilegir forsendur eru:

dst gestgjafi

True ef IPv4 / v6 áfangasvæðið pakkans er gestgjafi , sem getur verið annað hvort heimilisfang eða nafn.

src gestgjafi

True ef IPv4 / v6 uppspretta svæðisins pakkans er gestgjafi .

gestgjafi

True ef annað hvort IPv4 / v6 uppspretta eða áfangastaður pakkans er gestgjafi . Einhver af ofangreindum gestgjöfum er hægt að búa til með leitarorðum, ip , arp , rarp , eða ip6 eins og í:

Ip gestgjafi

sem jafngildir:

eter proto \ ip og gestgjafi

Ef gestgjafi er heiti með mörgum IP-tölum verður hvert netfang skoðuð fyrir samsvörun.

eter dst ehost

True ef Ethernet áfangastað er ehost . Ehost getur verið annaðhvort nafn frá / etc / ethers eða tala (sjá ethers (3N) fyrir tölfræðileg snið).

eter src ehost

True ef Ethernet uppspretta heimilisfang er ehost .

eter gestgjafi ehost

True ef annað hvort Ethernet uppspretta eða áfangastað er ehost .

gáttarhýsi

True ef pakkinn notaði gestgjafi sem hlið. Þ.e. Ethernet uppspretta eða áfangastað var gestgjafi en hvorki IP-uppspretta né IP-áfangastaður var gestgjafi . Gestgjafi verður að vera heiti og verður að finna bæði af vélinni sem er vistað á vél-nafn-til-IP-töluupplausn (gestgjafi nafnaskrá, DNS, NIS, osfrv.) Og upplausn tölvukerfisins vélbúnaður (/ etc / eters, osfrv). (Jafngilt tjáning er

eter gestgjafi og ekki gestgjafi

sem hægt er að nota með annaðhvort nöfnum eða tölum fyrir gestgjafi / ehost .) Þetta setningafræði virkar ekki í IPv6-stillingu á þessari stundu.

dst net net

True ef IPv4 / v6 áfangastað pakkans hefur netnúmer net . Nettó getur verið annað hvort nafn frá / etc / net eða netkerfi (sjá net (4) til að fá nánari upplýsingar).

src net net

True ef IPv4 / v6 vistfang pakkans hefur netnúmer net .

nettó

True ef annað hvort IPv4 / v6 uppspretta eða áfangastað pakkans hefur netnúmer net .

net netmaska net

True ef IP-tölu passar nettó við tiltekna netmaskann . Gæti verið hæfur með src eða dst . Athugaðu að þetta setningafræði er ekki gild fyrir IPv6 net .

nettó / len

True ef IPv4 / v6 tölu passar nettó með netmask Len bits breiður. Gæti verið hæfur með src eða dst .

dst port port

True ef pakkinn er ip / tcp, ip / udp, ip6 / tcp eða ip6 / udp og hefur ákvörðunarhöfn gildi hafnar . Höfnin getur verið númer eða nafn notað í / etc / services (sjá tcp (4P) og udp (4P)). Ef nafn er notað eru bæði höfnarnúmer og siðareglur skoðuð. Ef númer eða óljós nafn er notað er aðeins skoðað höfnarnúmerið (td dst port 513 mun prenta bæði tcp / innskráningarferli og udp / hver umferð og höfnarlén mun prenta bæði tcp / domain og UDP / domain traffic).

src port port

True ef pakkinn hefur fengið höfnargildi af höfn .

höfn

True ef annað hvort uppspretta eða ákvörðunarhöfn pakkans er höfn . Einhver af ofangreindum höfnartexta má bæta við leitarorðunum, tcp eða udp , eins og í:

tcp src port höfn

sem passar aðeins tcp pakka sem höfn er höfn .

minni lengd

True ef pakkinn hefur lengd minna en eða jafn lengd . Þetta jafngildir:

len <= lengd .

meiri lengd

True ef pakkinn hefur lengd sem er meiri en eða jafn lengd . Þetta jafngildir:

len> = lengd .

ip proto siðareglur

True ef pakkinn er IP-pakki (sjá ip (4P)) samskiptareglur siðareglur . Bókun getur verið númer eða eitt af heitum icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp eða tcp . Athugaðu að auðkennin tcp , udp og icmp eru einnig leitarorð og verða að flýja með bakslagi (\), sem er \\ í C-skelinni. Athugaðu að þetta frumstæða fylgist ekki með samskiptareglum.

ip6 proto siðareglur

True ef pakkinn er IPv6 pakki af samskiptareglum bókunarinnar . Athugaðu að þetta frumstæða fylgist ekki með samskiptareglum.

ip6 protochain siðareglur

True ef pakkinn er IPv6 pakki og inniheldur samskiptareglur með gerðarsamskiptareglum í samskiptareglubókinni. Til dæmis,

ip6 protochain 6

passar við hvaða IPv6 pakka með TCP siðareglur haus í siðareglur haus keðja. Pakkningin getur innihaldið, til dæmis, auðkenningarhaus, beitunarhaus eða valkostur fyrir hoppa eftir höfði milli IPv6 haus og TCP haus. BPF kóðinn sem gefinn er af þessari frumstæðu er flókinn og ekki hægt að hagræða með BPF fínstillingu kóða í tcpdump , svo þetta getur verið nokkuð hægur.

ip protochain siðareglur

Samsvarandi við ip6 protochain siðareglur , en þetta er fyrir IPv4.

eter útsending

True ef pakkinn er Ethernet útsending pakki. Eter leitarorðið er valfrjálst.

ip útsending

True ef pakkinn er IP útsending pakki. Það hefur eftirlit með bæði öllum núllum og öllum útvarpssamningum og lítur upp á staðarnetið.

eter multicast

True ef pakkinn er fjölþætt pakki með Ethernet. Eter leitarorðið er valfrjálst. Þetta er skothandur fyrir ` eter [0] & 1! = 0 '.

ip multicast

True ef pakkinn er IP fjölhraðapakki.

ip6 multicast

True ef pakkinn er IPv6 multicast pakki.

eter proto siðareglur

True ef pakkinn er af eter gerð siðareglur . Bókun getur verið númer eða eitt af nöfnum ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx eða netbeui . Athugaðu að þessi auðkenni eru einnig leitarorð og verða að slappa undan með bakslagi (\).

