Tcpdump - Linux Command - Unix Command

ISEM

tcpdump - it-traffiku ta 'dump f'netwerk

SINOPSI

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F file ]

[ -i interface ] [ -m modulu ] [ -r file ]

[ -s snaplen ] [ -T- tip ] [ -U utent ] [ -w fajl ]

[ -E xi ħaġa: sigrieta ] [ espressjoni ]

DESKRIZZJONI

Tcpdump jimmarka l-intestaturi ta 'pakketti fuq interface tan-netwerk li jaqblu ma' l- espressjoni booleana. Tista 'titħaddem ukoll bl-bandiera -w , li tikkawża li tiffranka d-dejta tal-pakkett f'fajl għal analiżi aktar tard, u / jew mar-r-bandiera, li tikkawża li tinqara minn fajl tal-pakkett salvat minflok taqra pakketti minn interface tan-netwerk. Fil-każijiet kollha, pakketti li jaqblu ma 'l- espressjoni biss jiġu pproċessati minn tcpdump .

Tcpdump se, jekk mhux imexxi bil-bandiera -C , ikompli jaqbad pakketti sakemm jiġi interrott minn sinjal SIGINT (iġġenerat, per eżempju, billi jittajpja l-karattru ta 'interruzzjoni tiegħek, tipikament ikkontrolla -C) jew sinjal SIGTERM (ġeneralment iġġenerat bil- (1) kmand); jekk titħaddem bil-bandiera -c , se taqbad pakketti sakemm tiġi interrotta minn sinjal SIGINT jew SIGTERM jew in-numru speċifikat ta 'pakketti jkunu ġew ipproċessati.

Meta tcpdump tispiċċa bil-qbid ta 'pakketti, hija tirrapporta għadd ta':

pakketti `` riċevuti permezz ta 'filtru' '(it-tifsira ta' dan tiddependi fuq is-sistema operattiva li fuqha qed taħdem tcpdump , u possibbilment fuq il-mod kif l-OS kien konfigurat - jekk filtru kien speċifikat fuq il-linja tal-kmand, f'xi OSs pakketti irrispettivament minn jekk kinux imqabbla mill-espressjoni tal-filtru, u fuq SO oħra tikkalkula biss pakketti li ġew imqabbla mill-espressjoni tal-filtru u ġew ipproċessati minn tcpdump );

pakketti `` niżel bil-qalba '' (dan huwa n-numru ta 'pakketti li ntilqu, minħabba nuqqas ta' spazju buffer, mill-mekkaniżmu ta 'pakkett ta' qbid fl-OS li fuqhom tcpdump qed jaħdem, jekk l-OS jirrapporta dik l-informazzjoni lill-applikazzjonijiet; jekk le, se jiġi rrappurtat bħala 0).

Fuq pjattaformi li jsostnu s-sinjal SIGINFO, bħall-biċċa l-kbira ta 'BSDs, se jirrapporta dawk l-għadd meta jirċievi sinjal SIGINFO (ġġenerat, per eżempju, billi jtajpja l-karattru "status" ", tipikament jikkontrolla-T) u jkompli jiġbor pakketti .

Pakketti ta 'qari minn interface tan-netwerk jistgħu jeħtieġu li għandek privileġġi speċjali:

Taħt SunOS 3.x jew 4.x b'NIT jew BPF:

Int trid ikollok aċċess għal / dev / nit jew / dev / bpf * .

Taħt Solaris ma 'DLPI:

Irid ikollok taqra / tikteb aċċess għan-netwerk pseudo-apparat, eż / dev / le . Mill-inqas f'xi verżjonijiet ta 'Solaris, madankollu, dan mhux biżżejjed biex jippermetti tcpdump li jaqbad b'mod promiscu; fuq dawk il-verżjonijiet ta 'Solaris, int trid tkun l-għerq, jew tcpdump għandha tkun installata setuid sa għerq, sabiex taqbad b'mod promiscu. Innota li, fuq ħafna (x'aktarx kollha) interfaces, jekk ma taqbiżx fil-mod promiscuous, ma tarax pakketti ħerġin, għalhekk qbid li ma jsirx b'mod promisku ma jistax ikun utli ħafna.

Taħt HP-UX ma 'DLPI:

Int trid tkun l-għerq jew it- tcpdump għandha tkun installata setuid sa għerq.

Taħt IRIX ma 'snoop:

Int trid tkun l-għerq jew it- tcpdump għandha tkun installata setuid sa għerq.

Taħt Linux:

Int trid tkun l-għerq jew it- tcpdump għandha tkun installata setuid sa għerq.

Taħt Ultrix u Digital UNIX / Tru64 UNIX:

Kwalunkwe utent jista 'jaqbad it-traffiku tan-netwerk bi tcpdump . Madankollu, l-ebda utent (lanqas is-super-utent) jista 'jaqbad b'mod promiscuous fuq interface sakemm is-super-utent ippermetta tħaddim ta' mod promisku fuq dik l-interface billi juża pfconfig (8) u l-ebda utent (lanqas is-superusu ) jistgħu jaqbdu t-traffiku unicast riċevut minn jew mibgħut mill-magna fuq interface sakemm is-super-utent ippermetta l-operazzjoni ta 'kopja-modalità kollha fuq dik l-interfaċċja bl-użu ta' pfconfig , għalhekk qbid ta 'pakkett utli fuq interface probabbilment jeħtieġ li jew mod promisku jew kopja It-tħaddim tal-modalità kollha, jew iż-żewġ modi ta 'tħaddim, għandu jitħaddem fuq dik l-interface.

Taħt BSD:

Int trid ikollok aċċess għal / dev / bpf * .

Il-qari ta 'fajl tal-pakkett salvat ma jeħtieġx privileġġi speċjali.

GĦAŻLIET

-a

Tentattiv biex tikkonverti n-netwerk u xxandar indirizzi għal ismijiet.

-c

Ħruġ wara li tirċievi pakketti tal- għadd .

-C

Qabel ma tikteb pakkett mhux ipproċessat għal file ta 'salvataġġ, iċċekkja jekk il-fajl huwiex bħalissa akbar minn file_size u, jekk iva, għalaq il-savefile kurrenti u fetaħ waħda ġdida. Savefiles wara l-ewwel savefile jkollhom l-isem speċifikat bl-bandiera w , b'numru wara dan, li jibdew minn 2 u jkomplu 'l fuq. L-unitajiet tal- file_size huma miljuni ta 'bytes (1,000,000 bytes, mhux 1,048,576 bytes).

-d

Iddump il-kodiċi ta 'tqabbil ta' pakketti kkumpilat f'forma li tinqara mill-bniedem sal-produzzjoni standard u tieqaf.

-dd

Kodiċi ta 'twaħħil ta' pakkett ta 'żibel bħala framment ta' programm C.

-ddd

Kodiċi ta 'tqabbil ta' pakketti ta 'żibel bħala numri deċimali (preċedut b'għadd).

-e

Stampa l-intestatura tal-livell tal-link fuq kull linja ta 'dump.

-E

Uża xi ħaġa: sigriet għal pakketti ta 'decrypting IPsec ESP. L-algoritmi jistgħu jkunu des- cbc , 3des-cbc , blowfish- cbc , rc3-cbc , cast128-cbc , jew xejn . In-nuqqas huwa des-cbc . Il-ħila li jiddekripta pakketti hija preżenti biss jekk tcpdump ġiet ikkumpilata b'kriptografija ppermettiet. sigriet it -test ASCII għall-buttuna sigrieta ta 'l-ESP. Ma nistgħux nieħdu valur binarju arbitrarju f'dan il-mument. L-għażla tassumi RFC2406 ESP, mhux RFC1827 ESP. L-għażla hija biss għal skopijiet ta 'debugging, u l-użu ta' din l-għażla b'ċavetta tassew 'sigrieta' huwa skoraġġut. Billi tippreżenta ċ-ċavetta sigrieta IPsec fuq il-linja tal-kmand tagħmilha viżibbli għal oħrajn, permezz ta ' ps (1) u okkażjonijiet oħra.

-f

L-indirizzi tal-internet "barranin" jiġu indirizzati numerikament aktar milli simbolikament (din l-għażla hija maħsuba biex tixjieħ ħsara serja fil-moħħ fis-server tas-server ta 'Sun --- ġeneralment tinfeda dejjem traduzzjoni ta' numri tal-internet mhux lokali).

-F

Uża l- fajl bħala input għall-espressjoni tal-filtru. Espressjoni addizzjonali mogħtija fuq il-linja tal-kmand hija injorata.

-i

Isma 'fuq l- interface . Jekk mhux speċifikat, tcpdump jagħmel tfittxijiet il-lista ta 'interface tas-sistema għall-inqas numru, ikkonfigurat interface up (eskluża loopback). Ir-rabtiet jinkisru billi tintgħażel il-logħba l-aktar kmieni.

F'sistemi Linux b'2 qliebi 2.2 jew aktar, argument ta ' interfaċċja ta' '' kwalunkwe '' jista 'jintuża biex jaqbad pakketti mill-interfaces kollha. Innota li l-qabda fuq it-tagħmir ''kull' 'ma jsirx b'mod promiscu.

-l

Agħmel linja stdout buffered. Utli jekk trid tara d-data waqt li tinqabad. Pereżempju,
`` tcpdump -l | tee dat '' jew `` tcpdump -l> dat & tail -f dat ''.

