Tcpdump - Linux Command - Unix Command

NAME

tcpdump - тармакта бир кыймылын агызууга

Кыскача баяндама

tcpdump [-adeflnNOpqRStuvxX] [е саны]

[-C FILE_SIZE] [-F билэ]

[-i Interface] [-м модулу] [-r билэ]

[Сатылышы snaplen] [-T түрү] [-U колдонуучу] [-w билэ]

[-E Algo: жашыруун] [сөз айкашы]

DESCRIPTION

Tcpdump логикалык туюнтма дал бир тармак боюнча пакеттерди аттарын чыгарат. Ошондой эле кийинчерээк талдоо үчүн делосуна топтом маалымат сактап себеп -w желеги менен иштетүү мүмкүн, жана / же сакталган пакет делосуна тартып пакеттерди окууга эмес, окуп, аны себеп -r желеги менен болот бир тармак келген. Бардык учурларда гана дал келген сөздөр tcpdump тарабынан иштелип чыгат пакеттери.

Tcpdump, -C желеги менен чуркап жок болсо, же болбосо, адатта, өлтүрүү менен түзүлгөн бир SIGTERM белги ((мисалы, сиздин үзүү мүнөзү, адатта, контролдук-C жазуу менен, түзүлгөн) ал SIGINT белги үздү чейин пакеттерди басып улантат (1) буйрук); -C желеги менен чуркап келсе, анда ал бир SIGINT же SIGTERM сигнал үздү же пакеттерди көрсөтүлгөн саны иштелип чейин пакеттерди басып алат.

Tcpdump пакеттерди басып аяктагандан кийин, ал добуштар отчет берет:

пакеттерди `` чыпкалуу алган '' (мунун мааниси сен tcpdump иштеп турган OS көз каранды, ал эми OS өзгөрүүлөр болгон жолдо, сыягы, - бир чыпкасы буйрук сабында көрсөтүлгөн болсо, кээ бир .Ошол боюнча эсептеди пакеттерди карабастан, алар чыпкасы сөз менен дал келген же жана башка .Ошол боюнча чыпкасы сөз менен дал келген жана tcpdump) тарабынан иштелип гана пакеттерди алынат;

OS өтүнмөлөрдү маалымат билдирди болсо пакеттерди ``, tcpdump иштеп турган OS менен топтом тутуу механизми боюнча, бейтарап мейкиндиктин жоктугунан улам, ядро '' (бул чыкан эмес пакеттердин саны азайган; эгерде жок болсо, анда 0 деп билдирди болот).

SIGINFO белги колдоо аянтчалар жөнүндө, мисалы, көпчүлүк BSDs эле, (мисалы, түзүлгөн, сиздин `` статусу "" мүнөзү, адатта, контролдук-T жазуу менен), ошол эсептөөнү ал SIGINFO сигнал кабыл отчет берет жана пакеттерди басып улантат .

бир тармак тартып пакеттерди окуу сиз өзгөчө сыймыкка ээ болуусун талап кыла алат:

Under SunOS 3.x же нит же BPF менен 4.x:

Сиз / четтөө / нит же / иштеп чыгуучунун / BPF * мүмкүнчүлүгүн окуп керек.

DLPI менен Solaris ылайык:

Сиз тармак жасалма аппаратка окуу / жазуу мүмкүнчүлүгүн керек, мисалы, / четтөө / л. Solaris, жок дегенде, кээ бир котормолорунда Бирок, бул tcpdump башаламан режимде басып уруксат берүү үчүн жетиштүү эмес; Solaris ошол түрү боюнча, сиз башаламан режиминде басып үчүн тамыры, же tcpdump, тамырын setuid орнотулушу керек болушу керек. Сиз башаламан режиминде басып жок болсо да, (балким, бардык) Interfaces көп боюнча Эскертүү, сен ушунчалык башаламан режимде иш эмес, кармоо абдан пайдалуу болушу мүмкүн эмес, ар бир чыккан пакеттерди көрө албайсыз.

HP-UX DLPI менен ылайык:

Сиз тамыры же tcpdump жоюу үчүн setuid орнотулушу керек болушу керек.

Under Irix Snoop менен:

Сиз тамыры же tcpdump жоюу үчүн setuid орнотулушу керек болушу керек.

Linux ылайык:

Сиз тамыры же tcpdump жоюу үчүн setuid орнотулушу керек болушу керек.

ULTRIX жана Digital UNIX / Tru64 UNIX астында:

Ар бир колдонуучу tcpdump менен тармак жол басып алат. Бирок, эч кандай колдонуучу (ал тургай, супер-колдонуучу эмес) супер-билан мизинде-режими pfconfig колдонуу менен иштей негизинде (8), жана эч кандай колдонуучу (да, супер-колдонуучу эмес, жардам берип жатат, эгер иштей боюнча башаламан режиминде басып алат ) супер колдонуучу pfconfig колдонуу менен иштей боюнча көчүрмөсү-бүт-режими ишин иштетилген болсо, иштей ушунчалык пайдалуу пакет тартып, кыязы, талап же мизинде-режими же көчүрмөсү, эгер иштей машина менен алынган же жиберген unicast жол басып алат турагы-режими операция, же иш-эки ыкмаларын, ал иштей иштетүү.

BSD ылайык:

Сиз / иштеп чыгуучунун / BPF * мүмкүнчүлүгүн окуп керек.

Сакталган пакет билэни окуу өзгөчө артыкчылыктарды талап кылбайт.

OPTIONS

-a

аталыштарга тармак жана уктуруу дарегин алмаштырууга аракет кылышат.

-C

Саны пакеттерди алгандан кийин чыгуу.

-C

Бир Savefile үчүн чийки пакетин айтардын алдында, ошондуктан, эгерде билэ FILE_SIZE менен, салыштырмалуу көп экенин текшерип учурдагы Savefile жабуу жана жаңы бир ачуу. Биринчи Savefile кийин Savefiles 2 баштап жана андан жогорку жаштагы уланып, андан кийин бир нече, -w желеги менен көрсөтүлгөн аталышка ээ болот. FILE_SIZE бирдиги байттар миллиондогон (1,000,000 байт эмес, 1.048.576 байт).

-D

стандарттык өндүрүү жана токтоп адам окула түрүндө түзүлгөн топтом салыштыруу коду таштады.

-DD

С программасы сыныгына катары топтом салыштыруу коду таштады.

-ddd

Dump ондук сан катары топтом салыштыруу коду (эсептөө менен башталат).

-E

ар бир таштанды сапта шилтемеси-деңгээл аталышы Басып чыгаруу.

-E

Колдонуу Algo: IPsec ESP пакеттерди протоколдорду үчүн жашыруун. Алгоритмдер де-CBC болушу мүмкүн, 3DES-CBC, Blowfish-CBC, rc3-CBC, cast128-CBC, же жок. Демейки Дес-CBC болуп саналат. Tcpdump иштетилген Колдонмо менен түзүлгөн болсо пакеттерди чечмелөө жөндөмү бар. жашыруун ESP жашыруун ачкыч үчүн ASCII текст. Биз бул учурда мыйзамсыз бинардык мааниси кабыл алынышы мүмкүн эмес. параметр RFC2406 ESP эмес, RFC1827 ESP болжолдойт. параметр гана ой мүчүлүштүктөрдү үчүн, чынында эле, `жашыруун" ачкычы менен бул параметрди колдонуу чөккөн. Буйрук сабында көздөй IPsec жашыруун ачкычын тапшыруу менен пс (1) жана башка жолу аркылуу, балким, башкаларга көрүнөө болот.

-f

Басып чыгаруу `сан эмес, каймана мааниде чет элдик" интернет даректери (бул параметр, адатта, ал түбөлүк эмес жергиликтүү интернет номерлерди которууда асылып --- күндүн Yp жүрүш-жылы олуттуу зыян мээ алуу үчүн арналган).

-F

Чыпкасы билдирүү үчүн киргизүү сааты колдонуу. командалык саптан берилбейт кошумча сөз айкашы эске алынбайт.

-i

Иштей боюнча ук. Эгерде белгисиз, tcpdump төмөн санап, ордунан өзгөрүүлөр иштей системасы Interface тизмесин (албаганда Адегенде loopback'ты) изилдейт. Байланыштар алгачкы матчты тандап талкаланып жатат.

Linux системасын 2.2 же андан данынын жөнүндө, `` кандайдыр бир "бир Interface аргумент" бардык сызууларды чейин пакеттерди басып үчүн колдонсо болот. `` Бир '' түзмөктө басып Note башаламан режимде ишти аягына чыгара албай калышат.

-l

түрдөгү stdout линиясын жасоо. Аны басып жатканда маалыматты келсе пайдалуу. мисалы,
`` Tcpdump -l | Tee жообун '' же `` tcpdump -l> жообун & куйругу -f жообун ''.

-м

Билэ модулда тартып МАИнин MIB модулу аныктамаларды жүктөө. Бул параметр tcpdump бир нече MIB модулдарды жүктөй бир нече жолу пайдаланса болот.

-н

аталыштарга алуучу дарегин динине эмес. Бул DNS Lookups качуу үчүн да колдонсо болот.

-nn

да аталыштарга протокол жана порт номерлерин ж.б. динине эмес.