[Ef um er að ræða FDDI (td ` Fddi Protocol Arp ') og Token Ring ( td` Tr Protocol Arp '), fyrir flestar þessara samskiptareglna, kemur siðareglur auðkenni úr 802.2 Logical Link Control (LLC) hausnum sem er yfirleitt lagskipt ofan á FDDI- eða Token Ring-hausnum.

Þegar sótt er fyrir flestar siðareglur í FDDI eða Token Ring, heldur tcpdump aðeins siðareglur ID-svæðið í LLC-heiti í svokölluðu SNAP-sniði með Organization Identifier Identifier (OUI) 0x000000, fyrir innbyggða Ethernet; það er ekki að athuga hvort pakkinn er í SNAP formi með OUI á 0x000000.

Undanþágurnar eru ISO , þar sem það skoðar DSAP (áfangastað fyrir aðgangsstað) og SSAP (Source Service Access Point) sviðum LLC header, stp og netbeui , þar sem það stöðva DSAP af LLC hausnum og atalk , þar sem það stöðva fyrir SNAP-sniði pakka með OUI af 0x080007 og Appletalk etype.

Þegar um Ethernet er að ræða, athugar tcpdump Ethernet tegundarsvæðið fyrir flestar samskiptareglur; Undantekningar eru ISO , SAP , og NETBEUI , sem það skoðar fyrir 802.3 ramma og síðan skoðar LLC haus eins og það gerir fyrir FDDI og Token Ring, atalk , þar sem það stöðva bæði fyrir Appletalk etype í Ethernet ramma og fyrir a SNAP-sniði pakki eins og það gerir fyrir FDDI og Token Ring, aarp , þar sem það stöðva eftir Appletalk ARP gerðinni í annaðhvort Ethernet ramma eða 802.2 SNAP ramma með OUI af 0x000000 og ipx , þar sem það er að skoða IPX etype í Ethernet ramma, IPX DSAP í LLC hausnum, 802.3 án LLC header encapsulation af IPX og IPX etype í SNAP ramma.]

decnet src gestgjafi

True ef DECNET vistfangið er gestgjafi , sem kann að vera heimilisfang formsins `` 10.123 '', eða DECNET gestgjafi nafn. [Stuðningur við nafnheit í DECNET gestgjafi er aðeins í boði á Ultrix kerfi sem eru stilltir til að keyra DECNET.]

decnet dst gestgjafi

True ef DECNET ákvörðunarstaðfangið er gestgjafi .

decnet gestgjafi gestgjafi

True ef annað hvort DECNET uppspretta eða áfangastað er gestgjafi .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Skammstafanir fyrir:

eter proto p

þar sem p er eitt af ofangreindum samskiptareglum.

lat , moprc , mopdl

Skammstafanir fyrir:

eter proto p

þar sem p er eitt af ofangreindum samskiptareglum. Athugaðu að tcpdump veit ekki hvernig á að flokka þessar samskiptareglur.

vlan [vlan_id]

True ef pakkinn er IEEE 802.1Q VLAN pakki. Ef [vlan_id] er tilgreint er aðeins satt að pakkinn hafi tilgreint vlan_id . Athugaðu að fyrsta vlan leitarorðið sem finnst í tjáningu breytir afkóðunarstöðum fyrir það sem eftir er af tjáningu á þeirri forsendu að pakkinn sé VLAN pakki.

tcp , udp , icmp

Skammstafanir fyrir:

ip proto p eða ip6 proto p

þar sem p er eitt af ofangreindum samskiptareglum.

iso proto siðareglur

True ef pakkinn er OSI pakki af samskiptareglum siðareglur . Bókun getur verið númer eða eitt af heitum clnp , eesis eða isis .

Clnp , esis , isis

Skammstafanir fyrir:

iso proto p

þar sem p er eitt af ofangreindum samskiptareglum. Athugaðu að tcpdump gerir ófullnægjandi vinnu við að flokka þessar samskiptareglur.

expr relop expr

Sannt ef tengslin eiga sér stað, þar sem relop er einn af>, <,> =, <=, = ,! = Og expr er reiknings tjáning sem samanstendur af heiltalaþáttum (gefið upp í venjulegu C setningafræði) , -, *, /, &, |], lengdarmaður og sérstakar pakkagagnatengingar. Til að fá aðgang að gögnum í pakkanum skaltu nota eftirfarandi setningafræði:

proto [ expr : stærð ]

Proto er ein af eter, fddi, tr, ppp, miði, hlekkur, ip, arp, rarp, tcp, udp, icmp eða ip6 og gefur til kynna samskiptaregluna fyrir vísitöluaðgerðina. ( eter, fddi, tr, ppp, miði og hlekkur allir vísa til hlekkslagsins .) Athugaðu að tcp, udp og aðrar efri lagaprófunargerðir eiga aðeins við um IPv4, ekki IPv6 (þetta mun vera fastur í framtíðinni). Byte móti, miðað við tilgreint siðareglur lag, er gefið með expr . Stærð er valfrjáls og gefur til kynna fjölda bæti á vettvangi. Það getur verið annaðhvort einn, tveir eða fjórir og vanræksla einn. Lengdarrekstraraðili, tilgreindur með leitarorðinu, gefur lengd pakkans.

Til dæmis, ` eter [0] & 1! = 0 'veitir alla fjölhreyfla umferð. Tjáningin ' ip [0] & 0xf! = 5 ' veitir öllum IP pakka með valkostum. Tjáningin ` ip [6: 2] & 0x1fff = 0 'veitir aðeins óflekkað datagrams og frag núll af brotakenndum gagnapörum. Þessi athugun er óbeint beitt við tcp- og udp- vísitöluaðgerðirnar. Til dæmis þýðir tcp [0] alltaf fyrsta bæti TCP hausinn , og þýðir aldrei fyrsta bæti á millibili.