-m

Tagħbija definizzjonijiet tal-modulu MIB SMI mill- modulu tal- fajl. Din l-għażla tista 'tintuża diversi drabi biex tagħbija diversi moduli MIB fi tcpdump .

-n

Ma jikkonvertix l-indirizzi ospitanti għall-ismijiet. Dan jista 'jintuża biex jiġu evitati lookups tad-DNS.

-nn

Ma jikkonvertix il-protokoll u n-numri tal-port, eċċ.

-N

Tippreżentax il-kwalifika ta 'l-isem tad-dominju ta' Eż., Jekk tagħti din il-bandiera allura tcpdump se tipprintja `` nic '' minflok `` nic.ddn.mil ''.

-O

M'għandekx tmexxi l-ottimizzant tal-kodiċi tal-pakkett. Dan huwa utli biss jekk tissuspetta bug fl-optimizer.

-p

Tpoġġix l -interface f'modalità promiska. Innota li l-interfaċċja tista 'tkun mod promiscu għal xi raġuni oħra; għalhekk, '-p' ma tistax tintuża bħala abbrevjazzjoni għal 'ether host (local-hw-addr) jew ether broadcast'.

-q

Ħeffa (kwiet?) Output. Stampa anqas informazzjoni dwar il-protokoll hekk il-linji tal-ħruġ huma iqsar.

-R

Assumi li pakketti ESP / AH ikunu bbażati fuq speċifikazzjoni antika (RFC1825 sa RFC1829). Jekk speċifikat, tcpdump mhux se jistampa kamp ta 'prevenzjoni ta' replay. Peress li m'hemm l-ebda qasam tal-verżjoni tal-protokoll fl-ispeċifikazzjoni ESP / AH, tcpdump ma jistax jiddeduċi l-verżjoni tal-protokoll ESP / AH.

-r

Aqra pakketti minn fajl (li nħoloq bl-għażla -w). L-input standard jintuża jekk il- fajl huwa `` - ''.

-S

Stampa numri assoluti, aktar milli relattivi, tas-sekwenza TCP.

-s

Snarf snaplen bytes ta 'data minn kull pakkett pjuttost milli n-nuqqas ta' 68 (bin-NIT ta 'SunOS, il-minimu huwa fil-fatt 96). 68 bytes huma adegwati għal IP, ICMP, TCP u UDP iżda jistgħu jaqbżu l-informazzjoni tal-protokoll minn server ta 'l-isem u pakketti NFS (ara hawn taħt). Pakketti maqtugħin minħabba stampa limitata huma indikati fl-output b'` `[| proto ] '', fejn il- proto huwa l-isem tal-livell ta 'protokoll li fih seħħ it-tronk. Innota li t-teħid ta 'stampi akbar kemm iżid l-ammont ta' ħin li jieħu biex jipproċessa l-pakketti u, effettivament, inaqqas l-ammont ta 'buffering ta' pakketti. Dan jista 'jikkawża li jintilfu pakketti. Għandek tillimita snaplen għall-iżgħar numru li se taqbad l-informazzjoni tal-protokoll li tkun interessat fiha. Twaqqif ta ' snaplen sa 0 ifisser li tuża t-tul meħtieġ biex taqbad pakketti sħaħ.

-T

Pakketti ta 'forza magħżula bi " espressjoni " għandhom jiġu interpretati bħala t- tip speċifikat. Tipi magħrufa bħalissa huma cnfp (protokoll Cisco NetFlow), rpc (Remote Procedure Call), rtp (protokoll ta 'Applikazzjonijiet f'ħin reali), rtcp (protokoll ta' kontroll ta 'Applikazzjonijiet f'ħin reali), snmp (Simple Network Management Protocol), vażett ), u wb (White Board distribwit).

-t

M'għandekx tipprintja timestamp fuq kull linja ta 'dump.

-tt

Stampa stampata mhux ifformattjata fuq kull linja ta 'dump.

-U

Qered il-privileġġi tar-rawnd u jibdel l-ID tal- utent għall- utent u l-ID tal-grupp mal-grupp primarju tal- utent .

Nota! Red Hat Linux awtomatikament jaqa 'l-privileġġi lill-utent `` pcap' 'jekk xejn ma jkun speċifikat.

-ttt

Stampa delta (f'mikro-sekondi) bejn linja kurrenti u dik ta 'qabel fuq kull linja ta' dump.

-tttt

Stampa timestamp f'format awtomatiku pproċediet bid-data fuq kull linja ta 'dump.

-u

Stampa manki NFS mhux iddikjarati.

-v

(Ftit aktar) output verbose. Pereżempju, il-ħin biex wieħed jgħix, l-identifikazzjoni, it-tul totali u l-għażliet f'pakkett IP huma stampati. Jippermetti wkoll kontrolli addizzjonali ta 'integrità tal-pakkett bħal verifikar tal-checksum tal-header IP u ICMP.

-vv

Saħansitra aktar riżultati verbali. Per eżempju, oqsma addizzjonali huma stampati minn pakketti ta 'risposta NFS, u pakketti SMB huma kompletament dekodifikati.

-vvv

Saħansitra aktar riżultati verbali. Pereżempju, l-għażliet ta 'telnet SB ... SE huma stampati b'mod sħiħ. Bl-għażliet ta ' Telnet huma stampati f'hex ukoll.

-w

Ikteb il-pakketti mhux ipproċessati għall- fajl aktar milli l-analiżi u l-istampar tagħhom. Aktar tard jistgħu jiġu stampati bl-għażla -r. Produzzjoni standard tintuża jekk il- fajl huwa `` - ''.

-x

Stampa kull pakkett (mingħajr l-intestatura tal-livell tal-link tagħha) f'hex. L-iżgħar tal-pakkett sħiħ jew bytes snaplen jiġu stampati. Innota li dan huwa l-pakkett sħiħ ta 'saff ta' rabta, għalhekk għal saffi ta 'rabta li pad (eż. Ethernet), il-bytes tal-ikkuttunar se jiġu stampati wkoll meta l-pakkett ta' saff ogħla huwa iqsar mill-ikkuttunar meħtieġ.

-X

Meta tipprintja l-hex, print ascii wisq. Għalhekk jekk -x huwa stabbilit ukoll, il-pakkett huwa stampat f'hex / ascii. Dan huwa ferm handy għall-analiżi ta 'protokolli ġodda. Anke jekk -x ma jkunx stabbilit ukoll, xi partijiet ta 'xi pakketti jistgħu jiġu stampati f'hex / ascii.

espressjoni

jagħżel liema pakketti se jkunu l-oġġett ta 'dumping. Jekk ma tingħata l-ebda espressjoni , il-pakketti kollha fuq ix-xibka jkunu ddampjati. Inkella, pakketti biss li l- espressjoni tagħhom hija "vera" se jkunu l-oġġett ta 'dumping.

L- espressjoni tikkonsisti minn primitive wieħed jew aktar . Primitives normalment jikkonsistu f'id (isem jew numru) preċedut minn wieħed jew aktar kwalifikaturi. Hemm tliet tipi differenti ta 'kwalifikant:

tip

kwalifikaturi jgħidu x'tip ta 'ħaġa jirreferi għall-isem jew in-numru id. It-tipi possibbli huma ospitanti , netti u port . Eżempju, 'host foo', 'nett 128.3', 'port 20'. Jekk ma hemm l-ebda kwalifikatur tat-tip, wieħed jassumi ospitanti .

dir

kwalifikaturi jispeċifikaw direzzjoni partikolari ta 'trasferiment lejn u / jew mill- id . Id-direzzjonijiet possibbli huma src , dst , src jew dst u src u dst . Eżempju, "src foo", "dst net 128.3", "src jew dst port ftp-data". Jekk ma jkun hemm l-ebda kwalifikatur tad-dir, is- src jew dst jiġi assunt. Għal saffi ta 'rabta "null" (jiġifieri protokolli punt sa punt bħal slip) il - kwalifiki ta' dħul u ħruġ jistgħu jintużaw biex tiġi speċifikata d-direzzjoni mixtieqa.

proto

kwalifikaturi jirrestrinġu l-logħba għal protokoll partikolari. Props possibbli huma: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp u udp . Eżempju, "ether src foo", "arp net 128.3", "port tcp 21". Jekk m'hemm l-ebda proto-qualifier, il-protokolli kollha konsistenti mat-tip huma preżunti. Pereżempju, "src foo" tfisser "(ip jew arp jew rarp) src foo" (minbarra dan ta 'l-aħħar mhijiex sintassi legali), "bar nett" tfisser "(jew arp jew rarp) bar nett" u "port 53" tfisser Port (tcp jew udp) 53 '.

[`fddi 'fil-fatt hija alias għal' ether '; l-parser jittrattahom b'mod identiku bħala li jfisser "il-livell tal-link tad-data użat fuq l-interface speċifikata tan-netwerk." L-intestaturi FDDI fihom indirizzi ta 'sors u destinazzjoni simili għal Ethernet, u ħafna drabi jkun fihom tipi ta' pakkett bħal Ethernet, sabiex tkun tista 'tiffiltra fuq dawn l-oqsma FDDI l-istess bħall-oqsma Ethernet analogi. L-intestaturi FDDI fihom ukoll oqsma oħra, iżda ma tistax issemmihom espliċitament f'espressjoni ta 'filtru.

Bl-istess mod, `tr 'hija alias għal' ether '; id-dikjarazzjonijiet tal-paragrafu ta 'qabel dwar l-intestaturi FDDI japplikaw ukoll għall-intestaturi ta' Ring ta 'Token.]