-N

кабыл алуучу аталыштар домендик аты дасыгын басып чыгарууга болбойт. Мисалы, бул желек бере турган болсо, анда tcpdump `` ык '' ордуна `` nic.ddn.mil жөнүндө "басып калат".

-O

пакет салыштыруу коду оптимизатору качпагыла. Бул оптимизатору ката бар деп шек гана пайдалуу.

-p

Башаламан режимге макамын салып бербе. Interface дагы башка себептерден улам башаламан режиминде болушу мүмкүн экенин эске; Андыктан, `-p '` Акмаралым алуучу {жергиликтүү HW-дарк} же Акмаралым берүү үчүн кыскартылган катары пайдаланылышы мүмкүн эмес.

-q

Quick (тынч?) Чыгаруу. Саптарды чыгаруу кыска, ошондуктан азыраак протокол маалымат.

-R

Өзүнө ESP / AH пакеттерди эски өзгөчөлүгүн эске алуу керек (RFC1829 үчүн RFC1825). Көрсөтүлгөн болсо, анда tcpdump калдун алдын талаасын басып чыгара берет. ESP / AH тактоо боюнча эч кандай протокол версия талаа жок болгондуктан, tcpdump ESP / AH протокол нускасын чыгарууга мүмкүн эмес.

-r

Билэ окуп пакеттерди (-w тандоосу менен түзүлгөн). '' - билэ `` болсо Стандарттык киргизүү колдонулат.

-S

абсолюттук эмес, салыштырмалуу, TCP катар сандарды чыгар.

-s

68 ар бир пакетине демейки эмес маалыматтарга snaplen байттар Snarf (SunOS анын нит менен минималдык иш жүзүндө 96 болуп саналат). 68 байт IP, ICMP, TCP жана UDP үчүн жетиштүү болуп саналат, ал эми аты жүрүш жана NFS пакетинен (төмөндө кара) протокол маалыматты кыскарат мүмкүн. Пакеттери чектелген сүрөттөлүшүн өндүрүшүнүн менен `` [көрсөтүлгөн улам бузулган | прото] '' '' 'прото кыскартууга кетти турган протокол деъгээлинин аты кайда. да көп сигналдарды алуу убактысынын өлчөмүн көбөйтөт, ал пакеттерди иштеп чыгуу талап кылынат жана натыйжалуу, топтом Топтолууда суммасы азаят деп жазылган. Бул пакет жоготулат алып келиши ыктымал. Сизди кызыктырган Сиз протокол маалыматтарды басып алат кичинекей саны snaplen чектөө керек. 0 каражаттары бүт пакеттерди кармоо үчүн зарыл узундугун пайдаланууга snaplen коюлууда.

-T

"Сөз" тарабынан тандалып алынган Force пакеттерди белгилүү түрүн чечмелениши керек. Учурда түрлөрү cnfp экендиги белгилүү (Cisco NetFlow протоколу), RPC (Remote тартиби Call), Энекем (реалдуу убакыт Тиркемелер протоколу), rtcp (реалдуу убакыт Тиркемелер Башкаруу Протоколу), SNMP (Simple Network Management протоколу), Саха (Visual Audio курал- ) жана Дүйнөлүк банктын (Ак окулган таратылган).

-t

Ар бир таштанды сапта убакыт басып чыгарууга болбойт.

-tt

ар бир таштанды линиясында unformatted жерден Басып чыгаруу.

-U

Тамыры сыймыктуу жана колдонуучу ID колдонуучу жана топтук ID үчүн пайдалануучу негизги тобуна өзгөрөт төмөндөйт.

Эскертүү! башка эч нерсе белгиленбесе, анда Red Hat Linux колдонуучуга жазуусу үчүн артыкчылыктарды капли `` pcap ''.

-ttt

ар бир таштанды сапта учурдагы жана мурунку сапта ортосунда Delta (микро-секунданын ичинде) Басып чыгаруу.

-tttt

ар бир таштанды сапта күнгө деди демейки түрдө убакыт Басып чыгаруу.

-u

Басып чыгаруу NFS барат undecoded.

-v

(Бир аз көбүрөөк) дайын чыгаруу. Мисалы, убакыт жашап, аныктоо, жалпы узундугу жана IP топтомундагы параметрлери басылат. Ошондой эле, мисалы, IP жана ICMP баш суммага текшерүү кошумча пакет бүтүндүгүн текшерүү берет.

-vv

Андан да дайын чыгаруу. Мисалы, кошумча талаалары NFS жооп пакетинен басылма жана КОИ пакет толугу менен чечмеленет.

-vvv

Андан да дайын чыгаруу. Мисалы, кируу SB ... SE параметрлери толугу менен басылат. Менен -X кируу параметрлери, ошондой эле HEX менен басылат.

-w

Сүйлөм басып, аларды эмес, берүүгө, чийки пакеттерди жазуу. Убакыт өткөндөн кийин, алар -r тандоосу менен басылып чыгышы мүмкүн. '' - билэ `` болсо стандарт чыгаруу колдонулат.

-x

HEX ар бир пакетин (минус, анын шилтемеси деңгээл аталышы) Басып чыгаруу. Бүткүл пакетине же snaplen байттар аз басылып чыгат. бул шилтеме катмар топтом болуп, шилтеме катмары үчүн блокнот (мисалы, Ethernet), толтургучтар байт, ошондой эле жогору турган катмар пакет талап толтургучтар кем болгондо басылып чыгат деп белгилешет.

-X

Хекс чыгарып, басма ASCII да. -x да коюлса Ошентип, эгерде, топтом болт / ASCII-жылы басылып чыккан. Бул жаңы протоколдорду талдоо үчүн колдо болгон эмес. -x да коюлган эмес болсо да, кээ бир пакеттерди айрым бөлүктөрүн болт / ASCII басылып калышы мүмкүн.

билдирүү

пакеттерди ташташат турган тандайт. Эч кандай сөз берген болсо, торго бардык пакеттерди ташташат болот. Антпесе, бир гана сөз `чыныгы" ташташат кылат болгон пакеттери.

Сөз айкашы бир же бир нече каралат турат. Primitives, адатта, бир же бир нече тандоо өткөн бир ID (аты-жөнү же номери) турат. тандоо үч ар кандай түрлөрү бар:

түрү

сөрөй ID аты же саны айтылат нерсеге кандай деп. Мүмкүн түрлөрү кабыл алуучу, таза жана порт болуп саналат. Мисалы, `алуучу баллада", `таза 128.3,` порт 20 '. Эч кандай түрү тандоо бар болсо, кабыл алуучу болжолдонууда.

реж

Румыния жана / же ID бир өзгөчө өткөрүп берүү багытын аныктайт. Мүмкүн багыттары СИБ, тема, курс же тема жана СИБ жана тема болуп саналат. Мисалы, `ГКЗ баллада", `келген тема же таза 128.3,` курс же тема порт FTP-маалымат ". Жок Канада, тандоо, курс же тема бар болсо кабыл алынат. `Нөл" -га шилтеме берген барактар катмарларын (мисалы, жагдай ушундай десек катары протоколдорду көрсөтүш үчүн) үчүн коно Чыгуучу сөрөй каалаган багытты көрсөтүү үчүн колдонулушу мүмкүн.

прото

сөрөй бир протоколго дал чектейт. Мүмкүн protos болуп саналат: наркоз, FDDI, ТР, IP, ip6, Кытай, rarp, decnet, TCP жана UDP. Мисалы, `Акмаралым ГКЗ баллада", `Arp таза 128.3,` TCP порт 21 '. эч кандай прото тандоо жок болсо, түрү менен шайкеш бардык протоколдор болжолдонууда. Мисалы, `УРА баллада" `(IP же Arp же rarp) билдирет УРА баллада" (акыркысынын юридикалык синтаксисин эмес, башка учурларда), `таза бар '` (IP же Arp же rarp) дегенди таза бар "жана` порт 53' каражаттар `(TCP жана UDP) порт 53 '.

[ `FDDI" иш жүзүндө `Акмаралым үчүн өлкө болуп саналат"; талдоочу мааниси `` аталган тармак боюнча колдонулган маалыматтар шилтемеси денгээлде эле айырмасыз кылат. '' FDDI баш Ethernet сыяктуу булагы жана көздөгөн дарегин, жана көп учурда Ethernet сыяктуу пакет түрлөрүн камтыйт, ошондуктан бул FDDI талааларында чыпкалап алат эле окшош Ethernet талаада менен. FDDI аталыштары башка талаалар бар, бирок сиз чыпкасы сөз ачык алардын атын мүмкүн эмес.

Ошо сыяктуу эле, `TR '` Акмаралым үчүн өлкө болуп саналат "; FDDI кукурузные жөнүндө мурунку пунктта билдирүүсү да Ring аттарын Токен колдонулат.]

Шлюз, радио, аз, жогору жана санариптик сөздөр: Жогоруда аталгандарга кошумча, кээ бир атайын `алгачкы үлгү эмес, ачкыч бар. Булардын баары баяндалат.