Sumar offsets og field gildi má gefa upp sem nöfn frekar en tölum. Eftirfarandi samskiptareglur fyrir samskiptareglur eru tiltækar: icmptype (ICMP tegundarsvæði), icmpcode (ICMP kóða reit) og tcpflags (TCP flagg sviði).

Eftirfarandi ICMP gerðir gilda eru: ICMP-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Eftirfarandi TCP gildissviðs gildi eru tiltækar: tcp-fin , tcp-syn , tcp-rst , tcp-ýta , tcp-push , tcp-ack , tcp-urg .

Hægt er að sameina grunnvatn með því að nota:

Svöruð hópur af frumkvöðlum og rekstraraðilum (sviga eru sérstakar fyrir skel og verða að flýja).

Neikvæðing (` ! 'Eða` ekki ').

Samtenging (` && 'eða` og ').

Skipti (` || 'eða` eða ').

Neikvæðni hefur hæsta forgang. Skipti og samskeyti hafa sömu forgang og tengja vinstri til hægri. Athugaðu að skýrar og táknmyndir, ekki hliðstæða, eru nú nauðsynlegar til að sameina.

Ef auðkenni er gefið án leitarorðs er gert ráð fyrir nýjustu leitarorði. Til dæmis,

ekki gestgjafi vs og ás

er stutt fyrir

ekki gestgjafi vs og gestgjafi ás

sem ætti ekki að rugla saman við

ekki (gestgjafi vs eða ás)

Tjáningargögn geta verið send til tcpdump sem annaðhvort eitt rök eða sem margfeldi rök, hvort sem er þægilegra. Almennt, ef tjáningin inniheldur Shell metakennur, er auðveldara að gefa það sem einn, vitnað rök. Margfeldi rök eru samhliða rými áður en þær eru flokka.

Dæmi

Til að prenta alla pakka sem koma til eða fara frá sundown :

tcpdump gestgjafi sundown

Til að prenta umferð milli helios og annað hvort heitt eða ás :

tcpdump gestgjafi helios og \ (heitt eða ás \)

Til að prenta alla IP-pakka milli Ace og hvaða gestgjafi nema Helios :

tcpdump IP Host Host og ekki helios

Til að prenta alla umferð á milli staðbundinna vélar og vélar á Berkeley:

tcpdump net ucb-eter

Til að prenta alla ftp umferð í gegnum gáttarhnappinn : (athugaðu að tjáningin er vitnað til að koma í veg fyrir að skelin (mis-) túlka svigain):

tcpdump 'gateway snup og (port ftp eða ftp-gögn)'

Til að prenta umferð sem hvorki er frábrugðin né ætluð til staðbundinna vélar (ef þú gengur í annað net, ætti þetta efni aldrei að gera það á netkerfi þínu).

tcpdump ip og ekki net localnet

Til að prenta upphafs- og lokapakka (SYN og FIN-pakka) í hverju TCP-samtali sem felur í sér staðbundna gestgjafi.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 og ekki src og dst net localnet '

Til að prenta IP pakka lengur en 576 bæti send í gegnum snup snup :

tcpdump 'gateway snup og IP [2: 2]> 576'

Til að prenta IP-útvarpsþættir eða margmiðlunarpakkningar sem ekki voru sendar í gegnum útvarpsþáttur eða multicast:

tcpdump 'eter [0] & 1 = 0 og ip [16]> = 224'

Til að prenta allar ICMP-pakka sem eru ekki echo-beiðnir / svör (þ.e. ekki pakka):

tmpdump 'icmp [icmptype]! = icmp-echo og icmp [icmptype]! = icmp-echoreply'

FRAMLEIÐSLA FORMAT

Framleiðsla tcpdump er siðareglur háð. Eftirfarandi er stutt lýsing og dæmi um flest snið.

Hleðslustigshópar

Ef valkosturinn '-e' er gefinn er prentunarnúmerið prentað út. Á ethernets eru uppruna- og ákvörðunarstaðir, siðareglur og pakkalengdir prentaðar.

Á FDDI netkerfi veldur '-e' valkosturinn tcpdump til að prenta 'rammastýring' reitinn, upptökustað og áfangastað og pakkalengd. Venjulegur pakki (eins og þær sem innihalda IP tölfræðilegar upplýsingar) eru `async 'pakkar með forgangsvirði á milli 0 og 7, til dæmis` async4 '. Slík Pakkarnir eru búnir að innihalda 802.2 Logical Link Control (LLC) pakkann; LLC header er prentað ef það er ekki ISO datagram eða svokölluð SNAP pakki.

Á Token Ring netkerfi, veldur '-e' valkosturinn tcpdump til að prenta 'aðgangsstýringu' og 'ramma stjórna' reitina, upphafs- og ákvörðunarstaðfang og pakkalengd. Eins og á FDDI netum er gert ráð fyrir að pakkar innihaldi LLC pakka. Óháð því hvort valkosturinn '-e' er tilgreindur eða ekki, eru upplýsingar um upprunaveituna prentuð fyrir pakkana sem eru send til meðferðar.

(ATH: Í eftirfarandi lýsingu er gert ráð fyrir þekkingu á SLIP samþjöppunarreikniritinu sem lýst er í RFC-1144.)

Á SLIP tenglum er átt við stefnuljós (`` I '' fyrir heimleið, `` O '' fyrir útleið), pakkategund og upplýsingar um þjöppun. Pakkategundin er prentuð fyrst. Þrjár gerðirnar eru ip , utcp og ctcp . Engar frekari hlekkurupplýsingar eru prentaðar fyrir IP- pakka. Fyrir TCP pakka er tengingarnúmerið prentað eftir gerðinni. Ef pakkinn er þjappaður er kóðunarhausinn prentaður út. Sérstök tilvik eru prentuð út sem * S + n og * SA + n , þar sem n er sú upphæð sem raðnúmerið (eða raðnúmer og ack) hefur breyst. Ef það er ekki sérstakt tilfelli eru núll eða fleiri breytingar prentaðar. Breyting er auðkennd með U (brýnari bendill), W (gluggi), A (ack), S (raðnúmer) og I (pakkagagn), fylgt eftir með delta (+ n eða -n) eða nýtt gildi (= n). Að lokum er fjöldi gagna í pakkanum og þjappað hauslengd prentuð.