Minbarra dak ta 'hawn fuq, hemm xi kliem speċjali' primittiv 'li ma jsegwux il-mudell: portal , xandir , espressjonijiet inqas , akbar u aritmetiċi. Dawn kollha huma deskritti hawn taħt.

Espressjonijiet tal-filtri aktar kumplessi huma mibnija bl-użu tal-kliem u , jew u mhux biex jikkombinaw primitives. Eżempju, 'host foo u mhux ftp tal-port u mhux ftp-data tal-port'. Biex tiffranka l-ittajpjar, listi identiċi ta 'kwalifiki jistgħu jitħallew barra. Eż., `Tcp dst port ftp jew ftp-data jew domain 'huwa eżattament l-istess bħal' tpc dst port ftp jew tcp dst port ftp-data jew tcp dst domain tal-port '.

Primitives permessi huma:

Host ospitanti dst

Veru jekk il-qasam tad-destinazzjoni IPv4 / v6 tal-pakkett huwa ospitanti , li jista 'jkun indirizz jew isem.

host ospitanti src

Veru jekk il-qasam tas-sors IPv4 / v6 tal-pakkett hu ospitanti .

host host

Veru jekk is-sors ta 'l-IPv4 / v6 jew id-destinazzjoni tal-pakkett huma ospitanti . Kwalunkwe waħda mill-espressjonijiet ospitanti ta 'hawn fuq tista' tiġi preċeduta bil-kliem kjavi, ip , arp , rarp , jew ip6 bħal fi:

ip host host

li huwa ekwivalenti għal:

etere proto \ ip u host host

Jekk il- host huwa isem b'indirizzi IP multipli, kull indirizz jiġi kkontrollat ​​għal taqbila.

ether dst ehost

Veru jekk l-indirizz tad-destinazzjoni ethernet hu ehost . Ehost jista 'jkun jew isem minn / eċċ / eteri jew numru (ara eteri (3N) għal format numeriku).

Ether src ehost

Veru jekk l-indirizz tas-sors tal-ethernet hu ehost .

ether host ehost

Veru jekk is-sors tal-ethernet jew l-indirizz tad-destinazzjoni huwa ehost .

ospitanti ta ' gateway

Veru jekk il-pakkett użat ospitanti bħala portal. Jiġifieri s-sors tal-ethernet jew l-indirizz tad-destinazzjoni kien ospitanti iżda la s-sors tal-IP u lanqas id-destinazzjoni tal-IP ma kienu ospitanti . Ospitanti għandu jkun isem u għandu jinstab kemm mill-mekkaniżmu ta 'riżoluzzjoni ta' l-indirizz host-name-to-IP tal-magna (fajl ta 'isem tal-host, DNS, NIS, eċċ) u mir-riżoluzzjoni tal-host-name-to-Ethernet mekkaniżmu (/ eċċ / eteri, eċċ.). (Espressjoni ekwivalenti hija

ether host ehost u mhux host host

li tista 'tintuża bl-ismijiet jew in-numri għall- host / ehost ). Din is-sintassi ma taħdimx fil-konfigurazzjoni ppermettiet IPv6 f'dan il-mument.

dst nett nett

Veru jekk l-indirizz tad-destinazzjoni IPv4 / v6 tal-pakkett għandu numru ta 'netwerk ta' xibka . Net jista 'jkun isem minn / etc / networks jew numru ta' netwerk (ara n-netwerks (4) għad-dettalji).

src nett nett

Veru jekk l-indirizz tas-sors IPv4 / v6 tal-pakkett għandu numru ta 'netwerk ta' xibka .

nett nett

Veru jekk is-sors ta 'l-IPv4 / v6 jew l-indirizz tad-destinazzjoni tal-pakkett għandhom numru ta' netwerk ta ' xibka .

maskla netta ta ' maskra net maskra

Veru jekk l-indirizz tal-IP jaqbel man- netmask speċifiku. Jista 'jkun ikkwalifikat bis- src jew dst . Innota li din is-sintassi mhix valida għall-IPv6 nett .

nett / len

Veru jekk l-indirizz ta 'l-IPv4 / v6 jaqbilx max- xibka bil- len biċċa netmask wiesgħa. Jista 'jkun ikkwalifikat bis- src jew dst .

port tal- port dst

Veru jekk il-pakkett hu ip / tcp, ip / udp, ip6 / tcp jew ip6 / udp u għandu valur tal- port tad-destinazzjoni tal- port . Il- port jista 'jkun numru jew isem użat f' / etc / services (ara tcp (4P) u udp (4P)). Jekk jintuża isem, kemm in-numru tal-port kif ukoll il-protokoll huma kkontrollati. Jekk jintuża numru jew isem ambigwu, huwa biss in-numru tal-port ikkontrollat ​​(eż., Il-port dst 513 se jistampa kemm traffiku TCP / login kif ukoll udp / liema traffiku, u domain tal-port jistampa kemm traffiku tcp / domain u udp / domain).

port tal- port src

Veru jekk il-pakkett ikollu l-valur tas-sors tal-port tal- port .

port tal- port

Veru jekk is-sors jew id-destinazzjoni tal-port tal-pakkett huwa l- port . Kwalunkwe waħda mill-espressjonijiet tal-port ta 'hawn fuq tista' tiġi preċeduta bil-kliem kjavi, tcp jew udp , bħal fi:

port tal- port src tcp

li tikkorrispondi biss ma 'pakketti tcp li l-port tas-sors tagħhom huwa port .

inqas tul

Veru jekk il-pakkett għandu tul ta 'inqas jew daqs it- tul . Dan huwa ekwivalenti għal:

len <= tul .

tul akbar

Veru jekk il-pakkett ikollu tul akbar jew daqs it- tul . Dan huwa ekwivalenti għal:

len> = tul .

Protokoll proto ip

Veru jekk il-pakkett huwa pakkett IP (ara ip (4P)) tal-protokoll tat-tip tal- protokoll . Il-Protokoll jista 'jkun numru jew wieħed mill-ismijiet icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , jew tcp . Innota li l-identifikaturi tcp , udp , u icmp huma wkoll kliem prinċipali u għandhom jiġu maħruba permezz ta 'backslash (\), li hija \\ fil-qoxra C. Innota li din il-primitiva ma tikkawżax il-katina tal-header tal-protokoll.

protokoll ipto ip6

Veru jekk il-pakkett huwa pakkett IPv6 ta 'protokoll tat-tip ta' protokoll . Innota li din il-primitiva ma tikkawżax il-katina tal-header tal-protokoll.

protokoll protokoll ip6

Veru jekk il-pakkett huwa pakkett IPv6, u fih header tal-protokoll bi protokoll tat-tip fil-katina tal-header tal-protokoll tiegħu. Pereżempju,

ip6 protochain 6

jaqbel ma 'kwalunkwe pakkett IPv6 bil-header tal-protokoll TCP fil-katina tal-header tal-protokoll. Il-pakkett jista 'jkun fih, per eżempju, header ta' awtentikazzjoni, header tar-rotta, jew header tal-għażla hop-by-hop, bejn header IPv6 u header TCP. Il-kodiċi tal-BPF li joħroġ minn din il-primitive huwa kumpless u ma jistax jiġi ottimizzat mill-kodiċi optimizer tal-BPF fi tcpdump , għalhekk dan jista 'jkun kemxejn bil-mod.

ip protokoll protokoll

Protezzjoni ta 'protochain ekwivalenti għal ip6 , iżda dan huwa għal IPv4.

Ether broadcast

Veru jekk il-pakkett huwa pakkett tax-xandir ta 'l-ethernet. Il - keyword ether mhuwiex obbligatorju.

ip xandira

Veru jekk il-pakkett hu pakkett tax-xandir IP. Iċċekkja kemm il-konvenzjonijiet kollha tax-xandir ta 'zero kif ukoll dawk kollha, u tħares lejn is-subnet maskra lokali.

multikast tal-etere

Veru jekk il-pakkett hu pakkett ta 'ethernet multicast. Il - keyword ether mhuwiex obbligatorju. Dan huwa shorthand għal " ether [0] & 1! = 0 ".

ip multicast

Veru jekk il-pakkett huwa pakkett multicast IP.

ip6 multicast

Veru jekk il-pakkett huwa pakkett ta 'IPv6 multicast.

protokoll proter ta 'l-etere

Veru jekk il-pakkett hu ta ' protokoll tat-tip etere. Il-protokoll jista 'jkun numru jew wieħed mill-ismijiet ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx jew netbeui . Innota li dawn l-identifikaturi huma wkoll kliem prinċipali u għandhom jiġu maħruba permezz ta 'backslash (\).

[Fil-każ ta 'FDDI (eż.,' Fddi protocol arp ') u Token Ring (eż.,' Tr protocol arp '), għal ħafna minn dawk il-protokolli, l-identifikazzjoni tal-protokoll ġej mill-header 802.2 Logical Link Control Normalment ikun hemm saffi fuq il-quċċata ta 'l-intestatura FDDI jew Token Ring.

Meta tiffiltra għal ħafna mill-identifikaturi tal-protokoll fuq FDDI jew Token Ring, tcpdump jikkontrolla biss il-qasam ID tal-protokoll ta 'header LLC fl-hekk imsejjaħ format SNAP ma' Organizational Unit Identifier (OUI) ta '0x000000, għal Ethernet inkapsulat; ma jikkontrollax jekk il-pakkett huwiex f'format SNAP b'OUI ta '0x000000.