More татаал чыпкасы билдирген сөздөр менен, же жана Primitives айкалыштыруу эмес, жардамы менен курулуп жатат. Мисалы, `алуучу баллада жана порт FTP эмес, порт FTP-маалымат жок". Терип сактоо үчүн, бирдей тандоо тизмелери капарга албай коюуга болбойт. Мисалы, `TCP тема порт FTP же FTP-маалымат же домен" да дал ушундай эле `TCP тема порт FTP же TCP тема порт FTP-маалыматтардын же TCP тема порт доменде болот.

Жол берилген Primitives болуп төмөнкүлөр саналат:

келген тема же кабыл алуучу

Пакеттин IPv4 / V6 көздөгөн талаасы дарек же аталышы болушу мүмкүн санакка кирген болсо, анда чыныгы.

СИБ кабыл алуучу

Пакеттин IPv4 / V6 булагы талаа кабыл болсо, анда чыныгы.

кабыл алуучу алуучу

IPv4 / V6 пакетин булагы же бара турган аскерлери да, анда чыныгы. Жогоруда алуучу сөздөрдү ар кандай сөздөр, IP, Кытай, rarp менен коюлат болот, же болуп ip6:

Ип кабыл алуучу

бул барабар:

Акмаралым прото \ IP жана кабыл алуучу

Кабыл алуучу бир нече IP даректери менен аты болсо, анда ар бир дарек Дал текшерилет.

Акмаралым тема ehost

Ethernet көздөгөн дареги ehost болсо чыныгы. Ehost / ж.б. / ethers же бир нече бир аты болушу мүмкүн (кара ethers сан түрүндө үчүн (3N)).

Акмаралым СИБ ehost

Ethernet булагы дареги ehost болсо чыныгы.

Акмаралым алуучу ehost

Ethernet булагы же багыт дареги ehost болсо, анда ал чыныгы.

шлюз кабыл алуучу

Пакет тепкич катары кошуунун колдоно турган болсо, чыныгы. Башкача айтканда, Ethernet булагы же багыт дареги аскери болгон, бирок IP булагы да, IP көздөлгөн да кабыл алган болчу. Хост аты болушу керек жана машинанын кабыл алуучу-аты-а-IP-даректен чечим механизмдер менен (кабыл алуучу аты билэ, DNS, КМШ, ж.б.) да табууга болот жана машинанын кабыл алуучу-аты-а-Ethernet-дареги токтому менен механизми (/ ж.б. / ethers, ж.б.). (An барабар билдирет

Акмаралым алуучу ehost кошуунду өтөт жок

бул алуучу / ehost үчүн же аталыштары же сандар менен колдонсо болот.) Бул синтаксиси учурда IPv6 иштетилген түзүмүн иштебейт.

келген тема же таза таза

IPv4 / V6 көздөгөн пакетин дареги тордун бир тармак бар болсо, чыныгы. Net / ж.б. / тармактардын же тармак номери (түйүндөрдү көрүш (4) чоо-жайын билүү үчүн) бир аты болушу мүмкүн.

СИБ таза таза

IPv4 / V6 булагы пакетин дареги тордун бир тармак бар болсо, чыныгы.

таза таза

Же IPv4 / V6 булагы же багыт пакетин дареги тордун бир тармак бар болсо, чыныгы.

таза таза маска менен ырастап көрөт

IP дареги белгилүү түйюндүн менен торду дал келсе, чыныгы. МКК же тема менен жарактуу болушу мүмкүн. Бул синтаксисин IPv6 торго үчүн жарактуу эмес экенин белгилешет.

таза таза / Лен

IPv4 / V6 дареги туурасы бир ырастап: newtext.append бит менен торду дал келсе, чыныгы. МКК же тема менен жарактуу болушу мүмкүн.

тема порт порту

Пакет, ИП / TCP, IP / UDP, ip6 / TCP же ip6 / UDP жана портуна бир көздөгөн порт мааниге ээ болсо, анда чыныгы. Порт бир катар же / ж.б. колдонулган аты болот / кызмат (кара TCP (4P) жана UDP (4P)). аты колдонулган болсо, порт саны жана протокол да текшерилет. Бир катар же эки жактуу аты колдонулган болсо, анда бир гана порт саны (мисалы, тема порт 513 да TCP / кирүү кыймылын жана UDP / кыймылы жана порт домен TCP / доменди жана UDP / домен кыймылын да бирнчи бирнчи) текшерилет.

СИБ порт порту

Пакет портуна булагы порт мааниге ээ болсо, чыныгы.

порт порту

Пакеттин булагы же бара турган порт порту, анда ал чыныгы. Ошондой эле жогоруда аталган порту сөздөрдү ар кандай сөздөр, TCP жана UDP менен коюлат болот:

TCP СИБ порт порту

гана TCP пакеттерди кимдин булагы порт порту дал келет.

аз узундугу

Пакет узундугуна азыраак же ага барабар узундугу бар болсо, чыныгы. Бул барабар:

Лен <= узундугу.

көбүрөөк узундугу

Пакет узундугуна же барабар узундугу көбүрөөк болсо, анда чыныгы. Бул барабар:

Лен> = узундугу.

Ип прото протоколу

Пакет бир IP пакет болсо, чыныгы (кара IP протоколу түрү протоколдун (4P)). Протоколу бир катар же аттары ICMP, icmp6, igmp, EIGRP протоколдору, ДЖЖда, ах бири, ESP, vrrp, UDP, же TCP болушу мүмкүн. Аныктагычтары, TCP Белгилей кетсек, UDP жана ICMP да ачкыч сөздөр менен C-орбитада \\ болгон слэш (\), аркылуу качып кылынышы керек. Бул алгачкы протокол баш тизмегин куушкан жок экенин белгилешет.

ip6 прото протоколу

Пакет протокол түрү протоколунун IPv6 пакет болсо чыныгы. Бул алгачкы протокол баш тизмегин куушкан жок экенин белгилешет.

ip6 protochain протоколу

Пакет IPv6 пакет болсо чыныгы, анын протокол баш чынжырында түрү протоколго протокол аталышы бар. Мисалы,

ip6 protochain 6

протокол баш чынжырында TCP протоколу бөркү менен ар кандай IPv6 пакетин дал келет. пакет, мисалы, камтышы мүмкүн, текшерүү баш, банктын аталышы, IPv6 баш жана TCP баш ортосунда, же хоп-менен-хоп параметр баш. BPF коду бул алгачкы чыгарган татаал жана tcpdump менен BPF оптимизатору кодекси менен оптималдаштыруу мүмкүн эмес, ошондуктан, бул бир аз жай болушу мүмкүн.

Ип protochain протоколу

Ip6 protochain протоколго барабар, бирок бул IPv4 болот.

Акмаралым берүү

пакет бир Ethernet берүү пакет болсо чыныгы. Акмаралым ачкыч милдеттүү болуп саналат.

Ип берүү

пакет бир IP берүү пакет болсо чыныгы. Ал ар-нөл жана бардык адамдарды таркатуу жыйындар да текшерип, жана жергиликтүү беткабы чейин көрүнөт.

Акмаралым топтук

пакет бир Ethernet топтук пакет болсо чыныгы. Акмаралым ачкыч милдеттүү болуп саналат. Бул `Нөөмөттө үчүн өтмө болуп саналат [0] & 1! = 0.

Ип топтук

пакет бир IP топтук пакет болсо чыныгы.

ip6 топтук

пакет бир IPv6 топтук пакет болсо чыныгы.

Акмаралым прото протоколу

Пакет Акмаралым түрү протоколдун болсо чыныгы. Протоколу бир катар же аттары ИМ бири ip6, Кытай, rarp, atalk, ААБ, decnet, байланыш агенттиги, лат, mopdl, moprc, ISO, тиричиликтик, ipx, же netbeui болушу мүмкүн. Бул белгилер да ачкыч болуп саналат жана слэш (\) аркылуу качып керек Эскертүү.

[FDDI учурда (мисалы, `FDDI протокол Arp") жана Токен Ring (мисалы, `TR протокол Arp"), ошол протоколдорду көпчүлүк үчүн, протокол аныктоо 802,2 Логикалык Байланыш Башкаруу (ЖЧК) Бөрк, келип, адатта FDDI же Токен Ring баш үстүнө катмардуу жатат.

FDDI же Токен Ring көпчүлүк протокол белгилер үчүн тарады да, tcpdump текшерүүлөрдүн 0x000000 гана протокол ID уюштуруу Unit менен аталган SNAP түрдө бир ЖЧК баш талаа аныктагычы (Ш), Encapsulated Ethernet үчүн; ал 0x000000 бир Да менен топтом SNAP түрдө текшерет эмес.

Өзгөчө ал DSAP текшерүү үчүн ISO, бар (Destination кызматы мүмкүндүк Пойнт) жана SSAP (Source кызматы мүмкүндүк Пойнт) бул ЖЧК баш болгон DSAP текшерет ЖЧК баш, ЧТАТЖнын жана netbeui, талаасы менен atalk, аны 0x080007 бир Oui менен SNAP-формат пакетин жана Appletalk etype үчүн текшерет.