Til dæmis sýnir eftirfarandi lína útkominn þjappað TCP pakki með óbeinni tengingarnúmeri; Akk hefur breyst um 6, raðnúmerið með 49 og pakkningarnúmerið með 6; Það eru 3 bæti af gögnum og 6 bæti þjappað haus:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP Pakkningar

Arp / rarp framleiðsla sýnir gerð beiðni og rök hennar. Sniðið er ætlað að vera sjálfskýringar. Hér er stutt sýni tekin frá upphafi rlogin frá hýsingu rtsg til að hýsa csam :

Arp hver-hefur csam segja RTSG Arp svara csam er-við CSAM

Fyrsti línan segir að rtsg sendi Arp pakka og biðja um Ethernet heimilisfang hýsingaraðila csam. Csam svarar með netfanginu sínu (í þessu dæmi eru netföng í húfur og netföng í lágstöfum).

Þetta myndi líta minna of mikið ef við höfðum gert tcpdump -n :

Arp hver-hefur 128.3.254.6 segja 128.3.254.68 Arp svar 128.3.254.6 er-á 02: 07: 01: 00: 01: c4

Ef við höfðum gert tcpdump -e , þá er sú staðreynd að fyrsta pakkinn er útvarpaður og seinni punkturinn til að benda á að vera sýnilegur:

RTSG Broadcast 0806 64: Arp sem hefur Csam segja rtsg CSAM RTSG 0806 64: Arp svara csam er-við CSAM

Fyrir fyrsta pakkann segir þetta að Ethernet upprunalegt heimilisfang sé RTSG, áfangastaður er útvarpsstöð, þar sem tegundarsniðið er hex 0806 (tegund ETHER_ARP) og heildarlengdin var 64 bæti.

TCP Pakki

(ATH: Eftirfarandi lýsing tekur til kynna TCP siðareglur sem lýst er í RFC-793. Ef þú þekkir ekki siðareglur, þá mun hvorki þessi lýsing né tcpdump vera mikið notaður fyrir þig.)

Almennt snið tcp siðareglur línu er:

src> dst: flagg gögn-seqno ack glugga brýn valkosti

Src og dst eru upphafs- og ákvörðunar IP-tölu og höfn. Fánar eru sumar samsetningar S (SYN), F (FIN), P (PUSH) eða R (RST) eða einn `. ' (engir fánar). Gögn-seqno lýsir hluta raðarsvæðisins sem gögnin eru í þessum pakka (sjá dæmi hér að neðan). Ack er raðnúmer næstu gagna, gert ráð fyrir aðra áttina á þessari tengingu. Gluggi er fjöldi bæti sem taka á móti biðminni rúm í aðra áttina á þessari tengingu. Urg gefur til kynna að gögn séu "brýn" í pakkanum. Valkostir eru tcp valkostir meðfylgjandi í hornhekkjum (td ).

Src, dst og fánar eru alltaf til staðar. Önnur svið byggjast á innihaldi tcp siðareglur hausins ​​og eru aðeins framleiðsla ef við á.

Hér er opið hluti rlogin frá hýsil rtsg til að hýsa csam .

rtsg.1023> csam.login: S 768512: 768512 (0) vinna 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 vinna 4096 rtsg.1023> csam. skrá inn: . akk 1 vinna 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 vinna 4096 csam.login> rtsg.1023:. akk 2 vinna 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 vinna 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 vinna 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 vinna 4077 bréf 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 vinna 4077 hvetja 1

Fyrsta línan segir að tcp höfn 1023 á rtsg sendi pakka til hafnarskrár á csam. S táknar að SYN flaggið var stillt. Pakkningarnúmerið var 768512 og það innihélt engin gögn. (Merkingin er `fyrsta: síðasta (nbytes) 'sem þýðir` raðnúmer fyrstu en en ekki síðast, sem er nbytes bæti notendagagna'.) Það var engin grunngreindur ack, tiltækur viðtökuglugginn var 4096 bæti og Það var stærsti hluti-stærð valkostur sem óskar eftir mss 1024 bæti.

Csam svarar með svipuðum pakka nema það felur í sér grísuguð ack fyrir rtsg's SYN. Rtsg þá heyrir Csam SYN. The `. ' þýðir að engar fánar voru settar. Pakkinn innihélt enga gögn svo að það er engin gögn raðnúmer. Athugaðu að ack raðnúmerið er lítið heiltala (1). Fyrsti tími tcpdump sér tcp `samtal ', það prentar röðarnúmerið úr pakkanum. Í síðari pakkningum samtalsins er mismunurinn á raðnúmeri núverandi pakka og þetta upphafsnúmer er prentað. Þetta þýðir að raðnúmer eftir fyrsta getið verið túlkað sem hlutfallsleg bætistaða í gagnasamtali samtala (með fyrstu gagnabreytingum hverrar áttar er `1 '). `-S 'mun hunsa þessa eiginleika og veldur því að upprunalegu raðnúmerin séu gefin út.

Á 6 línu, rtsg sendir csam 19 bæti gagna (bæti 2 til 20 í rtsg -> csam hlið samtala). PUSH flagrið er sett í pakkann. Á 7 línu, csam segir að það hafi borist gögn sem send eru af rtsg upp að en ekki með bæti 21. Flestir þessara gagna eru greinilega að sitja í falsa biðminni þar sem Csam hefur fengið glugga með 19 bæti minni. Csam sendir einnig eitt bæti gagna til rtsg í þessari pakkningu. Á 8. og 9. línu, csam sendir tvö bæti af brýn, ýtt gögn til rtsg.