L-eċċezzjonijiet huma iso , li għalihom jikkontrolla l-punt DSAP (Punt ta 'Aċċess għas-Servizz tad-Destinazzjoni) u SSAP (Source Service Access Point) tal-intestatura LLC, stp u netbeui , fejn jiċċekkja l-DSAP tal-header LLC, u atalk , fejn kontrolli għal pakkett b'format SNAP b'OUI ta '0x080007 u l-eType Appletalk.

Fil-każ ta 'Ethernet, tcpdump jiċċekkja l-qasam tat-tip Ethernet għall-biċċa l-kbira ta' dawk il-protokolli; l-eċċezzjonijiet huma iso , sap , u netbeui , li għalihom jikkontrolla qafas ta '802.3 u mbagħad jikkontrolla l-header LLC kif jagħmel għal FDDI u Token Ring, atalk , fejn iċċekkja kemm għall-Appletalk etype f'qafas Ethernet kif ukoll għal Pakkett b'format SNAP bħal ma jagħmel għal FDDI u Token Ring, fejn huwa jikkontrolla l-ePype ARP ta 'Appletalk f'qafas Ethernet jew qafas SNAP ta' 802.2 b'OUI ta '0x000000, u ipx , fejn jikkontrolla l-eTIpe IPX fi qafas Ethernet, l-IPAP DSAP fil-header LLC, 802.3 bl-ebda encapsulation Header LLC ta 'IPX, u l-IPT etype f'qafas SNAP.]

host decnet src

Veru jekk l-indirizz tas-sors DECNET huwa ospitanti , li jista 'jkun indirizz tal-formola `` 10.123' ', jew isem tad-DECNET. [L-appoġġ ta 'l-isem tal-host tad-DECNET huwa disponibbli biss fis-sistemi Ultrix li huma konfigurati biex imexxu DECNET.]

host decnet dst

Veru jekk l-indirizz ta 'destinazzjoni DECNET huwa ospitanti .

Host ospitanti tad-decnet

Veru jekk is-sors tad-DECNET jew l-indirizz tad-destinazzjoni huwa ospitanti .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Abbrevjazzjonijiet għal:

etere proto p

fejn p huwa wieħed mill-protokolli ta 'hawn fuq.

lat , moprc , mopdl

Abbrevjazzjonijiet għal:

etere proto p

fejn p huwa wieħed mill-protokolli ta 'hawn fuq. Innota li tcpdump bħalissa ma jafx kif analizzat dawn il-protokolli.

vlan [vlan_id]

Veru jekk il-pakkett huwa pakkett IEEE 802.1Q VLAN. Jekk [vlan_id] huwa speċifikat, huwa veru biss jekk il-pakkett ikollu l- vlan_id speċifikat. Innota li l-ewwel keyword tal- vlan iffaċċjat fl- espressjoni jibdel il-kumpens għad-dekodifikazzjoni għall-bqija ta 'l- espressjoni fuq is-suppożizzjoni li l-pakkett huwa pakkett VLAN.

tcp , udp , icmp

Abbrevjazzjonijiet għal:

ip proto p jew ip6 proto p

fejn p huwa wieħed mill-protokolli ta 'hawn fuq.

protokoll proto iso

Veru jekk il-pakkett huwa pakkett OSI tal-protokoll tat-tip tal- protokoll . Il-Protokoll jista 'jkun numru jew wieħed mill-ismijiet clnp , esis , jew isis .

clnp , esis , isis

Abbrevjazzjonijiet għal:

iso proto p

fejn p huwa wieħed mill-protokolli ta 'hawn fuq. Innota li tcpdump jagħmel xogħol mhux komplut ta 'analiżi ta' dawn il-protokolli.

expr relop expr

Veru jekk ir-relazzjoni jkollha, fejn relop hija waħda minn>, <,> =, <= = =! = =, U expr hija espressjoni aritmetika komposta minn kostanti interni (espressa f'sensaża standard C), l-operaturi binarji normali [+ , -, *, /, &, |], operatur tat-tul, u accessors speċjali ta 'dejta tal-pakkett. Biex ikollok aċċess għal dejta ġewwa l-pakkett, uża s-sintassi li ġejja:

proto [ expr : daqs ]

Proto huwa wieħed mill- ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp jew ip6 , u jindika s-saff tal-protokoll għall-operazzjoni tal-indiċi. ( ether, fddi, tr, ppp, slip u link kollha jirreferu għas-saff tal-link). Innota li tcp, udp u tipi oħra ta 'protokoll ta' fuq saff japplikaw biss għal IPv4, mhux għal IPv6 (dan se jiġi ffissat fil-ġejjieni). L-offset tal-bytes, relattiv għas-saff tal-protokoll indikat, jingħata minn expr . Id-daqs huwa fakultattiv u jindika n-numru ta 'bytes fil-qasam ta' interess; jista 'jkun wieħed, tnejn, jew erbgħa, u l-inadempjenzi għal wieħed. L-operatur tat-tul, indikat bil-kelma prinċipali len , jagħti t-tul tal-pakkett.

Pereżempju, " ether [0] & 1! = 0 " qabdet it-traffiku multikast kollu. L-espressjoni " ip [0] & 0xf! = 5 " qabdet il-pakketti IP kollha b'għażliet. L-espressjoni ' ip [6: 2] & 0x1fff = 0 ' qabdet biss datagrams mhux iffragmentati u żero ta 'frammentati datagrams. Dan il-kontroll huwa impliċitament applikat għall-operazzjonijiet ta 'l-indiċi tcp u udp . Per eżempju, tcp [0] dejjem tfisser l-ewwel byte tal- header TCP, u qatt ma tfisser l-ewwel byte ta 'framment li jintervjeni.

Uħud mill-kumpensi u l-valuri tal-kamp jistgħu jiġu espressi bħala ismijiet aktar milli bħala valuri numeriċi. Hemm disponibbli t-tpaċijiet tal-field header tal-protokoll li ġejjin: icmptype (field tat-tip ICMP), icmpcode (qasam tal-kodiċi ICMP), u tcpflags (field ta 'bnadar TCP).

Il-valuri tal-kamp tat-tip ICMP li ġejjin huma disponibbli: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -semplifikament , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Il-valuri ta 'field ta' bnadar TCP li ġejjin huma disponibbli: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Primitives jistgħu jingħaqdu bl-użu ta ':

Grupp parentesi ta 'primitives u operaturi (parentesi huma speċjali għall-Shell u għandhom jiġu maħruba).

Negazzjoni (' ! ' Jew ' mhux ').

Konkatenazzjoni (' && ' jew ' u ').

Alternattiva (` || 'jew' jew ').

In-negazzjoni għandha l-ogħla preċedenza. L-alternazzjoni u l-konkatenazzjoni għandhom preċedenza ugwali u jassoċjaw mix-xellug għal-lemin. Innota li espliċiti u tokens, mhux juxpożizzjoni, issa huma meħtieġa għall-konkatenazzjoni.

Jekk l-identifikatur jingħata mingħajr kelma prinċipali, l-aktar kelma riċenti hija preżunta. Pereżempju,

mhux host versus ace

huwa qasir għal

mhux host vs u host ace

li m'għandhomx jiġu konfużi magħhom

mhux (ospitanti vs jew ass)

L-argumenti tal-espressjoni jistgħu jiġu mgħoddija lil tcpdump bħala argument wieħed jew bħala argumenti multipli, skont liema jkun iktar konvenjenti. Ġeneralment, jekk l-espressjoni tkun fiha l-karatteristiċi tal-Metalli ta 'Shell, huwa iktar faċli li tgħaddiha bħala argument uniku u kkwotat. L-argumenti multipli huma kkonċinati ma 'spazji qabel ma jiġu analizzati.

EŻEMPJI

Biex tipprintja l-pakketti kollha li jaslu jew jitilqu minn turs :

Tcpdump host sundown

Biex tipprintja t-traffiku bejn elli u hot jew as :

Helium li jospita tcpdump u \ (hot jew ass \)

Biex tipprintja l-pakketti kollha ta 'l-IP bejn l- ass u kwalunkwe ospitant għajr elju :

tcpdump ip host ace u mhux helios

Biex tipprintja t-traffiku kollu bejn l-ospiti lokali u l-ospiti f'Berkeley:

tcpdump nett ucb-ether

Biex tipprintja t-traffiku tal-ftp kollu permezz tas- snup gateway tal-internet: (innota li l-espressjoni hija kkwotata biex tevita li l-qoxra (mis-) tinterpreta l-parentesi):

tpipdump 'gateway snup u (ftp tal-port jew data ftp)'

Biex tipprintja t-traffiku mhux minn jew maħsub għall-ospiti lokali (jekk inti tmur għal xibka oħra, dan l-għalf qatt ma għandu jġib ruħu fuq ix-xibka lokali tiegħek).

tcpdump ip u mhux net lokalinet

Biex tipprintja l-pakketti tal-bidu u tat-tmiem (il-pakketti SYN u FIN) ta 'kull konversazzjoni tat-TCP li tinvolvi ospitant mhux lokali.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 u mhux src u dst net localnet '

Biex tipprintja pakketti IP itwal minn 576 bytes mibgħuta permezz ta ' gate snup :

Tcpdump 'gateway snup u ip [2: 2]> 576'

Biex tipprintja xbieki IP jew pakketti multikast li ma ntbagħtux permezz ta 'xandira ethernet jew multicast:

tcpdump 'ether [0] & 1 = 0 u ip [16]> = 224'

Biex tipprintja l-pakketti ICMP kollha li mhumiex talbiet / tweġibiet ta 'eke (jiġifieri, ma pakketti ping):

tcpdump 'icmp [icmptype]! = icmp-echo u icmp [icmptype]! = icmp-echoreply'

FORMAT TA 'BARRA

L-output ta ' tcpdump huwa dipendenti fuq il-protokoll. Dan li ġej jagħti deskrizzjoni qasira u eżempji tal-biċċa l-kbira tal-formati.