Ethernet учурда, tcpdump ошол протоколдорду көпчүлүк үчүн Ethernet түрү талаа текшерет; өзгөчө бир Ethernet алкагында Appletalk etype үчүн жана үчүн да текшерип жерде ал FDDI жана Токен Ring, atalk үчүн эле бир 802.3 алкагында, андан кийин ЖЧК аталышы текшерет текшерип турган ISO, шире жана netbeui бар ал FDDI жана Токен Ring үчүн эле топтом SNAP-формат, ААБ, ал iPX etype текшерип ал Appletalk Arp etype 0x000000 бир да менен Ethernet алкагында же 802,2 SNAP алкагында да, ошондой эле ipx, текшерип-жылы бир Ethernet кадр, IPX ЖЧК баш DSAP, IPX эч кандай ЖЧК баш Encapsulation менен 802.3, жана SNAP алкагында IPX etype.]

decnet СИБ кабыл алуучу

Эгерде DECNET булагы дареги түрүндө `` 10,123 '', же DECNET кабыл аты дарек болушу мүмкүн кабыл алуучу, чыныгы. [DECNET алуучу аты колдоо DECNET чуркап өзгөрүүлөр жаткан ULTRIX системалар гана жеткиликтүү болот.]

decnet келген тема же кабыл алуучу

DECNET көздөгөн дареги кабыл болсо, анда чыныгы.

decnet кабыл алуучу

DECNET булагы же багыт дареги аскерлери да, анда чыныгы.

IP, ip6, Кытай, rarp, atalk, ААБ, decnet, ISO, тиричиликтик, ipx, netbeui

Кыскартуулардын үчүн:

Акмаралым прото-б

кайда б жогоруда протоколдордун бири болуп саналат.

лат, moprc, mopdl

Кыскартуулардын үчүн:

Акмаралым прото-б

кайда б жогоруда протоколдордун бири болуп саналат. Ошол tcpdump учурда бул протоколдорду талдай билүү эмес, Эскертүү.

vlan [vlan_id]

пакет бир IEEE 802.1Q VLAN пакет болсо чыныгы. [Vlan_id] көрсөтүлгөн болсо, жалгыз чыныгы пакет көрсөтүлгөн vlan_id ээ болот. Пакет бир VLAN пакет экенин биринчи vlan ачкыч сөз берүүлөрдүн сөз калган чечмелөө Offsets өзгөртпөйт ката кетсек.

TCP, UDP, ICMP

Кыскартуулардын үчүн:

IP прото-б же ip6 прото-б

кайда б жогоруда протоколдордун бири болуп саналат.

ISO прото протоколу

Пакет протокол түрү протоколунун OSI пакет болсо чыныгы. Протоколу бир катар же аттары clnp, esis, же каада-бири болушу мүмкүн.

clnp, esis, Исида

Кыскартуулардын үчүн:

ISO прото-б

кайда б жогоруда протоколдордун бири болуп саналат. Tcpdump бул протоколдорду талдоодо толук жумуш берет деп жазылган.

Expr relop Expr

Relop бир жерде байланышы ээ болсо, чыныгы>, <,> =, <=, =,! = Жана Expr бүтүн константаларынын курамы санариптик сөз айкашы (стандарттык C синтаксиси менен), кадимки бинардык операторлор [+ , -, *, /, &, |], узундугу оператору жана атайын топтом маалымат accessors. пакеттин ичине маалыматтарды алуу үчүн, төмөнкү синтаксисин колдонуу:

прото [Expr: көлөм]

Proto Роосиянын бири болуп саналат, FDDI, ТР, СЖП, кагазга, шилтемени, интеллектуалдык менчик, Arp, rarp, TCP, UDP, ICMP же ip6 жана индекси иштөө үчүн протокол катмарын көрсөтүп турат. (Этер FDDI, ТР, МЖӨ, жосунсуз жоруктарды жана шилтеме катмарын сөз шилтеме берген барак жок.) Деп TCP, UDP жана башка жогорку катмар протокол түрлөрү IPv4 гана колдонулат, жок IPv6 (бул келечекте туруктуу болот) Эскертүү. Көрсөтүлгөн протокол катмары салыштырмалуу, ордун байт, Expr тарабынан берилет. Көлөм милдеттүү болуп саналат жана пайыздык жаатындагы байттар санын көрсөтүп турат; бул да бир, эки же төрт, ал эми демейки бири болушу мүмкүн. Ачкычтуу сүйлөм боюнча Такалып тарабынан көрсөтүлгөн узундугу оператор, пакеттин узундугун берет.

Мисалы, `Алгашкы махаббат [0] & 1! = 0 бардык топтук кыймылын, аны кармайт +. Сөз айкашы `IP [0] & 0xf! = 5" жолдору менен IP пакеттерди кармайт. Сөз айкашы `IP [6: 2] & 0x1fff = '0' гана unfragmented datagrams жана бытыранды datagrams нөлдүк Frag, аны кармайт +. Бул чек толугу менен TCP жана UDP индекси ишине карата колдонулат. Мисалы, TCP [0] дайыма TCP баш биринчи Байт билдирет, жана аны эч качан бир кийлигишүү кол жазманын биринчи Байт билдирет.

Кээ бир окуудагы жана талаа баалуулуктар эмес, сандык көрсөткүч аттары катары көрсөтүлүшү мүмкүн. Төмөнкү протокол баш талаа окуудагы бар: icmptype (ICMP түрүнө жараша талаа), icmpcode (ICMP коду талаа) жана tcpflags (TCP желектери талаа).

Төмөнкү ICMP түрүнө жараша талаа маанилери бар: ICMP-echoreply, ICMP-unreach, ICMP-sourcequench, ICMP-багыттоо, ICMP-кайталады ICMP-routeradvert, ICMP-routersolicit, ICMP-timxceed, ICMP-paramprob, ICMP-tstamp, ICMP -tstampreply, ICMP-ireq, ICMP-ireqreply, ICMP-maskreq, ICMP-maskreply.

Төмөнкү TCP желектери талаа маанилери бар: TCP-FIN, TCP-сын, TCP-биринчи, TCP-Көтөрүү, TCP-Көтөрүү, TCP-ACK, TCP-Urg.

Primitives менен биригиши мүмкүн:

каралат жана операторлорунун бир parenthesized тобу (кашаалар Shell атайын жана аман керек).

Negation ( `!" Же `жок").

Чаптоо ( `&& 'же` жана ").

Кезек ( `||" же `же").

Negation жогорку артыкчылыкка ээ. Кезек менен чаптоо бирдей артыкчылык менен кошо оң калбады. Деп ачык Эскертүү жана белгилерин эмес, качып кутулууга мүмкүн, азыр чаптоо үчүн талап кылынат.

бир аныктагыч ачкыч жок эле берилген болсо, анда акыркы сүйлөм боюнча издөө кабыл алынат. Мисалы,

и өтөт жок жана жопа

үчүн кыска

и өтөт эмес, жана кабыл алуучу кины

менен чаташтырбоо керек

жок (кабыл алуучу VS же жопа)

Тушундуруу жүйөлөрү да ыңгайлуу болуп кайсынысы бир аргумент же бир нече далилдерди, же tcpdump өткөн болот. Жалпысынан алганда, сөз айкашы Shell metacharacters бар болсо, анда ал бир, келтирилген аргумент катары өтсө болот. талданбай чейин бир нече далилдер үзгүлтүктөрү менен көпчүлүк жатат.

мисалы

Бардык пакеттерди п же баткандан чыгып чыгарыш үчүн:

tcpdump алуучу Күн баткандан кийин

БК менен же ысык же кины ортосундагы кыймылын чыгарыш үчүн:

tcpdump алуучу БК жана \ (ысык же туз \)

Кины жана Гелиос кошпогондо, кандай гана болбосун кошуунунун ортосуна бардык IP пакеттерин чыгарыш үчүн:

tcpdump IP алуучу куралы эмес, Гелиос

Беркли жергиликтүү асман аскерлеринин Кудайы, Себайот ортосундагы бардык кыймылын чыгарыш үчүн:

tcpdump таза UCB-топко

Интернетке шлюз snup аркылуу FTP кыймылын чыгарыш үчүн: (сөз оболочкасы алдын алуу үчүн кылынган учурдан тартып (миссиябызды) кашаалар чечмелениши деп белгилешет):

tcpdump "шлюз snup жана (порт FTP же FTP-маалымат)

жол кыймылын жергиликтүү Себайот да алынган эмес баруучу чыгарыш үчүн (бир башка тармактан Gateway болсо, бул нерсе жергиликтүү торго, аны эч качан себеп болбошу керек).

tcpdump IP жана таза эмес, localnet

эмес, жергиликтүү аскерлерди билдирет ар бир TCP баарлашуунун башталышы жана бүтүшү пакеттерде (SYN жана FIN пакет) чыгарыш үчүн.

tcpdump "TCP [tcpflags] & (TCP-сын | TCP-FIN) = 0 жана СИБ жана келген тема же таза localnet жок"

IP топтомдорун басып чыгаруу үчүн мындан ары шлюз snup аркылуу жөнөтүлгөн 576 байт караганда:

tcpdump "шлюз snup жана IP [2: 2]> 576 '

Ethernet берүүгө же топтук аркылуу эмес, IP уктуруу же топтук пакеттерин чыгарыш үчүн:

tcpdump "Алгашкы махаббат [0] & 1 = 0 жана IP [16]> = 224 '

Бардык ICMP пакеттерди Эхо суроо-талаптар / жооптор эмес, чыгарыш үчүн (мисалы, пакеттерди стол эмес):

tcpdump "ICMP [icmptype]! = ICMP-сезим жана ICMP [icmptype]! = ICMP-echoreply"

ЧЫГУУ ФОРМАТЫ

Tcpdump көлөмү көз каранды протокол болуп саналат. төмөнкү түрдө көпчүлүк кыскача сыпаттамасы жана мисалдар берилет.