Ef skyndimyndin var lítil nóg að tcpdump tók ekki fullt TCP hausinn, þá túlkar það eins mikið af hausnum eins og það getur og þá skýrslur `` [| tcp ] '' til að gefa til kynna að restin væri ekki hægt að túlka. Ef hausinn inniheldur svikinn valkostur (einn með lengd sem er annaðhvort of lítill eða fyrirfram í hausnum), skýrir tcpdump það sem `` slæmt val ] '' og túlkar ekki frekari valkosti (þar sem það er ómögulegt að segja þar sem þeir byrja). Ef hauslengdin gefur til kynna að valkostir séu til staðar en IP-tölulengdin lengi er ekki nógu lengi til að valkostirnir séu í raun og veru, skýrir tcpdump það sem `` [ slæmt hdr lengd ] ''.

Handtaka TCP-pakka með sérstökum fániskammtasamningum (SYN-ACK, URG-ACK, osfrv)

Það eru 8 bita í stykki bita hluta TCP hausnum:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Gerum ráð fyrir að við viljum horfa á pakka sem notaðar eru til að koma á TCP-tengingu. Muna að TCP notar 3-vega handshake siðareglur þegar það hleypir af stokkunum nýrri tengingu; tengistöðin með tilliti til TCP stjórna bita er

1) Caller sendir SYN

2) Viðtakandi bregst við SYN, ACK

3) Caller sendir ACK

Nú höfum við áhuga á að taka upp pakka sem hafa aðeins SYN bitinn sett (Skref 1). Athugaðu að við viljum ekki pakka úr skrefi 2 (SYN-ACK), bara einfaldan upphafssynjun. Það sem við þurfum er rétt sía tjáning fyrir tcpdump .

Muna uppbyggingu TCP haus án valkosta:

0 15 31 ----------------------------------------------- ------------------ | uppspretta höfn | ákvörðunar höfn | -------------------------------------------------- --------------- | raðnúmer | -------------------------------------------------- --------------- | staðfestingarnúmer | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | gluggastærð | -------------------------------------------------- --------------- | TCP stöðva | brýn bendill | -------------------------------------------------- ---------------

A TCP haus inniheldur yfirleitt 20 oktett af gögnum, nema valkostir séu til staðar. Fyrsti línan í grafinu inniheldur oktettur 0 - 3, annar línan sýnir oktettum 4 - 7 o.fl.

Byrjar að telja með 0, eru viðeigandi TCP stjórna bita í octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | gluggastærð | ---------------- | --------------- | --------------- | - --------------- | | 13. oktet | | |

Lítum á octet nr. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Þetta eru TCP stjórna bita sem við höfum áhuga á. Við höfum númerað bita í þessu octet frá 0 til 7, hægri til vinstri, þannig að PSH bita er hluti númer 3, en URG bita er númer 5.

Muna að við viljum fanga pakka með aðeins SYN setti. Við skulum sjá hvað gerist með oktat 13 ef TCP datagram kemur með SYN bita sett í haus:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Þegar litið er á stýripinnarinn sjáum við að aðeins hluti númer 1 (SYN) er stillt.

Miðað við að oktett númer 13 er 8-bita ótengdur heiltala í netbótum, er tvöfalt gildi þessa octet

00000010

og táknmynd hans er

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Við erum næstum búinn, því nú vitum við að ef aðeins SYN er stillt verður að vera nákvæmlega 2 gildið á 13. oktet í TCP hausnum, þegar það er túlkað sem 8-bita óritað heiltala í netbótum.

Þetta samband má gefa upp sem

tcp [13] == 2

Við getum notað þetta tjá sem síuna fyrir tcpdump til að horfa á pakka sem hafa aðeins SYN sett:

tcpdump -i xl0 tcp [13] == 2

Tjáningin segir "láta 13. octet af TCP datagram hafa aukastaf gildi 2", sem er nákvæmlega það sem við viljum.

Nú gerum við ráð fyrir að við þurfum að fanga SYN pakka, en okkur er alveg sama hvort ACK eða önnur TCP stjórna hluti er stillt á sama tíma. Við skulum sjá hvað gerist með octet 13 þegar TCP datagram með SYN-ACK setti kemur:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Nú eru bita 1 og 4 sett í 13. oktetið. Tvöfalt gildi oktet 13 er

00010010

sem þýðir að aukastaf

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Nú getum við ekki bara notað 'tcp [13] == 18' í tcpdump síu tjáningunni, því það myndi aðeins velja þá pakka sem hafa SYN-ACK sett, en ekki þá sem eru með aðeins SYN sett. Mundu að það skiptir okkur ekki máli hvort ACK eða einhver annar stjórnbúnaður sé stilltur svo lengi sem SYN er stilltur.

Til að ná markmiðum okkar, þurfum við að rökrétta OG tvöfalt gildi oktet 13 með einhverju öðru gildi til að varðveita SYN-bita. Við vitum að við viljum að SYN sé stillt í öllum tilvikum, þannig að við munum rökrétt og gildið í 13. oktet með tvöfalt gildi SYN:

00010010 SYN-ACK 00000010 SYN OG 00000010 (við viljum SYN) OG 00000010 (við viljum SYN) -------- -------- = 00000010 = 00000010

Við sjáum að þessi AND aðgerð skilar sömu niðurstöðu, óháð því hvort ACK eða annar TCP stjórna hluti er stillt. Táknmyndin fyrir OG-gildið og niðurstaðan af þessari aðgerð er 2 (tvöfaldur 00000010), þannig að við vitum að fyrir pakka með SYN-settu skal eftirfarandi samband vera satt:

((gildi oktet 13) OG (2)) == (2)

Þetta bendir okkur á tcpdump síu tjáningu

tcpdump -i xl0 'tcp [13] & 2 == 2'

Athugaðu að þú ættir að nota eitt tilvitnun eða bakslag í tjáningu til að fela sérstakt staf og AND ('&') frá skelinni.