Livell tal-Livelli tal-Link

Jekk l-għażla '-e' tingħata, l-intestatura tal-livell tal-linka hija stampata. Fuq ethernets, l-indirizzi tas-sors u tad-destinazzjoni, il-protokoll u t-tul tal-pakkett huma stampati.

Fuq in-netwerks FDDI, l-għażla '-e' tikkawża tcpdump biex tipprintja l-kaxxa 'kontroll tal-qafas', l-indirizzi tas-sors u destinazzjoni, u t-tul tal-pakkett. (Il-kaxxa 'kontroll tal-qafas' tirregola l-interpretazzjoni tal-bqija tal-pakkett. Pakketti normali (bħal dawk li fihom datagrams PI) huma pakketti 'async', b'valur ta 'prijorità bejn 0 u 7, per eżempju,' async4 '. il-pakketti huma preżunti li fihom pakkett 802.2 Logical Link Control (LLC); l-intestatura LLC hija stampata jekk mhix datagram ISO jew dak li jissejjaħ pakkett SNAP.

Fuq in-netwerks taċ-Ring Token, l-għażla '-e' tikkawża tcpdump biex tipprintja l-oqsma tal- 'kontroll ta 'aċċess' u 'kontroll tal-qafas', l-indirizzi tas-sors u destinazzjoni u t-tul tal-pakkett. Bħal fuq netwerks FDDI, il-pakketti huma preżunti li fihom pakkett LLC. Irrispettivament minn jekk l-għażla '-e' hix speċifikata jew le, l-informazzjoni dwar ir-rotta tas-sors hija stampata għal pakketti mis-sors.

(NB: Id-deskrizzjoni li ġejja tassumi familjarità ma 'l-algoritmu ta' kompressjoni SLIP deskritt f'RFC-1144.)

Fuq links SLIP, indikatur tad-direzzjoni (`` I '' għal ġewwa, `` O '' għal barra), tip ta 'pakkett, u informazzjoni ta' kompressjoni huma stampati. It-tip ta 'pakkett huwa stampat l-ewwel. It-tliet tipi huma ip , utcp , u ctcp . L-ebda informazzjoni ta 'rabta oħra mhija stampata għal pakketti ip . Għal pakketti TCP, l-identifikatur tal-konnessjoni huwa stampat wara t-tip. Jekk il-pakkett huwa kkumpressat, l-intestatura kodifikata tiegħu hija stampata. Il-każijiet speċjali huma stampati bħala * S + n u * SA + n , fejn n huwa l-ammont li bih in-numru tas-sekwenza (jew in-numru tas-sekwenza u l-ack) inbidel. Jekk ma jkunx każ speċjali, żero jew aktar bidliet jiġu stampati. Bidla hija indikata minn U (indikatur urġenti), W (tieqa), A (ack), S (numru tas-sekwenza), u I (ID tal-pakkett), segwit minn delta (+ n jew -n) (= n). Finalment, l-ammont ta 'data fil-pakkett u t-tul tal-intestatura kompressata huma stampati.

Pereżempju, il-linja li ġejja turi pakkett TCP 'il barra kompressat, b'identifikatur ta' konnessjoni impliċitu; l-ACK inbidlet b'6, in-numru tas-sekwenza b'49, u l-ID tal-pakkett b'6; hemm 3 bytes ta 'data u 6 bytes ta' header kompressat:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pakketti ARP / RARP

L-output ta 'Arp / rarp juri t-tip ta' talba u l-argumenti tagħha. Il-format huwa maħsub li jispjega lilu nnifsu. Hawnhekk hawn kampjun qasir meħud mill-bidu ta '' rlogin 'minn host rtsg biex tospita csam :

Arp li - ikkonferma t-tweġiba tar-replika ta 'ARP fil-CSAM

L-ewwel linja tgħid li rtsg bagħtet pakkett arp li titlob l-indirizz tal-ethernet tal-ospitanti tal-internet csam. Csam jirrispondi bl-indirizz ta 'l-ethernet (f'dan l-eżempju, l-indirizzi ethernet huma f'kaxxi u indirizzi ta' l-internet f'każ żgħir).

Dan jidher inqas superfluwa kieku għamilna tcpdump -n :

arp li-għandu 128.3.254.6 għid 128.3.254.68 tweġiba ta 'arp 128.3.254.6 hija-fi 02: 07: 01: 00: 01: c4

Jekk għamilna tcpdump -e , il-fatt li l-ewwel pakkett huwa mxandar u t-tieni huwa punt-sa-punt ikun viżibbli:

RTSG Broadcast 0806 64: arp li - ċaħad rss CSAM RTSG 0806 64: arp tweġiba csam huwa-fi CSAM

Għall-ewwel pakkett dan jgħid li l-indirizz tas-sors ethernet huwa RTSG, id-destinazzjoni hija l-indirizz tax-xandir ethernet, il-qasam tat-tip li fih hex 0806 (tip ETHER_ARP) u t-tul totali kien 64 bytes.

Pakketti TCP

(NB: Id-deskrizzjoni li ġejja tassumi familjarità mal-protokoll TCP deskritt f'RFC-793. Jekk m'intix familjari mal-protokoll, la din id-deskrizzjoni u lanqas it-tcpdump ma tantx tkun utli għalik.)

Il-format ġenerali ta 'linja ta' protokoll tcp huwa:

src> dst: flags data-seqno ack tieqa għażliet urġenti

Src u dst huma l-indirizzi u l-portijiet tas-sors u tad-destinazzjoni IP. Il-bnadar huma xi kombinazzjoni ta 'S (SYN), F (FIN), P (PUSH) jew R (RST) jew' (l-ebda bnadar). Data-seqno jiddeskrivi l-porzjon tal-ispazju tas-sekwenza kopert bid-dejta f'dan il-pakkett (ara eżempju hawn taħt). Ack hija n-numru tas-sekwenza tad-data li jmiss mistennija d-direzzjoni l-oħra fuq din il-konnessjoni. It-tieqa hija n-numru ta 'bytes li jirċievu l-ispazju ta' lqugħ disponibbli id-direzzjoni l-oħra fuq din il-konnessjoni. Urg jindika li hemm dejta "urġenti" fil-pakkett. L-għażliet huma għażliet tcp magħluqa f'parentesi angulari (eż., ).

Src, dst u bnadar huma dejjem preżenti. L-oqsma l-oħra jiddependu fuq il-kontenut tal-header tal-pakkett tal-pakkett tal-pakkett u joħorġu biss jekk xieraq.

Hawn hu l-porzjon tal-ftuħ ta 'rlogin minn rtsg ospitanti biex tospita CSAM .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. Idħol: . ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

L-ewwel linja tgħid li tcp port 1023 fuq rtsg bagħat pakkett għal login tal- port fuq is-CSA. Is- S jindika li l-bandiera SYN kienet stabbilita. In-numru tas-sekwenza tal-pakkett kien 768512 u ma kien fih l-ebda dejta. (In-notazzjoni hija `l-ewwel: l-aħħar (nbytes) 'li jfisser' numri ta 'sekwenza l- ewwel imma mhux inkluż l- aħħar li huwa nbytes bytes tad-data tal-utent'.) Ma kienx hemm ack appoġġjat bil-piggy, it-tieqa riċevuta disponibbli kienet 4096 bytes u kien hemm għażla ta 'daqs massimu tas-segment li titlob mss ta' 1024 byte.

Csam jirrispondi b'pakkett simili ħlief li jinkludi ack sostnuti minn piggy għal SYN ta 'rtsg. Rtsg imbagħad SYN ta 'acks csam. Il- "." tfisser li l-ebda bnadar ma ġiet issettjata. Il-pakkett ma kien fih l-ebda data u għalhekk ma hemm l-ebda numru ta 'sekwenza tad-dejta. Innota li n-numru tas-sekwenza tal-ack huwa numru sħiħ żgħir (1). L-ewwel darba tcpdump jara tcp 'conversation', huwa jistampa n-numru tas-sekwenza mill-pakkett. Fuq pakketti sussegwenti tal-konversazzjoni, id-differenza bejn in-numru tas-sekwenza tal-pakkett attwali u dan in-numru tas-sekwenza inizjali huwa stampat. Dan ifisser li n-numri tas-sekwenza wara l-ewwel jistgħu jiġu interpretati bħala pożizzjonijiet relattivi tal-byte fil-fluss tad-dejta tal-konverżazzjoni (bl-ewwel byte tad-data kull direzzjoni hija "1"). '-S' se tneħħi din il-karatteristika, u tikkawża li n-numri tas-sekwenza oriġinali jiġu rilaxxati.