Link Даража Бөрктөр

"-E 'жол берилип жатса, шилтеме деңгээл баш басылып жатат. ethernets жөнүндө, булак жана көздөгөн даректери, протокол жана пакет узундугу басылып чыгат.

FDDI тармактар боюнча, "-E 'параметр` кадр башкаруу "жерин, булагын жана көздөгөн даректерин жана пакет узундугун басып tcpdump себеп болот. ( `Кадр башкаруу талаа пакетин эс иет Жөнөкөй пакеттерди (мисалы, IP datagrams камтыган) сыяктуу` асинхрондук болуп саналат. "0 жана 7 ортосунда артыкчылыктуу наркы бандеролдорду. Мисалы,` async4: "Мындай пакеттерди бир 802,2 логикалык Байланыш башкаруу (ЖЧК) пакетин камтышы божомолдуу ЖЧКсына сабы бул ISO datagram же деп аталган SNAP топтом эмес болсо, басылып жатат.

Токен Ring тармактар боюнча, "-E 'параметр` мүмкүндүк көзөмөлдү жана `кадр башкаруу талааларын, булак жана көздөгөн даректерин жана пакет узундугун басып tcpdump себеп болот. FDDI тармактары сыяктуу эле, пакеттерди бир ЖЧК пакетти бар деген божомолдоолор бар. "-E 'параметри көрсөтүлгөн көз карандысыз же жокпу, маалымат багытоо булагы булагы-талкалашкан пакеттерди үчүн басып жатат.

(Эскертүү: Төмөнкү сүрөттөлүшү RFC-1144 сүрөттөлгөн Экспресс кысуу алгоритм менен тааныштырат болжолдойт.)

Экспресс байланышы жөнүндө, багыты мааниден ( `` мен '' ташылып үчүн `` O '' ТК үчүн), пакет түрү жана кысуу маалымат чыгып, басылып жатат. пакет түрү биринчи жолу басылып жатат. Үч түрлөрү IP, utcp жана ctcp болуп саналат. Мындан ары шилтеме маалымат IP-пакеттерди үчүн басып жатат. TCP пакеттерди үчүн, байланыш аныктагыч түрү төмөнкү басылып жатат. пакет кысылган болсо, анын шарттуу баш басылып жатат. Өзгөчө учурлар * S катары басылып чыгып + н жана * SA + н, н катар саны (же катар номери жана ACK) турган сумма өзгөрдү. бул өзгөчө бир окуя жок болсо, нөлгө барабар же андан көп өзгөрүүлөр басылып чыгат. А өзгөртүү U (шашылыш көрсөткүчү) тарабынан көрсөтүлөт, W (терезе), А (ACK), S (катар номери) жана I (топтом ID), бир салаасы (+ н же -н) кийин, же жаңы маани (= н). Акыр-аягы, пакетине жана кысылган баш узундугу маалыматтардын суммасы басылып чыгат.

Мисалы, төмөнкү сызык тымызын байланыш аныктагычынын менен Чыгуучу кысылган TCP пакетин, көрсөтүп турат; 6-ACK өзгөрдү, 49-катар номери, жана 6-топтом ID; кысылган баш маалыматтары жана 6 байт 3 байт бар:

Оо, ctcp * A + 6 S + 49 + 6 3 (6)

Arp / RARP пакеттери

Arp / rarp чыгаруу өтүнүчү менен анын аргументүү түрүн көрсөтөт. формат өз алдынча түшүнүк болуп калды. Бул жерде csam өтөт rtsg бир `rlogin" башынан бери кыска үлгү болуп саналат:

-Элек csam rtsg Arp жооп csam CSAM боюнча-айтып Arp

Биринчи линия rtsg интернет алуучу csam боюнча Ethernet дареги сурап бир Arp пакетин жөнөттү деп айтылат. Csam анын Ethernet дареги менен жооп (бул, мисалы, Ethernet дареги төмөнкү учурда капкактарды жана интернет-даректеринин бар да).

Биз tcpdump -н кылган болсо, бул аз ашыкча болмок:

Arp 128.3.254.68 Arp жооп айтып 128.3.254.6 ким бар 128.3.254.6-саат 02: 07: 01: 00: 01: c4

Биз эмне болсо tcpdump -e, биринчи пакет уктуруулардын жана экинчи бул калыбына келтирүү үчүн чагылдырма-көрүнгүдөй болуп саналат:

RTSG уктуруу 0806 64:-ким csam жарыя rtsg Arp CSAM RTSG 0806 64: Arp жооп csam CSAM боюнча турат

биринчи пакетине үчүн Ethernet булагы дареги RTSG дейт, көздөгөн Ethernet уктуруу дареги, түрүнө жараша талаа камтылган болт 0806 (түрү ETHER_ARP) жана жалпы узундугу 64 байт эле.

TCP пакеттери

(Эскертүү: Төмөнкү сүрөттөлүшү RFC-793 сүрөттөлгөн TCP протоколу менен тааныштырат болжолдойт Эгер протокол менен тааныш эмес болсо да, бул жерде айтылгандар да, tcpdump силер үчүн көп пайда болот.).

бир TCP протоколу сызыктын жалпы формат болуп саналат:

СИБ> тема: желектери маалыматтарды seqno ACK терезе шашылыш параметрлери

Src жана келген тема же булагы жана көздөгөн IP даректери жана портторду болуп саналат. Желектер S (SYN), F (FIN), P (PUSH) же R (эсепке алуу) же бир `айрым айкалышы болуп саналат." (Эч кандай желектер). Маалымат-seqno бул топтомундагы маалыматтар камтылган катар аянтынын бөлүгүн сүрөттөйт (Төмөндөгү мисалды кара). Ack кийинки маалыматтардын тизмеги саны Ушуга байланыштуу башка жетекчилигин күтүшкөн эмес. Терезе Ушуга байланыштуу башка багытын жеткиликтүү туруучу орун алган байттар саны болуп саналат. Urg топтомундагы `шашылыш" маалыматтар бар көрсөтүп турат. Жолдор бурчтуу кашаанын ичинде тиркелген TCP параметрлери (мисалы, <ССС 1024>).

Src, тема жана желектер дайыма бар. Башка топтом анын TCP протоколу баш мазмунуна көз каранды, эгер тиешелүү гана чыгаруу болуп саналат.

Бул жерде csam өтөт rtsg бир rlogin ачылыш бөлүгү болуп саналат.

rtsg.1023> csam.login: S 768512: 768512 (0) 4096 <ССС 1024> csam.login> rtsg.1023 утуп: S 947648: 947648 (0) 768513 4096 <ССС 1024> rtsg.1023> csam утуп Ack. логин:. P: 1: 2 (1) ACK 1 4096 csam.login> rtsg.1023 утуп 1 4096 rtsg.1023> csam.login утуп Ack:. Тастыктоо 2 4096 rtsg.1023> csam.login утуп: P 2:21 (19) ACK 1 утуп 4096 csam.login> rtsg.1023: P 1: 2 (1) 21 4077 утуп ACK csam.login> rtsg.1023: P 2: 3 (1) 21 утуп ACK 4077 Urg 1 csam.login> rtsg.1023: P 3: 4 (1) 21 4077 Urg утуп ACK 1

Биринчи линия rtsg боюнча TCP порт 1023 csam порт кирүүдө бир пакетин жөнөттү деп айтылат. S SYN желек коюлган экенин көрсөтүп турат. пакет катар саны 768512 болду жана эч кандай маалымат берилген эмес. Эч кандай жарыма-колдогон ACK эле, жеткиликтүү кабыл терезе 4096 байт болгон жана бар: (акыркы (Nbytes) ' `катар номерлерин биринчи бирок колдонуучу маалыматтардын Nbytes байт болуп өткөн, анын ичинде жок чейин дегенди түшүндүрөт", ноталык `биринчи жолу болуп саналат.) 1024 байттар бир СГС сурап макс-сегмент-көлөм мүмкүнчүлүк бар болчу.

Csam ал rtsg анын Сын үчүн жарыма-колдогон Ack камтыйт башка ушундай пакети бар деп жооп берет. Rtsg анда csam анын SYN acks. `. эч кандай желектер коюлган билдирет. топтом маалымат жок катар номери жок, ошондуктан эч кандай маалымат берилген эмес. ACK катар саны аз бүтүн (1) деп жазылган. Биринчи жолу tcpdump бир TCP `маек" көрөт, ал пакетинен катар номерин басып чыгара алат. Маектешүүнүн кийинки пакеттерди жөнүндө, азыркы пакет бир катар номери жана баштапкы катар санынын ортосундагы айырма басылып жатат. Бул биринчи кийин катар номерлери сүйлөшүүнүн маалымат агымында салыштырмалуу байт кызмат катары (биринчи бит маалымат менен ар бир багыт болуп `1) чечмеленбей калышы мүмкүн дегенди билдирет. `-S 'баштапкы катар саны натыйжа алып, бул мүмкүнчүлүктү жокко чыгара алат.