UDP Pakki

UDP snið er sýnd af þessari rwho pakka:

actinide.who> broadcast.who: udp 84

Þetta segir að höfn sem á hýsingu actinide sendi utp datagram til höfn sem á hýsingu útsendingu , útvarpsþáttur internetið. Pakkinn inniheldur 84 bæti af notendagögnum.

Sumir UDP þjónusta er viðurkennd (frá höfnarnúmerinu eða ákvörðunarhöfnarnúmerinu) og upplýsingar um hærra stig siðareglur prentaðar. Einkum Þjónustuskilmálar (RFC-1034/1035) og Sun RPC símtöl (RFC-1050) til NFS.

UDP Nafn Server Beiðnir

(ATH: Eftirfarandi lýsingu tekur til kynna þekkingu á lénsþjónustusamningnum sem lýst er í RFC-1035. Ef þú þekkir ekki samskiptaregluna mun eftirfarandi lýsing birtast á grísku.)

Nafnþjónn beiðnir eru sniðin sem

src> dst: id op? fánar qtype qclass nafn (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Gestgjafi h2opolo spurði lénþjóninn á helios fyrir heimilisfangaskrá (qtype = A) sem tengist nafninu ucbvax.berkeley.edu. Fyrirspurnin var `3 '. '+' Gefur til kynna að endurtekin óskað flagg væri stillt. Fyrirspurnarlengdin var 37 bæti, þar með talið ekki UDP og IP siðareglur. Fyrirspurnin var eðlileg, Fyrirspurn , þannig að op svæðið var sleppt. Ef op hafði verið eitthvað annað, hefði það verið prentað á milli `3 'og` +'. Á sama hátt var qclass eðlilegt, C_IN , og sleppt. Öll önnur qclass hefði verið prentuð strax eftir 'A'.

Nokkrar frávik eru merktar og geta leitt til viðbótarreitna sem eru meðfylgjandi í fermetra sviga: Ef fyrirspurn inniheldur svar, eru yfirlitsyfirlit eða viðbótarskrárhluti, ancount , nscount eða arcount prentað sem `[ n a] ',` [ n n ] 'eða `[ n au]' þar sem n er viðeigandi telja. Ef eitthvað af svörunarbita er stillt (AA, RA eða rcode) eða eitthvað af 'verður að vera núll' er sett í bitum tveimur og þremur, `[b2 & 3 = x ] 'er prentað, þar sem x er hex-gildi hausbítur tveir og þrír.

UDP Name Server Responses

Svar við nafni miðlara er sniðið sem

src> dst: id op rcode flaggir a / n / au tegundar klasagögn (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Í fyrra dæmi svarar helios við fyrirspurn id 3 frá h2opolo með 3 svaraskrám , 3 nafni miðlara færslur og 7 viðbótar færslur. Fyrsta svaraskráin er tegund A (heimilisfang) og gögnin hennar eru netfang 128.32.137.3. Heildarstærð svarsins var 273 bæti, að undanskildu UDP og IP höfuð. Op (Spurning) og svarskóði (NoError) voru sleppt, eins og var í bekknum (C_IN) A-færslunnar.

Í öðru dæmi svarar helios við fyrirspurn 2 með svörunarkóða ótengdra léns (NXDomain) án svörunar, ein nöfn miðlara og engin heimildarskrár. The `* 'gefur til kynna að opinber svarbiti var stillt. Þar sem engar svör voru til voru engin tegund, flokkur eða gögn prentuð.

Aðrar fánategundir sem gætu birst eru `- '(recursion available, RA, ekki sett) og` |' (styttur skilaboð, TC, sett). Ef "spurningalistinn" inniheldur ekki nákvæmlega eina færslu er `[ n q] 'prentað.

Athugaðu að beiðnir og svör við nafnaþjóninum eru yfirleitt stór og sjálfgefið snaplen af 68 bæti getur ekki tekið nóg af pakkanum til að prenta. Notaðu -s flakk til að auka snaplen ef þú þarft að alvarlega rannsaka umferð um nöfn miðlara. ` s 128 'hefur unnið vel fyrir mig.

SMB / CIFS umskráningu

tcpdump inniheldur nú nokkuð víðtæka SMB / CIFS / NBT umskráningu fyrir gögn á UDP / 137, UDP / 138 og TCP / 139. Sumir frumstæðar umskráningar IPX og NetBEUI SMB gögn eru einnig gerðar.

Sjálfgefið er að nokkuð lágmarkskóðun sé gerð, með miklu nákvæmari afkóðun gert ef -v er notað. Vertu varað við því að með einum SMB-pakka má taka upp síðu eða meira, svo aðeins nota -v ef þú vilt virkilega allar gory smáatriði.

Ef þú ert að afkóða SMB fundur sem inniheldur unicode strengi þá gætir þú viljað setja umhverfisbreytu USE_UNICODE í 1. Plástur til sjálfvirka uppgötvun unicode srings væri velkominn.

Til að fá upplýsingar um SMB pakkningasnið og hvað allt er að segja er að finna á www.cifs.org eða pub / samba / sérstakar / skrá á uppáhalds samba.org spegil síðuna þína. SMB plástrarnir voru skrifaðar af Andrew Tridgell (tridge@samba.org).

NFS Beiðnir og svör

Sun NFS (Network File System) beiðnir og svör eru prentuð sem:

src.xid> dst.nfs: lén á args src.nfs> dst.xid: svaraðu ástandinu á niðurstöðum sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: svarað í lagi 40 lesslóð "../var" sushi.201b> wrl.nfs: 144 útlit fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: svarað í lagi 128 útlit fh 9,74 / 4134.3150

Í fyrstu línunni sendir gestgjafi sushi viðskipti með auðkenni 6709 til wrl (athugaðu að númerið sem fylgir src gestgjafi er viðskiptareikning, ekki upphafshöfnin ). Beiðnin var 112 bæti, að undanskildum UDP og IP heitum. Reksturinn var leselisti (lesa táknræn tengill) á skráahöndunum ( fh ) 21,24 / 10,731657119. (Ef einn er heppinn, eins og í þessu tilfelli, þá er hægt að túlka skráhandfangið sem stórt, minniháttar tæki númerapar og síðan innritunarnúmer og kynslóðarnúmer.) Wrl svarar "ok" með innihaldi hlekksins.