Fis-sitt linja, rtsg tibgħat ċsam 19 bytes tad-data (bytes 2 sa 20 fil-parti rtsg -> csam tal-konverżazzjoni). Il-bandiera PUSH hija stabbilita fil-pakkett. Fuq is-seba 'linja, csam jgħid li rċeviet id-dejta mibgħuta minn rtsg sa iżda mhux inkluż byte 21. Ħafna minn din id-dejta apparentement hija seduta fil-buffer tas-sokit peress li t-tieqa ta' riċezzjoni ta 'csam gotten 19 bytes iżgħar. Csam jibgħat ukoll byte wieħed ta 'data lil rtsg f'dan il-pakkett. Fit-tmien u d-disa 'linji, is-csam tibgħat żewġ bytes ta' data mbuttata urġenti għal rtsg.

Jekk l-istampa kienet żgħira biżżejjed li tcpdump ma qabditx l-intestatura sħiħa tat-TCP, hija tinterpreta kemm jista 'jkun l-intestatura u mbagħad tirrapporta `` [| tcp ] "biex tindika l-bqija ma tistax tiġi interpretata. Jekk l-intestatura fiha għażla fittizja (waħda b'tul li hija żgħira wisq jew lil hinn mit-tmiem tal-intestatura), tcpdump jirrapportaha bħala " ħżiena opt " "u ma tinterpretax aktar għażliet (peress li huwa impossibbli li tgħid fejn jibdew). Jekk it-tul tal-intestatura jindika li l-għażliet huma preżenti imma t-tul tad-datagram tal-IP mhuwiex twil biżżejjed biex l-għażliet ikunu attwalment hemm, tcpdump jirrapportah bħala " ħafif hdr length ".

Qbid ta 'pakketti TCP b'taħlita ta' bnadar partikolari (SYN-ACK, URG-ACK, eċċ.)

Hemm 8 bits fis-sezzjoni tal-bits tal-kontroll tal-intestatura TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Ejja nassumu li rridu naraw pakketti użati fit-twaqqif ta 'konnessjoni TCP. Ifakkar li t-TCP juża protokoll tal-idejn b'ħeffa waħda meta tinbeda konnessjoni ġdida; is-sekwenza tal-konnessjoni fir-rigward tal-bits tal-kontroll tat-TCP hija

1) Min iċempel jibgħat lil SYN

2) Ir-riċevitur jirrispondi mas-SYN, ACK

3) Caller jibgħat ACK

Issa aħna qegħdin interessati fil-qbid ta 'pakketti li għandhom is-sett bit SYN biss (Pass 1). Innota li ma rridux pakketti mill-istadju 2 (SYN-ACK), sempliċement SYN inizjali sempliċi. Dak li għandna bżonn huwa espressjoni tal-filtru korretta għal tcpdump .

Ifakkru l-istruttura ta 'header TCP mingħajr għażliet:

0 15 31 ----------------------------------------------- ------------------ port tas-sors | port tad-destinazzjoni | -------------------------------------------------- --------------- | numru ta 'sekwenza | -------------------------------------------------- --------------- | numru ta 'rikonoxximent | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | daqs tat-tieqa | -------------------------------------------------- --------------- | Kontroll tal-TCP | indikatur urġenti | -------------------------------------------------- ---------------

L-intestatura TCP normalment ikollha 20 octet ta 'data, sakemm ma jkunux preżenti għażliet. L-ewwel linja tal-graff fiha octets 0-3, it-tieni linja turi octets 4 - 7 eċċ.

Tibda jgħodd b'0, il-bits ta 'kontroll TCP rilevanti jinsabu f'ettett 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | daqs tat-tieqa | ---------------- | --------------- | --------------- | - --------------- | | 13th octet | | |

Ejja nħarsu aktar lejn l-octet nru. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Dawn huma l-bits ta 'kontroll tat-TCP li ninsabu interessati. Għandna n-numerati l-bits f'dan l-octet minn 0 sa 7, fuq il-lemin għax-xellug, għalhekk il-bit PSH huwa bit numru 3, filwaqt li l-bit URG huwa numru 5.

Ifakkar li aħna rridu nakkwistaw pakketti b'sett SYN biss. Ejja naraw x'jiġri mill-octet 13 jekk datagram TCP tasal bit-bit SYN stabbilit fl-intestatura tiegħu:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Meta wieħed iħares lejn is-sezzjoni tal-bits ta 'kontroll naraw li huwa stabbilit biss in-numru tal-bit numru 1 (SYN).

Jekk wieħed jassumi li l-octet numru 13 huwa numru sħiħ mhux iffundat ta '8 bit f'ordni byte tan-netwerk, il-valur binarju ta' dan l-octet huwa

00000010

u r-rappreżentazzjoni deċimali tagħha hija

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Aħna kważi saru, għaliex issa nafu li jekk SYN biss ikun issettjat, il-valur tat-13-il octet fil-header TCP, meta interpretat bħala numru sħiħ ta '8 bit mingħajr sinjal f'ordni byte tan-netwerk, għandu jkun eżattament 2.

Din ir-relazzjoni tista 'tiġi espressa bħala

tcp [13] == 2

Nistgħu nużaw din l-espressjoni bħala l-filtru għat- tcpdump sabiex tara pakketti li għandhom sett SYN biss:

tcpdump -i xl0 tcp [13] == 2

L-espressjoni tgħid "ħalli t-13-il octet ta 'datagram TCP ikollu l-valur deċimali 2", li huwa eżattament dak li rridu.

Issa, ejja nassumu li għandna bżonn jaqbdu pakketti SYN, iżda ma ngħatawx attenzjoni jekk ACK jew xi bit ta 'kontroll TCP ieħor huwa stabbilit fl-istess ħin. Ejja naraw x'jiġri mill-octet 13 meta datagram TCP mas-sett SYN-ACK jasal:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Issa l-bits 1 u 4 huma stabbiliti fit-13-il octet. Il-valur binarju ta 'l-octet 13 huwa

00010010

li jittraduċi għal deċimali

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Issa ma nistgħux biss nużaw "tcp [13] == 18" fl-espressjoni tal-filtru tcpdump , minħabba li jagħżlu biss dawk il-pakketti li għandhom SYN-ACK stabbiliti, iżda mhux dawk b'sistema SYN biss. Ftakar li aħna ma naħsbux jekk ACK jew kwalunkwe bit kontroll ieħor huwa stabbilit sakemm SYN huwa stabbilit.

Sabiex jinkiseb l-għan tagħna, neħtieġu loġikament U l-valur binarju ta 'l-octet 13 b'xi valur ieħor biex tippreserva l-bit SYN. Aħna nafu li rridu nsibu SYN fi kwalunkwe każ, hekk aħna loġikament U l-valur fit-13-il octet bil-valur binarju ta 'SYN:

00010010 SYN-ACK 00000010 SYN U 00000010 (irridu SYN) U 00000010 (irridu SYN) -------- -------- = 00000010 = 00000010

Aħna naraw li din l-operazzjoni U tagħti l-istess riżultat irrispettivament minn jekk ACK jew xi bit ta 'kontroll TCP ieħor huwiex stabbilit. Ir-rappreżentazzjoni deċimali tal-valur AND kif ukoll ir-riżultat ta 'din l-operazzjoni hija 2 (00000010 binarju), għalhekk nafu li għall-pakketti bis-SYN, ir-relazzjoni li ġejja għandha tkun vera:

((il-valur ta 'l-octet 13) U (2)) == (2)

Dan jindika l-espressjoni tal-filtru tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Innota li għandek tuża kwotazzjonijiet singoli jew backslash fl-espressjoni biex taħbi l-karattru speċjali AND ("&") mill-qoxra.

Pakketti UDP

Il-format UDP huwa illustrat minn dan il-pakkett rwho:

actinide.who> broadcast.who: udp 84

Dan jgħid li l-port li fuq l- actinide ospitanti bagħat datagram udp lejn il-port li fuq xandira ospitanti, l-indirizz tax-xandir bl-Internet. Il-pakkett kien fih 84 bytes tad-data tal-utent.

Uħud mis-servizzi UDP huma rikonoxxuti (min-numru tas-sors jew destinazzjoni) u l-informazzjoni tal-protokoll ta 'livell ogħla stampata. B'mod partikolari, talbiet għal servizz ta 'Isem ta' Domain (RFC-1034/1035) u Sun RPC jistieden (RFC-1050) lil NFS.

Talbiet għal Servers ta 'Isem UDP

(NB: Id-deskrizzjoni li ġejja tassumi familjarità mal-protokoll tas-Servizz ta 'Dominju deskritt f'RFC-1035. Jekk m'intix familjari mal-protokoll, id-deskrizzjoni li ġejja tidher miktuba bil-Grieg.)

It-talbiet tas-server tal-isem huma fformattjati bħala

src> dst: id op? bnadar qtype qclass name (len) h2opolo.1538> helli.domain: 3+ A? ucbvax.berkeley.edu. (37)

Host h2opolo talab lis-server tad-dominju fuq helli għal rekord ta 'indirizz (qtype = A) assoċjat mal-isem ucbvax.berkeley.edu. L-id tal-mistoqsija kienet "3". Il- "+" tindika l - bandiera mixtieqa tar - rikursjoni ġiet stabbilita. It-tul tal-mistoqsija kien ta '37 bytes, mingħajr l-intestaturi tal-protokoll UDP u IP. L-operazzjoni ta 'mistoqsija kienet waħda normali, Mistoqsija , u għalhekk il-field op inħassar. Jekk l-op kien xi ħaġa oħra, kien ikun stampat bejn '3' u '+'. Bl-istess mod, il-klassi kienet waħda normali, C_IN , u tħallew barra. Kwalunkwe klassi oħra kienet tkun stampata immedjatament wara l-'A '.