6-сапта, rtsg csam маалыматтар боюнча 19 байт жиберет (rtsg-жылы 20 жолу байттар 2 -> csam маек жагы). PUSH желеги топтомундагы белгиленет. 7-сапта, csam ал чейин rtsg, бирок 21-Байт, анын ичинде эмес, бул маалыматтардын көпчүлүгү, кыязы, csam терезесинен кабыл бери оюгу туруучу отурган 19 байт аз кетти тарабынан маалыматтарды кабыл турганын билдирди. Csam ошондой эле маалыматтардын бир байт бул топтомундагы rtsg жиберет. 8-жана 9-сапта, csam шашылыш эки байт жөнөтөт, rtsg маалыматтарды түртүп.

Жаратуу tcpdump толук TCP аталышы басып эмес, аз эле болсо, анда ал, анан `билдирди мүмкүн болушунча баш катары көп чечмелейт` [| TCP] '' калдыктарын көрсөтүүгө түшүндүрүлүшү мүмкүн эмес. Баш, бир жалган жолду (бири өтө кичине же баш аяктагандан кийин да болгон узундугу) камтыса, tcpdump `` [жаман баш тартуу] деп билдирди "," аны айтып мүмкүн эмес, себеби ар кандай ыкмаларды (чечмелөө эмес, алар башталат жерде). Баш узундугу параметрлери бар болсо, бирок IP datagram узундугу параметрлери негизи болушу үчүн жетиштүү эмес, tcpdump `` [жаман колонтитул узундугу] '' деп билдирди.

Атап айтканда желек айкалыштары менен TCP пакеттерди жаздырууга (Сын-ACK, URG-ACK, ж.б.)

TCP баш контролдук бит бөлүмүндө 8 бит бар:

CWR | ECE | URG | ACK | PSH | эсепке алуу | Сын | FIN

биз бир TCP байланышты түзүү колдонулган пакеттерди көргүлөрү келет деп элестетели. TCP бир жаңы байланыш программага жүктөйт кийин 3-жолу кармашканда протоколду колдонот кетсек; TCP башкаруу бит эске алуу менен байланыш тизмеги

1) Номерди SYN жөнөтөт

2) Алуучу Сын, Ack менен жооп берет

3) Номерди Ack жөнөтөт

Азыр биз гана SYN аз топтомун (1-кадам) бар пакеттерде басып кызыгасыз. биз кадам 2 (Сын-ACK), бир жөнөкөй алгачкы Сын тартып пакеттерди каалаган эмес экенин белгилешет. Tcpdump үчүн туура чыпкасы сөз айкашы эмне керек.

жолдор жок TCP баш түзүлүшүн кетсек:

0 15 31 ----------------------------------------------- ------------------ | булагы порту | көздөлгөн порту | -------------------------------------------------- --------------- | катар саны | -------------------------------------------------- --------------- | таанууну саны | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | Терезе көлөм | -------------------------------------------------- --------------- | TCP текшерүү | шашылыш көрсөткүч | -------------------------------------------------- ---------------

параметрлери бар каралбаса, TCP баш, адатта, маалыматтардын 20 октет ээлейт. полёта биринчи сап октет камтыйт 0 - 3, экинчиси октет көрсөтөт 4 - 7 ж.б.

0 менен санап тартып, тиешелүү TCP башкаруу биттер октет камтылган 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | Терезе көлөм | ---------------- | --------------- | --------------- | - --------------- | | 13th октет | | |

анын эч кандай октет жакындан көз жүгүртүп көрөлү. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Бул биз кызыкдар TCP башкаруу үзүндүсү. Биз сол укугу 0дөн 7 Бул октет менен чекесинен, саны, ошондой URG бит саны 5, ал эми PSH бит, бит саны 3.

Биз бир гана SYN топтому менен пакеттерди басып келет кетсек. Бир TCP datagram анын баш белгиленген SYN сыныгы менен барса 13 октет эмне болоорун карап көрөлү:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

башкаруу бит карап бөлүгүндө гана бир аз саны 1 (SYN) белгиленет.

Ошол октет санын алдыдагы 13 тармак байт максатында 8-биттик коюлбаган бүтүн, бул октет менен бинардык наркы

00000010

жана анын ондук өкүлчүлүгү болуп саналат

= 2 7 6 5 4 3 2 1 0 0 2 + 0 + 2 + 0 + 2 + 0 + 2 + 0 + 2 + 0 + 2 + 1 + 2 + 0 2

Азыр биз SYN коюлбай калса, TCP аталышындагы 13-октет наркы, тармак байт үчүн 8-биттик коюлбаган Бүтүн катары жоруп бергенде, так 2 болушу керек экенин билем, анткени биз дээрлик кылган жатасыз.

Бул мамиле катары мүнөздөлүшү мүмкүн

TCP [13] == 2

Биз, болгону, SYN коюлган топтомдорду көрүү үчүн tcpdump үчүн чыпкалуу бул сүйлөмдү колдоно аласыз:

tcpdump -I xl0 TCP [13] == 2

сөз айкашы, биз каалагандай так болуп, "бир TCP datagram 13 октет ондук баасын 2 берсин" дейт.

Эми биз SYN пакеттерди басып керек деп ойлошот экен, бирок биз ACK же башка TCP башкаруу аз, ошол эле учурда белгиленген болсо, кереги жок. Кудайдын келет SYN-ACK топтому менен TCP datagram 13 октет эмне болоорун карап көрөлү:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Азыр = лъкт = 1 жана 4-13-октет белгиленет. 13 октет менен бинардык наркы

00010010

кайсы ондук которот

7 6 5 4 3 2 1 0 0 2 + 0 + 2 + 0 + 2 + 1 + 2 + 0 + 2 + 0 + 2 + 1 + 2 + 0 + 2 = 18

Азыр биз бул SYN-ACK коюлган гана пакеттерди тандап келет, бирок ошол эле SYN комплекти менен, анткени, "TCP [13] == 18" tcpdump чыпкасы мааниде колдоно албайсыз. Биз ACK же башка башкаруу бит көп SYN жатат деп коюлса, кам көрбөй турганын унутпа.

Биздин максатка жетүү үчүн, биз логикалуу жана SYN аз сактап калуу менен 13 октет менен бинардык балл башка баалуу керек. Биз SYN ар кандай учурда белгиленет келет экендигин билебиз, ошондуктан, биз логикалуу жана бир Сын жана бинардык наркы менен 13-октет нарктык ошентем:

00010010 SYN-ACK 00000010 SYN ЖАНА 00000010 (биз SYN келет) ЖАНА 00000010 (биз SYN келет) -------- -------- = 00000010 = 00000010

Биз ACK же башка TCP башкаруу бит коюлса, жокпу, бул ЖАНА операция карабастан, ошол эле натыйжа таратканын көрө алабыз. Жана мааниси, ошондой эле бул иш натыйжасы ондук өкүлчүлүгү 2 (экилик 00000010), ошондуктан, биз Сын менен пакеттерди орнотуу үчүн төмөнкү байланышы чындык керек экенин билебиз:

((13 октет наркы) жана (2)) == (2)

Бул tcpdump чыпкасы сөз бизге көрсөтөт

tcpdump -i xl0 "TCP [13] & 2 == 2 '

Сиз ЖАНА (&) катмарындагы өзгөчө белгини жашыруу үчүн сөз менен бир үзүндүлөрдү же кыйшык колдонуу керектигин белгилешет.

UDP пакеттери

UDP формат ушул rwho пакетинен көрүнүп турат:

actinide.who> broadcast.who: UDP 84

Бул аларга кабыл алуучу группасынын алуучу берүү, Интернет берүүлөрдү дарек боюнча ким портуна UDP datagram жөнөтүп порт деп айтылат. пакет маалыматтар боюнча 84 байт камтылган.

Кээ бир UDP кызматтар (булак же бара турган порт санынын) деп таанылат жана жогору турган протокол маалымат басылган. Атап айтканда, домендик аталышы кызматы өтүнүчтөр (RFC-1034/1035) жана Sun RPC чакырат (RFC-1050) NFS үчүн.

UDP Аты Server суранат

(Эскертүү: Төмөнкү сүрөттөлүшү RFC-1035 сүрөттөлгөн домендик кызматы протокол менен тааныштырат болжолдойт Эгер протокол менен тааныш эмес болсо, анда төмөнкүдөй сүрөттөлүшү грек-жылы жазылган көрүнөт.).

Аты-жөнү Server өтүнүчтөр катары калыптанган жатышат

СИБ> тема: ID болду? желектер qclass аты qtype (Лен) h2opolo.1538> helios.domain: 3+ А? ucbvax.berkeley.edu. (37)

H2opolo аты ucbvax.berkeley.edu байланыштуу дареги жазылган (qtype = A) үчүн БК домендерди Server сурады өтөт. суроо ID `3" болчу. `+:" Керектүү желек коюлган Recursion турат. суроо узундугу 37 байт, UDP жана IP протоколу кукурузные, анын ичинде болгон эмес. Тарабында талаа Джарамагъан болгон эмес, ошондуктан суроо операция, кадимки бир суроо болгон. тарабында эч нерсе болгон болсо, анда ал `3" жана `+" ортосунда басылып чыккан эмес. Ошо сыяктуу эле, qclass кадимки эле, C_IN жана салдык. Кайсы болбосун башка qclass `А" кийин дароо басылып чыккан эмес.