Í þriðja línunni spyr sushi wrl að leita upp nafnið ` xcolors 'í skráarsafni 9,74 / 4096.6878. Athugaðu að gögnin sem prentuð eru, fer eftir aðgerðartegundinni. Sniðið er ætlað að vera sjálfskýringar ef það er lesið í tengslum við NFS-samskiptareglur.

Ef -v (sönn) fáninn er gefinn, eru fleiri upplýsingar prentaðar. Til dæmis:

sushi.1372a> wrl.nfs: 148 lesa fh 21,11 / 12,195 8192 bæti @ 24576 wrl.nfs> sushi.1372a: svara ok 1472 lesa REG 100664 ids 417/0 sz 29388

(-v prentar einnig IP heiti TTL, ID, lengd og sundrungar sviðum sem hafa verið sleppt úr þessu dæmi.) Í fyrstu línu spyr sushi wrl til að lesa 8192 bæti frá skrá 21,11 / 12,195, á móti móti 24576. Wrl svarar "ok"; pakkinn sem er sýndur á annarri línunni er fyrsta brotið í svarinu og er því aðeins 1472 bæti langur (hinir bæti munu fylgja í síðari brotum en þessi brot hafa ekki NFS eða jafnvel UDP haus og má því ekki prenta, eftir því hvaða síu tjáningu er notuð). Vegna þess að -v-flipinn er gefinn eru nokkrar skráareiginleika (sem eru skilaðar til viðbótar við skráargögnin) prentuð: skráartegundin (`` REG '', fyrir venjulegan skrá), skráarhamur (í oktal) the uid og gid, og skráarstærð.

Ef -v fáninn er gefinn meira en einu sinni eru jafnvel fleiri upplýsingar prentaðar.

Athugaðu að NFS beiðnir eru mjög stórar og mikið af smáatriðum verður ekki prentað nema snaplen sé aukin. Prófaðu að nota ` -s 192 'til að horfa á NFS-umferð.

NFS svarspjöld skilgreina ekki sérstaklega RPC aðgerðina. Í staðinn heldur tcpdump eftir beiðnum `` nýlegra '' og samsvarar þeim við svörin með viðskiptareikningnum. Ef svarið fylgist ekki náið með samsvarandi beiðni, gæti það ekki verið samhæft.

AFS beiðnir og svör

Transarc AFS (Andrew File System) beiðnir og svör eru prentuð sem:

src.sport> dst.dport: rx pakkettegund src.sport> dst.dport: rx pakkettegundarsímtal símtalanafn args src.sport> dst.dport: rx pakka-gerð þjónustuboð símtala nafn args elvis. 7001> pike.afsfs: rx gögn fs kalla endurnefna gamla fid 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx gögn fs svara endurnefna

Í fyrstu línunni sendir gestgjafi Elvis RX pakkann í Pike. Þetta var RX gagnapakki við fs (fileserver) þjónustuna og er byrjun RPC símtala. RPC símtalið var endurnefna, með gamla skráarskráarnúmer 536876964/1/1 og gömul skráarheiti `.newsrc.new 'og nýtt skráarleitarnúmer 536876964/1/1 og nýtt heiti` `. newsrc '. Gestgjafinn svarar með RPC svar á endurnefna símtalinu (sem tókst vel vegna þess að það var gagnapakki og ekki abortpakki).

Almennt eru öll AFS RPCs afkóðuð að minnsta kosti með RPC símtali. Flestir AFS RPCs hafa að minnsta kosti nokkrar af rökunum afkóðað (almennt aðeins "áhugaverðar" rök, fyrir einhverja skilgreiningu áhugaverðra).

Sniðið er ætlað að lýsa sjálfum sér, en það mun líklega ekki vera gagnlegt fyrir fólk sem er ekki kunnugt um starfsemi AFS og RX.

Ef tvisvar eru -v (sennilega) fást, eru staðfestingarpakkningar og viðbótarhausar upplýsingar prentaðar, svo sem RX-símtali, hringingarnúmer, raðnúmer, raðnúmer og RX-pakka fánar.

Ef -v fáninn er gefinn tvisvar eru fleiri upplýsingar prentaðir, svo sem RX símtali, raðnúmer og RX pakki fánar. The MTU samningaviðræður eru einnig prentaðar úr RX ack pakka.

Ef -v fáninn er gefinn þrisvar sinnum eru öryggisvísitölur og þjónustunúmer prentaðar.

Villukóðar eru prentaðar fyrir pakkana sem falla frá banni, að undanskildum Ubik þjónustubakkar (vegna þess að bannaðar pakkningar eru notaðir til að tákna já atkvæði fyrir Ubik siðareglur).

Athugaðu að AFS beiðnir eru mjög stórar og mörg rökin verða ekki prentuð nema snaplen sé aukin. Prófaðu að nota ` -s 256 'til að horfa á AFS umferð.

AFS svarspjöld skilgreina ekki sérstaklega RPC aðgerðina. Í staðinn heldur tcpdump eftir beiðnum `` nýlegra '' og samsvarar þeim við svarin með því að nota númerið og þjónustunúmerið. Ef svarið fylgist ekki náið með samsvarandi beiðni, gæti það ekki verið samhæft.

KIP Appletalk (DDP í UDP)

Appletalk DDP pakkar innhlaðnar í UDP datagrams eru de-encapsulated og sorphaugur sem DDP pakka (þ.e. öll UDP haus upplýsingar eru fargað). Skráin /etc/atalk.names er notuð til að þýða netkerfis- og hnútatölu í nöfn. Línur í þessari skrá hafa formið

númer heiti 1.254 eter 16.1 icsd-net 1.254.110 ace

Fyrstu tvær línur gefa nöfn appletalk neta. Þriðja línan gefur nafn tiltekins gestgjafa (gestgjafi er aðgreindur frá neti með 3. oktet í númerinu - netnúmer verður að hafa tvær oktettir og gestgjafi tala verður að hafa þrjár oktettir.) Númerið og nafnið ætti að vera aðskilið eftir hvítum blóði (blanks eða flipa). Skráin /etc/atalk.names getur innihaldið eyða línum eða athugasemdarlínum (línum sem byrja á `# ').