Xi anomaliji huma kkontrollati u jistgħu jirriżultaw f'oqsma żejda magħluqa f'parentesi kwadri: Jekk mistoqsija fiha risposta, ir-rekords tal-awtorità jew is-sezzjoni tar-rekords addizzjonali, in- numru , in- numru jew l- arcount huma stampati bħala "[ n a]", "[ n n ] "jew" [ n au] "fejn n huwa l-għadd xieraq. Jekk xi wħud mill-bits ta 'rispons huma ssettjati (AA, RA jew rcode) jew xi wieħed mill-bits "għandu jkun żero" huma stabbiliti f'bytes tnejn u tlieta, "[b2 & 3 = x ]" hija stampata, fejn x huwa l-valur hex ta' header bytes tnejn u tlieta.

Reazzjonijiet tas-Servers Isem tad-UDP

Ir-risposti tas-server tal-isem huma fformattjati bħala

src> dst: id bands ta 'l-opcode a / n / au data tal-klassi tat-tip (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Fl-ewwel eżempju, Helios jirrispondi għall-mistoqsija id 3 minn h2opolo bi 3 rekords ta 'risposta, 3 reġistri tas-server ta' l-isem u 7 rekords addizzjonali. L-ewwel rekord ta 'tweġiba huwa tip A (indirizz) u d-data tiegħu hija l-indirizz fuq l-internet 128.32.137.3. Id-daqs totali tar-rispons kien ta '273 bytes, esklużi headers UDP u IP. Il-kodiċi ta 'op (Query) u ta' rispons (NoError) tħallew barra, kif kienet il-klassi (C_IN) tar-rekord A.

Fit-tieni eżempju, Helios jirrispondi għall-mistoqsija 2 b'kodiċi ta 'rispons ta' dominju ineżistenti (NXDomain) mingħajr tweġibiet, server ta 'isem wieħed u reġistri ta' ebda awtorità. Il- `* 'tindika li l-bit bit- tweġiba awtorevoli ġiet stabbilita. Peress li ma kien hemm l-ebda tweġiba, l-ebda tip, klassi jew data ma ġew stampati.

Karattri oħra tal-bandiera li jistgħu jidhru huma '-' (rikursjoni disponibbli, RA, mhux issettjat) u '|' (messaġġ maqtugħ, TC, sett). Jekk is-sezzjoni 'kwistjoni' ma jkollhiex eżattament dħul wieħed, '[ n q]' hija stampata.

Innota li t-talbiet u t-tweġibiet tas-server ta 'l-isem għandhom tendenza li jkunu kbar u s- snaplen default ta' 68 byte jistgħu ma jaqbdux biżżejjed il-pakkett biex jistampaw. Uża l-bandiera- s biex iżżid is-snaplen jekk ikollok bżonn tinvestiga serjament it-traffiku tas-server tal-isem. ' -s 128 ' ħadmet tajjeb għalija.

Id-dekodifikazzjoni SMB / CIFS

tcpdump issa jinkludi dekodifikazzjoni pjuttost estensiva SMB / CIFS / NBT għad-data fuq UDP / 137, UDP / 138 u TCP / 139. Qed issir ukoll xi dekodifikazzjoni primittiva tad-dejta IPX u NetBEUI SMB.

B'mod default, isir dekodezzjoni pjuttost minima, b'dekordzjoni ħafna aktar dettaljata li saret jekk -v tintuża. Ikunu mwissija li ma '- il-pakkett SMB wieħed jista' jieħu paġna jew aktar, għalhekk uża biss -v jekk int verament trid id-dettalji kollha rari.

Jekk qed tiddekowdja sessjonijiet ta 'SMB li fihom strings unicode allura inti tista' tixtieq li tiffissa l-varjabbli ta 'l-ambjent USE_UNICODE għal 1. Garża li tikxef awtomatikament qxur unicode tkun milqugħa.

Għal informazzjoni dwar formati ta 'pakketti SMB u liema oqsma kollha jfisser ara www.cifs.org jew id-direttorju pub / samba / specs / fuq is-sit mera favorit tiegħek samba.org. L-irqajja ta 'SMB ġew miktuba minn Andrew Tridgell (tridge@samba.org).

Talbiet u Risposti NFS

It-talbiet u r-risposti tas-Sun NFS (Sistema ta 'Fajl tan-Netwerk) huma stampati bħala:

src.xid> dst.nfs: len op args src.nfs> dst.xid: tweġiba stat len ​​op riżultati sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: replica ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 Lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: risposta ok 128 Lookup fh 9,74 / 4134.3150

Fl-ewwel linja, Sushi ospitanti tibgħat tranżazzjoni b'id 6709 li wrl (innota li n-numru wara l-host src huwa identita ta 'transazzjoni, mhux il -port tas-sors). It-talba kienet ta '112 bytes, esklużi l-intestaturi UDP u IP. L-operazzjoni kienet readlink (aqra rabta simbolika) fuq il-manku tal-fajl ( fh ) 21,24 / 10.731657119. (Jekk wieħed ikun xortik tajba, bħal f'dan il-każ, il-manku tal-fajl jista 'jiġi interpretat bħala par ta' numru ta 'apparat maġġuri, segwit bin-numru inode u numru tal-ġenerazzjoni.) Wrl jirrispondi' ok 'bil-kontenut tal-link.

Fit-tielet linja, Sushi titlob lill- wrl biex tfittex l-isem ' xcolors ' fid-direttorju tad-direttorju 9,74 / 4096.6878. Innota li d-data stampata tiddependi fuq it-tip ta 'operazzjoni. Il-format huwa maħsub li jkun spjegat lilu nnifsu jekk jinqara flimkien ma 'spec ta' protokoll NFS.

Jekk il-bandiera -v (verbosa) tingħata, informazzjoni addizzjonali hija stampata. Pereżempju:

Sushi.1372a> wrl.nfs: 148 aqra fh 21,11 / 12,195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: tweġiba ok 1472 aqra REG 100664 ids 417/0 sz 29388

(-v timmarka wkoll l-intestatura IP TTL, ID, tul, u oqsma ta 'frammentazzjoni, li tħallew barra minn dan l-eżempju.) Fl-ewwel linja, Sushi jistaqsi lil wrl biex jaqra 8192 byte mill-fajl 21,11 / 12,195, b'kontenut byte 24576. Wrl jirrispondi 'ok'; il-pakkett muri fit-tieni linja huwa l-ewwel framment tar-risposta, u għalhekk huwa biss 1472 bytes twil (il-bytes l-oħra jsegwu fi frammenti sussegwenti, iżda dawn il-frammenti m'għandhomx NFS jew saħansitra headers UDP u għalhekk jistgħu ma jkunux stampati, skond l-espressjoni tal-filtru użata). Minħabba li l-bandiera v hija mogħtija, xi wħud mill-attributi tal-fajl (li huma rritornati flimkien mad-data tal-fajl) huma stampati: it-tip fajl (`` REG '', għal fajl regolari), il-mod fajl (f'octal) l-uid u gid, u d-daqs tal-fajl.

Jekk il-bandiera-V tingħata aktar minn darba, aktar dettalji huma stampati.

Innota li t-talbiet NFS huma kbar ħafna u ħafna mid-dettalji ma jiġux stampati sakemm is- snaplen jiżdied. Ipprova uża " -s 192 " biex tara t-traffiku NFS.

Il-pakketti tar-risposta NFS ma jidentifikawx espliċitament l-operazzjoni RPC. Minflok, tcpdump iżomm rekord ta 'talbiet "riċenti", u jaqbel mat-tweġibiet bl-użu tal-identifikazzjoni tat-tranżazzjoni. Jekk tweġiba ma ssegwix mill-qrib it-talba korrispondenti, tista 'ma tkunx tista' tiġi analizzata.

Talbiet u tweġibiet AFS

It-talbiet u t-tweġibiet ta 'Transarc AFS (Andrew File System) huma stampati bħala:

src.sport> dst.dport: rx pakkett tat-tip src.sport> dst.dport: rx pakkett tat-tip tas-sejħa tas-servizz isem tas-sejħa args src.sport> dst.dport: rx servizz tat-tip ta 'packet replika call-name args elvis. 7001> pike.afsfs: rx data fs imsejħa semmi mill-ġdid fid 536876964/1/1 ".newsrc.new" ġdida fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs irrispondi semmi mill-ġdid

Fl-ewwel linja, il-elvis ospitanti jibgħat pakkett RX biex jimmatura. Dan kien pakkett ta 'data RX lis-servizz fs (fileserver), u huwa l-bidu ta' sejħa RPC. Is-sejħa RPC kienet semmi mill-ġdid, bl-id tal-fajl tad-direttorju qadim ta '536876964/1/1 u isem tal-file qadim ta' ".newsrc.new", u fajl ġdid id tal-fajl ta '536876964/1/1 u isem ġdid ta' ". newsrc '. Il-pike ospitanti twieġeb bi tweġiba RPC għas-sejħa rename (li kienet suċċess, minħabba li kienet pakkett tad-dejta u mhux pakkett ta 'abort).

B'mod ġenerali, l-RPCs kollha tal-AFS huma dekodifikati mill-inqas skont l-isem tas-sejħa RPC. Il-parti l-kbira ta 'l-AFS RPC għandhom għallinqas xi wħud mill-argumenti dekodifikati (ġeneralment biss l-argumenti' interessanti ', għal xi definizzjoni ta' interessanti).