Бир нече аномалиялар текшерилет жана төрт бурчтуу кашаанын ичинде тиркелген кошумча талаага алып келиши мүмкүн: а суроо жооп бар болсо, анда бийлик жазуулары же кошумча иш кагаздарын жүргүзүү бөлүмү, ancount, nscount, же arcount `[л] катары басылып жатат", `[н ] 'же `[н о]' н ылайыктуу саны болуп эсептелет. Жооп бөлүктөрүнүн ар кандай белгиленген болсо (АА, РА же rcode) же кандайдыр бир `нөл болушу керек", бит жана байттар абалында коюлган эки жана үч, `[b2 & 3 = х] 'басылып х менен гайка баалуулук болуп эсептелет, баш байт, эки, үч.

UDP Аты Server Responses

Аты-жөнү Server жооп катары калыптанган жатышат

СИБ> тема: ID тарабында rcode желектер, н / ж / о түрү класстык маалыматтар (Лен) helios.domain> h2opolo.1538: 3 3/3/7 А 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Биринчи мисалда, Гелиос 3 жооп жазуулар, 3 аты Server жазууларды жана 7 кошумча жазуулар менен h2opolo чейин ID 3 суроо жооп берет. Биринчи жооп жазуу түрү бар (дареги) жана анын маалыматтар интернет дареги 128.32.137.3 болуп саналат. жооп жалпы көлөмү UDP жана IP аттарын эске албаганда, 273 байт эле. тарабында (Сурам) жана жооп коду (NoError) A жазуунун класс (C_IN) болуп, калтырылып кеткен эле.

Экинчи мисалда, Гелиос жокко домендин жооп коду менен 2 суроо (NXDomain) эч кандай жооп берген менен, бир аты жүрүш жана эч кандай бийлик жазылган жооп берет. `* Кадыр-барктуу жооп бит коюп жатканын көрсөтүп турат. эч кандай жооп жок болгондуктан, эч кандай түрү, класс же маалыматтар басылып чыкты.

Көрүнүшү мүмкүн башка желек белгиден `бар -" (рекурсиясыны бар, RA, коюлган эмес) жана `| ' (Кыскартылган кабар, TC, коюлган). `Суроо" тапсанар бир жазуу жок, `[н с]" Эгер басылып жатат.

Белгилей кетчү нерсе, аты Server суроо-талап жана жооп 68 байттар ири жана демейки snaplen болууга жакын басып пакетин жетиштүү басып мүмкүн эмес. Эгер олуттуу аты Server кыймылын изилдөө үчүн керек болсо, snaplen жогорулатуу сатылышы желегин колдонуу. `128 сатылышы:" Мага жакшы иштеген.

КОИ / CIFS чечмелөө

tcpdump азыр кыйла көп КОИ / CIFS / НБТ чечмелөөнү жөнүндө маалыматтар үчүн UDP камтыйт / 137, UDP / 138 жана TCP / 139. IPX жана NetBEUI КОИ маалыматтарды кээ бир алгачкы чечмелөө да жасалат.

-v колдонулган болсо, демейки боюнча бир кыйла аз расшифровкалоо кылган бир кыйла толук чечмелей менен жасалат. -va бир КОИ топтом Сиз чын эле коркунучтуу маалымат келсе, бир барак же андан көп, ошондуктан бир гана -v пайдаланууга алып келиши мүмкүн деп эскертилет.

Сиз Юникод эмес саптарын камтыган КОИ сессияларды декоддоо болсо, анда айлана-чөйрөнү өзгөрмө USE_UNICODE 1. жамаачы Юникод эмес srings түрдө аныктоо үчүн кабыл алып коюуга болот.

КОИ пакет ыкмалары менен эмне баары те талаалар тууралуу маалымат алуу үчүн эмнени көрүп www.cifs.org же паб / самба / мүнөздөмөлөрдү / сүйүктүү samba.org күзгү сайтында каталогун. КОИ тактар ​​Andrew Tridgell (tridge@samba.org) тарабынан жазылган.

NFS суроо жана жооптор

Sun NFS (Network File System) суроо-талап жана жооп катары түшүрүлгөн:

src.xid> dst.nfs: Лен тарабында args src.nfs> dst.xid: жооп статистика Лен тарабында натыйжалары sushi.6709> wrl.nfs: 112 readlink FH 21,24 / 10.73165 wrl.nfs> sushi.6709: Башкы Директораттын жооп 40 readlink "../var" sushi.201b> wrl.nfs: 144 издөө FH 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: Башкы Директораттын 128 издөөнү жооп FH 9,74 / 4134.3150

Биринчи кезекте, кабыл алуучу суши WRL үчүн 6709 ID менен бүтүм жиберет (ГКЗ аскер төмөнкү саны бүтүм номуру эмес, булагы порту экендигинин эске). өтүнүч UDP жана IP аттарын эске албаганда, 112 байт эле. Операция билэ туткасы боюнча readlink (каймана шилтемени окуп) болгон (FH) 21,24 / 10.731657119. (Бир бактылуу болсо, бул учурда да, билэ туткасы системасынын inode'на саны жана муун санынын артынан негизги, жашы жете элек аппарат саны жуп катары жоромолдоого болот.) WRL шилтемени мазмуну менен `макул" деп жооп берет.

Үчүнчү ылайык, суши каталог кезекте аты `xcolors" изделбей WRL суранат 9,74 / 4096.6878. Басма маалыматтар операция түрүнө көз каранды экенин белгилешет. бир NFS протокол бүлө менен бирге окуп, анда формат өз алдынча түшүнүк болуп калды.

-v (дайын) желек берилген болсо, төмөнкүлөр кошумча басылып жатат. Мисалы:

sushi.1372a> wrl.nfs: 148 FH 21:11 / 12.195 8192 байт @ 24576 wrl.nfs> sushi.1372a окуп: Башкы Директораттын 1472 обл 100664 лерин окуп жооп 417/0 SZ 29388

(-v ошондой эле IP баш TTL, ID, узундугу жана би- талаалар, бул окуядан къоратылгъандыла басып чыгара алат.) Биринчи кезекте, суши байт боюнча делосуна 21:11 / 12.195 тартып 8192 байт окуп WRL сурайт ордун 24576. WRL жооп `макул"; экинчи сапта көрсөтүлгөн топтом жооп биринчи үзүндүсү, демек, бир гана 1472 байт узун (башка байт кийинки сыныктары жүрөт, бирок бул сыныктарынан NFS же UDP аттарын жана басып чыгаруу мүмкүн эмес болушу мүмкүн эмес, чыпкасы сөз колдонулат) көз каранды. -v желеги берилет, анткени, билэ атрибуттарын (маалыматтарды тышкары кайтарылып берилет) кээ бир басылып жатат: билэ түрүн ( `` ОБЛ '', үзгүлтүксүз для), билэ режимин (Octal менен), UID жана GID жана билэ кээмэйэ.

-v желеги бир жолудан көп берилсе, андан да көп маалымат басылып чыгат.

NFS суроо-Белгилей кетсек, абдан чоң жана snaplen көбөйгөн каралбаса, майда-чүйдөсүнө чейин көп басылган жок. NFS кыймылын көрө `192 сатылышы" колдонуп көр.

NFS жооп пакеттерди ачык RPC иш-аныктап жок. Анын ордуна, tcpdump `` акыркы "кайрылууларын сактайт, ал эми бүтүм ID аркылуу жооп аларды туура. жооп тыгыз тиешелүү талабын жок болсо, анда parsable эмес болушу мүмкүн.

AFS суроо жана жооптор

Transarc AFS (Andrew File System) суроо-талап жана жооп катары түшүрүлгөн:

src.sport> dst.dport: RX пакет-түрү src.sport> dst.dport: RX пакет-түрү кызматы чакыруу чакыруу аты args src.sport> dst.dport: RX пакет-түрү кызматы жооп чакыруу аты args Elvis. 7001> pike.afsfs: RX маалымат ТЭН эски атын чакырам FID 536876964/1/1 ".newsrc.new" жаңы FID 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: RX маалымат ТЭН атоо жооп

Биринчи кезекте, кабыл алуучу Elvis Пайк үчүн RX пакетти жөнөтөт. Бул ТЭН (fileserver) Кызматка RX маалыматтарды пакет болгон жана RPC чалуу башталышы болуп саналат. RPC чакыруу эски каталог билэ 536876964/1/1 менен ID жана `.newsrc.new" эски аты, жана 536876964/1/1 турган жаңы каталог билэ ID жана `бир жаңы аты менен, Өчүрүүлөрдүн болчу. newsrc ". (Бул маалымат топтом менен эмес, муунтуп пакет болгондуктан, ийгиликтүү болгон) алуучу сазан Өчүрүүлөрдүн чалуу үчүн RPC жооп жооп берет.

Жалпысынан алганда, бардык AFS RPCs дегенде RPC чакыруу аты менен чечмеленет. Көпчүлүк AFS RPCs чечмеленген, жок эле дегенде, далилдердин кээ (кызыктуу бир аныктама үчүн гана `кызыктуу" далилдер, жалпы).