Appletalk heimilisföng eru prentuð á forminu:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Ef /etc/atalk.names er ekki til eða inniheldur ekki færslu fyrir sumar netkerfi fyrir netkerfi / net, eru tölur prentaðir með tölustafi.) Í fyrra dæmi er NBP (DDP port 2) á netinu 144.1 hnút 209 er að senda til hvað sem er að hlusta á höfn 220 af net icsd hnút 112. Önnur lína er sú sama nema fullt nafn uppruna hnút er þekkt (`skrifstofa '). Þriðja línan er send frá höfn 235 á net jssmag hnút 149 til að senda út á icsd-net NBP port (athugaðu að útsendingarnúmerið (255) er táknað með nafni nafni án fjölda númera - af þessum sökum er það góð hugmynd til að halda hnút nöfn og net nöfn aðskilin í /etc/atalk.names).

NBP (nafn bindandi samskiptareglur) og ATP (Appletalk viðskipti samskiptareglur) pakkar innihalda innihald þeirra túlkað. Aðrar samskiptareglur afrita bara siðareglur nafn (eða númer ef ekkert nafn er skráð fyrir siðareglur) og pakkastærð.

NBP pakkar eru formaðir eins og eftirfarandi dæmi:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-svar 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-svar 190: "techpit: LaserWriter @ *" 186

Fyrsti línan er nafnbeiðnibeiðni um leysistölvur sem sendar eru af net icsd gestgjafi 112 og senda út á neti jssmag. Nbp id fyrir útlitið er 190. Í annarri línunni er svarið fyrir þessari beiðni (athugaðu að það hefur sama auðkenni) frá gestgjafi jssmag.209 og segist hafa það rithöfundar auðlind sem heitir "RM1140" skráð á höfn 250. Þriðja línan línu er annað svar við sömu beiðni að segja gestgjafi techpit hefur leysir rithöfundur "techpit" skráð á höfn 186.

ATP pakkaformatting er sýnt með eftirfarandi dæmi:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 hefst viðskiptareikning 12266 með hýsingu helios með því að biðja um allt að 8 pakka (`<0-7> '). Heitarnúmerið í lok línunnar er gildi 'userdata'-reitarinnar í beiðninni.

Helios bregst við 8 512 bæti pakka. `` Tölustafinn 'sem fylgir viðskiptakennslunni gefur pakkningarnúmerið í viðskiptunum og númerið í sambandi er fjöldi gagna í pakkanum, að undanskildum atphausanum. The * * 'á pakka 7 gefur til kynna að EOM bita var stillt.

Jssmag.209 biður þá um að pakkar 3 og 5 verði sendar aftur. Helios sendi þá aftur og sendi þá. Að lokum byrjar Jssmag.209 næsta beiðni. The * * 'á beiðni gefur til kynna að XO (`nákvæmlega einu sinni') var ekki stillt.

IP brot

Fragmented Internet datagrams eru prentaðir sem

(frag id : stærð @ offset +) (frag id : size @ offset )

(Fyrsti myndin gefur til kynna að það séu fleiri brot. Annað gefur til kynna að þetta sé síðasta brotið.)

Id er brot id. Stærð er brotstærð (í bæti) að undanskildum IP-hausnum. Offset er offset þetta brot er (í bæti) í upprunalegu datagraminu.

Upplýsingarnar um brot eru framleiðsla fyrir hvert brot. Fyrstu brotið inniheldur háttsettari samskiptareglur og frag info er prentað eftir upplýsingar um siðareglur. Brot eftir fyrstu innihalda ekki hærra stig siðareglur haus og frag info er prentað eftir uppruna og áfangastað heimilisföng. Til dæmis, hér er hluti af ftp frá arizona.edu til lbl-rtsg.arpa yfir CSNET tengingu sem virðist ekki eiga 576 bæti gagnasöfn:

arizona.ftp-gögn> rtsg.1170:. 1024: 1332 (308) akk 1 vinna 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-gögn:. akk 1536 vinna 2560

Það eru nokkrir hlutir til að hafa í huga hér: Í fyrsta lagi heimilisföng í 2. línu eru ekki hafnarnúmer. Þetta er vegna þess að upplýsingar um TCP samskiptareglur eru allt í fyrsta brotinu og við höfum ekki hugmynd um hvað höfn eða raðnúmer er þegar við prenta síðari brotin. Í öðru lagi er tcp röð upplýsinga í fyrstu línunni prentuð eins og það væri 308 bæti af notendagögnum þegar í raun eru 512 bæti (308 í fyrsta frag og 204 í sekúndu). Ef þú ert að leita að götum í röðarsvæðinu eða reyna að passa upp acks með pakka getur þetta lýst þér.

Pakki með IP ekki brotið fána er merkt með slóð (DF) .

Tímastamps

Sjálfgefið er að allar framleiðslulínur séu á undan tímamælinum. Tímamælinn er núverandi klukkutími í forminu

hh: mm: ss.frac

og er eins nákvæm og klukka kjarnains. Tímamælinn endurspeglar þann tíma sem kjarnainn sá fyrst pakkann. Engar tilraunir eru gerðar til að taka tillit til tímalagsins á milli þess þegar netkerfisviðmótið fjarlægði pakkann úr vírinu og þegar kjarninn sem viðheldur "nýja pakkanum" trufli.

SJÁ EINNIG

umferð (1C), nit (4P), bpf (4), skjal (3)

Mikilvægt: Notaðu stjórn mannsins ( % maður ) til að sjá hvernig stjórn er notuð á tölvunni þinni.