Il-format huwa maħsub biex jiddeskrivi lilu nnifsu, iżda probabbilment ma jkunx utli għal persuni li mhumiex familjari mal-ħidma ta 'AFS u RX.

Jekk il-bandiera -v (verbosa) tingħata darbtejn, pakketti ta 'konferma u informazzjoni addizzjonali tal-header hija stampata, bħalma hi l-ID ta' sejħa RX, numru tas-sejħa, numru ta 'sekwenza, numru tas-serje u bnadar pakketti RX.

Jekk il-bandiera v hija mogħtija darbtejn, informazzjoni addizzjonali hija stampata, bħall-ID ta 'sejħa RX, in-numru tas-serje, u l-bnadar pakketti RX. L-informazzjoni dwar in-negozjar MTU hija stampata wkoll minn pakketti ta 'RX ack.

Jekk il-bandiera -V tingħata tliet darbiet, l-indiċi tas-sigurtà u l-id tas-servizz huma stampati.

Kodiċijiet ta 'l-iżbalji huma stampati għal pakketti ta' abort, bl-eċċezzjoni ta 'pakketti ta' beam ta 'Ubik (minħabba li pakketti ta' abort jintużaw biex juru vot iva għall-protokoll Ubik).

Innota li t-talbiet ta 'l-AFS huma kbar ħafna u ħafna mill-argumenti ma jiġux stampati sakemm is- snaplen ma jiżdiedx. Ipprova uża ' -s 256 ' biex tara t-traffiku ta 'l-AFS.

Pakketti ta 'risposta AFS ma jidentifikawx b'mod espliċitu l-operazzjoni RPC. Minflok, tcpdump iżomm rekord ta 'talbiet "riċenti", u jaqbel mat-tweġibiet billi juża n-numru tas-sejħa u l-ID tas-servizz. Jekk tweġiba ma ssegwix mill-qrib it-talba korrispondenti, tista 'ma tkunx tista' tiġi analizzata.

KIP Appletalk (DDP f'Udp)

Il-pakketti ta 'l-Appletalk DDP inkapsulati fid-datagrammi UDP huma de-encapsulated u dumped bħala pakketti DDP (jiġifieri, l-informazzjoni kollha tal-header UDP tintrema). Il-fajl /etc/atalk.names jintuża biex tittraduċi n-numri tan-netti u n-numri tal-appletalk għal ismijiet. Il-linji f'dan il-fajl għandhom il-formola

numru isem 1.254 ether 16.1 icsd-net 1.254.110 ass

L-ewwel żewġ linji jagħtu l-ismijiet tan-netwerks tal-appletalk. It-tielet linja tagħti l-isem ta 'ospitant partikolari (ospitanti huwa distint minn xibka bit-3 octet fin-numru - numru nett għandu jkollu żewġ octetti u numru ospitanti għandu jkollu tliet octetti). In-numru u l-isem għandhom ikunu separati bi spazju vojt (blanks jew tabs). Il-fajl /etc/atalk.names jista 'jkun fih linji vojta jew linji ta' kummenti (linji li jibdew b '"#").

L-indirizzi ta 'Appletalk huma stampati fil-forma:

net.host.port 144.1.209.2> icsd-net.112.220 uffiċċju.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Jekk il-/ etc / atalk.names ma teżistix jew ma fihx dħul għal xi appletalk host / net number, l-indirizzi huma stampati f'forma numerika.) Fl-ewwel eżempju, NBP (port DDP 2) fuq nett 144.1 in-nodu 209 qed jibgħat dak kollu li qed jisma 'fuq il-port 220 tan-node net icsd 112. It-tieni linja hija l-istess ħlief li l-isem sħiħ tan-nodu sors huwa magħruf (' uffiċċju '). It-tielet linja hija tibgħat mill-port 235 fuq il-node 14ss netti biex tixxandar fuq il-port NBP icsd-net (innota li l-indirizz tax-xandir (255) huwa indikat b'isem nett mingħajr numru ospitanti - għal din ir-raġuni hija idea tajba biex iżommu l-ismijiet tan-nodi u l-ismijiet netti distinti f'/ etc / paralk.names).

Il-protokoll ta 'NBP (protokoll li jorbot isem) u ATP (protokoll ta' tranżazzjoni Appletalk) għandhom il-kontenut tagħhom interpretat. Protokolli oħra sempliċiment ineħħu l-isem tal-protokoll (jew in-numru jekk l-ebda isem ma jkun irreġistrat għall-protokoll) u d-daqs tal-pakkett.

Il-pakketti NBP huma fformattjati bħall-eżempji li ġejjin:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-tweġiba 190: "techpit: LaserWriter @ *" 186

L-ewwel linja hija talba ta 'l-isem tat-tfittxija għal laserwriters mibgħuta minn icsd ospitanti nett 112 u mxandra fuq net jssmag. L-id nbp għal-Lookup hija 190. It-tieni linja turi tweġiba għal din it-talba (innota li għandha l-istess id) minn jssmag.209 ospitanti billi tgħid li għandha riżors laserwriter imsejjaħ "RM1140" irreġistrat fuq port 250. It-tielet linja hija risposta oħra għall-istess talba billi tgħid li techpit ospitanti għandu laserwriter "techpit" irreġistrat fuq il-port 186.

L- ifformattjar tal- pakkett ta 'l-ATP jintwera permezz ta' l-eżempju li ġej:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 jibda l-identifikazzjoni tat-tranżazzjoni 12266 ma 'elli ospitanti billi jitlob sa 8 pakketti (il- "0-7>"). In-numru hex fit-tarf tal-linja huwa l-valur tal-qasam `userdata 'fit-talba.

Helios jirrispondi b'8 pakketti ta '512-byte. Il- "ċifra" wara l-identità tat-tranżazzjoni tagħti n-numru tas-sekwenza tal-pakkett fit-transazzjoni u n-numru fil-pari huwa l-ammont ta 'dejta fil-pakkett, eskluż l-intestatura atp. Il- "*" fuq il-pakkett 7 jindika li l-bit EOM kien stabbilit.

Jssmag.209 imbagħad jitlob li l-pakketti 3 u 5 jerġgħu jiġu trasmessi. Helios jibgħathom mbagħad jssmag.209 jirrilaxxa t-tranżazzjoni. Fl-aħħarnett, jssmag.209 jibda t-talba li jmiss. Il- "*" fuq it-talba tindika li XO ('eżattament darba') ma kienx stabbilit.

Fragmentazzjoni IP

Datagrams tal-Internet frammentati huma stampati bħala

( ID tal- biċċa : daqs @ offset +) ( ID tal- biċċa : daqs @ offset )

(L-ewwel formola tindika li hemm aktar frammenti. It-tieni tindika li dan huwa l-aħħar framment.)

Id hija l-id frammentata. Id-daqs huwa d-daqs tal-framment (f'bytes) minbarra l-intestatura IP. It -tpaċija hija t-tpaċija ta 'dan il-framment (f'bytes) fid-datagram oriġinali.

L-informazzjoni tal-framment toħroġ għal kull framment. L-ewwel framment fih il-header tal-protokoll ta 'livell ogħla u l-info tal-frotta hija stampata wara l-info tal-protokoll. Il-frammenti wara l-ewwel ma fihom ebda header tal-protokoll ta 'livell ogħla u l-informazzjoni tal-frotta hija stampata wara l-indirizzi tas-sors u tad-destinazzjoni. Per eżempju, hawnhekk hija parti minn ftp minn arizona.edu għal lbl-rtsg.arpa fuq konnessjoni CSNET li ma tidhirx li timmaniġġa 576 datagramma tal-byte:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data :. ack 1536 jirbaħ 2560

Hemm ftit affarijiet li wieħed għandu jinnota hawn: L-ewwel, l-indirizzi fit-tieni linja ma jinkludux in-numri tal-port. Dan huwa minħabba li l-informazzjoni tal-protokoll TCP hija kollha fl-ewwel framment u ma għandniex idea x'inhuma n-numri tal-port jew tas-sekwenza meta nipprintjaw il-frammenti ta 'wara. It-tieni, l-informazzjoni tas-sekwenza tat-tcp fl-ewwel linja hija stampata daqs li kieku kien hemm 308 byte ta 'dejta tal-utent meta fil-fatt hemm 512 byte (308 fl-ewwel fraġli u 204 fit-tieni). Jekk qed tfittex toqob fl-ispazju tas-sekwenza jew tipprova tqabbad ma 'pakketti, dan jista' iqarqu.

Pakkett bil-bandiera ta 'l-IP mhux frammentat huwa mmarkat bi tfakkira (DF) .

Timestamps

B'mod default, il-linji tal-ħruġ kollha huma preċeduti minn timestamp. Is-timestamp huwa l-ħin tal-arloġġ attwali fil-formola

hh: mm: ss.frac

u hija preċiża daqs l-arloġġ tal-kernel. Il-marka tal-ħin tirrifletti l-ħin meta l-qalba l-ewwel raw il-pakkett. Ma jsir l-ebda tentattiv biex jingħata kont taż-żmien bejn meta l-interface ethernet ineħħi l-pakkett mill-wajer u meta l-kernel serva 'l-interruzzjoni tal-'pakkett ġdid'.

ARA UKOLL

traffiku (1C), nit (4P), bpf (4), pcap (3)

Importanti: Uża l-kmand tal- bniedem ( % raġel ) biex tara kif tintuża kmand fuq il-kompjuter partikolari tiegħek.