формат өзүн сүрөттөп болуп калды, бирок ал, балким, AFS мырзаларга жаткан иштер менен толук тааныш эмес адамдар үчүн пайдалуу боло бербейт.

-v (дайын) желеги эки жолу берилген болсо, анда ыраазычылык пакеттерди жана кошумча баш маалымат RX чакыруу ID катары басылып, саны чакырып, катар номери, катар номери жана RX пакет желектери.

-v желеги эки жолу берилет, анда кошумча маалымат RX чакыруу ID, катар номери болуп, басма сөз жана RX пакет желектери. MTU сүйлөшүүлөр жөнүндө маалымат, ошондой эле RX ACK пакетинен басылып жатат.

-v желек үч жолу берилген болсо, коопсуздук индекси жана тейлөө номуру басылып чыгат.

Error коддору Ubik маяк пакеттерди кошпогондо, жоюу пакеттерди үчүн түшүрүлгөн (муунтуп пакеттерди Ubik протоколдун үчүн макул добушун билдириш үчүн колдонулат, анткени).

AFS суроо-Белгилей кетсек, абдан чоң жана snaplen көбөйгөн каралбаса, көп аргументүү басып чыгаруу мүмкүн эмес болот. AFS кыймылын көрө `сатылышы 256" колдонуп көр.

AFS пакеттерди ачык RPC ишин аныктоо эмес, жооп. Анын ордуна, tcpdump `` акыркы "кайрылууларын сактайт, чакыруу жана тейлөө ID аркылуу жооп аларды туура. жооп тыгыз тиешелүү талабын жок болсо, анда parsable эмес болушу мүмкүн.

KIP Appletalk (UDP жылы DDP)

Appletalk DDP UDP datagrams айланасында пакеттерди-айланасында де DDP-пакеттерди жана куюлуп жатат (б.а., бардык UDP баш маалымат иштетилбейт). Билэ /etc/atalk.names аталыштарга appletalk таза жана түйүн номерлерди которуу үчүн колдонулат. Бул сызыктар түрүндө болушу

саны аты 1,254 Акмаралым 16,1 icsd-таза 1.254.110 жопа

биринчи эки сызык appletalk тармактардын аттары берет. Үчүнчүдөн, бир аскер атын берет (кабыл алуучу саны 3 октет менен торго айырмаланып турат - таза саны эки октет болушу керек жана кабыл алуучу саны үч октет болушу керек.) Номери жана аты-өзүнчө болушу керек Whitespace (бланк же табы менен). /etc/atalk.names билэ бош саптар же комментарий линияларын (а `#" белги менен башталган саптар) камтышы мүмкүн.

Appletalk даректери түрүндө басылып:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(/etc/atalk.names бар же жок, кээ бир appletalk алуучу / таза саны кириши жок болсо, даректерин сан түрүндө басылып чыгат.) Биринчи мисалда, ПУБ (DDP порт 2) таза 144.1 жөнүндө түйүн 209 таза icsd түйүн 220 порттон угуп баарын жиберип жатат 112. экинчи булагы түйүн толук аты-жөнү ( `кызматтык) белгилүү тышкары, ошондой эле болуп саналат. Үчүнчүдөн icsd-таза ПУБ порттон берүү үчүн таза jssmag түйүн 149 235 портунан бир жөнөтүү (берүүлөрдү дареги (255) белгилей кетүү эч кандай кабыл алуучу саны менен таза атынан көрсөтүлөт - ушул себептен улам, бул жакшы ой /etc/atalk.names жылы түйүн аттарды жана таза атын айырмаланып турушу үчүн).

ПУБ (аты милдеттүү протокол) жана ATP (Appletalk бүтүм протокол) пакеттерди алардын мазмунун чечмелеп бар. Башка протоколдор гана протокол аты (аты жок протоколго катталган болсо же номерин) таштады жана пакет өлчөмү.

ПУБ пакеттерди төмөнкү мисалдар сыяктуу калыптанган жатат:

icsd-net.112.220> jssmag.2: ПУБ-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: ПУБ-жооп 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: ПУБ-жооп 190: "techpit: LaserWriter @ *" 186

Биринчи линия таза jssmag таза icsd аскер жиберген 112 жана таркатуу laserwriters үчүн аты издөө талабы болуп саналат. издөөнүн үчүн ПУБ ID 190. экинчи сап ушул суроо бул: "RM1140" портуна катталган деген laserwriter ресурс бар деп jssmag.209 кабыл алынган (ал ошол эле ID бар экенин белгилей кетүү) үчүн жооп көрсөтөт 250. үчүнчү сап алуучу деп ошол эле суроо-талап дагы жооп болуп саналат techpit laserwriter "techpit" портуна боюнча катталган 186.

ATP пакет туюнтма төмөнкү мисал менен көрсөтүп жатат:

jssmag.209.165> helios.132: ATP-тал 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: ATP-респ 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: ATP-респ 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: ATP-респ 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: ATP-респ 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: СПС респ 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: ATP-респ 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: ATP-респ 12266: 6 (512) 0xae040000 helios.132> jssmag. 209,165: ATP-респ * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: ATP-тал 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: ATP-респ 12266: 3 (512) 0xae040000 Гелиос .132> jssmag.209.165: ATP-респ 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: ATP-Rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: ATP-тал * 12267 <0 -7> 0xae030002

Jssmag.209 8-пакеттерди чейин талап боюнча кабыл алуучу БК менен бүтүм номуру 12266 баштайт ( `<0-7> '). Акыр-аягында болт саны `userdata" суроо-талаа наркы болуп саналат.

Helios 8 512 байт пакеттери менен жооп берет. `: Сандан турган" бүтүм ID төмөнкү бүтүм боюнча топтом катар номерин берет жана кашаа саны ATP баш эске албаганда топтомундагы маалыматтардын суммасы болуп саналат. `*" Кутуга 7 ШБМ бит коюп жатканын көрсөтүп турат.

Jssmag.209 анан пакеттерди 3 & 5 кайтарыла турган болушу өтүнүүдө. Helios бүтүм релиздер jssmag.209 анда аларды resends. Акыр-аягы, jssmag.209 кийинки өтүнүч козгойт. `*" Талабы боюнча XO экенин көрсөтүп турат ( `так бир жолу") белгиленген эмес.

IP баратабы

Fragmented Интернет datagrams катары басылып жатат

(Frag ID: көлөмү @ ордун +) (Frag ID: көлөмү @ ордун)

(Биринчи түрү көбүрөөк сыныктарынан бар көрсөтүп турат. Экинчиси, бул акыркы үзүндүсү көрсөтүп турат.)

Id үзүндүсү ID болот. Көлөм IP баш эске албаганда үзүндүсү көлөмү (байттар абалында) болуп саналат. Баштапкы datagram менен толуктаган бул үзүндүсү анын ордун (байттар абалында) болуп саналат.

үзүндүсү маалымат ар бир кол жазманын үчүн чыгаруу болуп саналат. биринчи үзүндүсү жогору протокол аталышын жана Frag маалымат протокол боюнча маалымат өткөндөн кийин басылып чыгат. Биринчи кийин үзүндүлөр жок жогору протоколу аталышы камтылат жана Frag маалымат булагы жана көздөлгөн даректери кийин басылып жатат. Мисалы, бул жерде 576 байт datagrams туура эмес көрүнөт бир CSNET байланышы аркылуу lbl-rtsg.arpa үчүн arizona.edu бир FTP бир бөлүгү болуп саналат:

arizona.ftp-маалымат> rtsg.1170:. 1024: 1332 (308) ACK 1 4096 (Frag 595a: 328 @ 0 +) утуп Аризона> rtsg: (Frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-маалыматтары. Тастыктоо 1536 2560 утуп

Бул жерде белгилей кетчү нерсе, бир жубайлар бар: Биринчиден, 2-сапта даректери порт сандар жок. Себеби, TCP протоколу маалымат биринчи үзүндүсүндө жана биз кийинчерээк бөлүктөрүн басып, биз порт же катар сандар да жок көрүнөт. Экинчиден, биринчи сапта TCP катар маалымат болсо, чындыгында ал жерде, качан маалыматтар 308 байт эле, 512 байт (экинчи биринчи Frag жана 204 308) бар болуп чыгат. Сиз катар мейкиндиктеги тешик издеп же пакеттери менен acks дал аракет кылып жатса, бул сени алдап болот.

IP желегин бөлүнө эмес, менен топтом бир кес (DF) менен белгиленген.

Убакыт

Алыдын ала, бардык Саптарды чыгаруу тамгъагъа алдында турат. убакыт белгиси түрүндө учурдагы саат убакыт

HH: мм: ss.frac

Данекти жана анын саат сыяктуу эле так болуп саналат. убакыт белгиси ядро ​​биринчи пакетин көрүп, убакыт көрсөтөт. Эч кандай аракет Ethernet Interface сымдан пакетин алып жана ядро ​​`жаъы пакетти тейленген кийин" үзгүлтүккө качан ортосундагы убакыт ажырымына түшүндүрүүгө болот.

Кара

жол (1С), нит (4P), BPF (4), pcap (3)

Маанилүү иш: буйруктар, атап айтканда ЭЭМ колдонулуп келе жатканын көрүп, бир киши (% адам) колдонуу.