Tcpdump - Linux Command - Unix Command

NGALAN

tcpdump - dump trapiko sa usa ka network

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c pag-ihap ]

[ -C file_size ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -U user ] [ -w file ]

[ -E algo: tinago ] [ pagpahayag ]

DESCRIPTION

Ang Tcpdump nagpatik sa mga ulohan sa mga pakete sa usa ka interface sa network nga nahiangay sa boolean expression . Kini mahimo usab nga pagdagan pinaagi sa -w nga bandila, nga maoy hinungdan sa pagluwas sa data sa pakete ngadto sa usa ka file alang sa pag-analisar sa ulahi, ug / o uban sa -r flag, nga maoy hinungdan niini sa pagbasa gikan sa usa ka maluwas nga packet file kay sa pagbasa sa mga packet gikan sa usa ka network interface. Sa tanan nga mga kaso, ang mga packet nga parehas nga ekspresyon iproseso sa tcpdump .

Ang Tcpdump , kung dili modagan sa -c flag, magpadayon sa pagkuha sa mga pakete hangtud nga kini mabalda sa SIGINT nga signal (nga gihimo), sama pananglit, pinaagi sa pag-type sa imong interrupt nga karakter, kasagaran pagkontrol-C) o SIGTERM signal (nga kasagaran gimugna sa pagpatay (1) sugo); kung magdagan nga may -c flag, kini makadakop sa mga packet hangtud nga kini mabalda sa usa ka SIGINT o SIGTERM signal o ang espesipikong gidaghanon sa mga pakete giproseso.

Kon ang tcpdump makahuman sa pagkuha sa mga pakete, kini mag-report sa mga hinungdan sa:

packets nga `` nakuha sa filter '' (ang kahulogan niini nag-agad sa OS kung diin ikaw nagpadagan sa tcpdump , ug posible sa paagi nga gi-configure ang OS - kon ang usa ka filter gipahayag sa command line, sa pipila ka mga OSes kini gikinahanglan packets dili igsapayan kon kini gipares sa filter nga ekspresyon, ug sa uban nga mga OS kini giisip lamang nga mga pakete nga gipares sa filter nga ekspresyon ug giproseso sa tcpdump );

packets nga `` nahulog sa kernel '' (kini mao ang gidaghanon sa mga packet nga nahulog, tungod sa kakulang sa buffer nga luna, pinaagi sa packet capture mechanism sa OS diin ang tcpdump nagdagan, kon ang OS nagtaho nga ang impormasyon ngadto sa mga aplikasyon; kon dili, itaho kini nga 0).

Sa mga plataporma nga nagsuportar sa SIGINFO signal, sama sa kadaghanan sa mga BSDs, kini mag-report niadtong mga hinungdan kung kini makadawat og SIGINFO signal (nga gihimo, pananglitan, pinaagi sa pag-type sa imong "status" nga karakter, kasagaran kontrol-T) ug magpadayon sa pagkuha sa mga pakete .

Ang pagbasa sa mga pakete gikan sa usa ka network nga interface mahimong magkinahanglan nga adunay espesyal nga mga pribilehiyo:

Ubos sa Sunos 3.x o 4.x uban sa NIT o BPF:

Kinahanglan nga imong gibasa ang access sa / dev / nit o / dev / bpf * .

Ubos sa Solaris uban sa DLPI:

Kinahanglan nga ikaw adunay pagbasa / pagsulat sa access sa network nga pseudo device, eg / dev / le . Apan, sa labing menos pipila nga mga bersyon sa Solaris, kini dili igo aron tugotan ang tcpdump nga makuha sa mahilayon nga paagi; sa mga bersyon sa Solaris, kinahanglang mogamot ka, o ang tcpdump kinahanglan ipa-instalar nga setuid sa gamut, aron makadakop sa mahilayon nga paagi. Hinumdumi nga, sa daghan (tingali ang tanan) nga mga interface, kung wala nimo makuha sa malimbungon nga paagi, dili nimo makita ang bisan unsa nga outgoing nga mga packet, busa ang pagbihag nga wala gihimo sa imoral nga paagi dili mahimong mapuslanon kaayo.

Ubos sa HP-UX nga adunay DLPI:

Kinahanglan nga ikaw gamay o tcpdump kinahanglan ipa-instal sa setuid sa gamut.

Ubos sa IRIX sa pagsulay:

Kinahanglan nga ikaw gamay o tcpdump kinahanglan ipa-instal sa setuid sa gamut.

Ubos sa Linux:

Kinahanglan nga ikaw gamay o tcpdump kinahanglan ipa-instal sa setuid sa gamut.

Ubos sa Ultrix ug Digital UNIX / Tru64 UNIX:

Ang bisan kinsa nga tiggamit mahimong makakuha sa trapiko sa network nga adunay tcpdump . Bisan pa, walay user (bisan ang super-user) nga makadakop sa malaw-ay nga pamaagi sa usa ka interface gawas kung ang super-user nakahimo sa promiscuous-mode nga operasyon sa interface gamit ang pfconfig (8), ug walay user (dili bisan ang super-user ) mahimong makadakop sa unicast nga trapiko nga nadawat o gipadala sa makina sa usa ka interface gawas kung ang super-user nakahimo sa copy-all-mode nga operasyon sa interface nga gamit ang pfconfig , nga mapuslanon nga pakete sa pagkupot sa usa ka interface tingali nagkinahanglan nga usa ka imoral nga mode o kopya -o2-mode nga operasyon, o ang duha ka pamaagi sa operasyon, nga maablihan sa interface.

Ubos sa BSD:

Kinahanglan nga imong gibasa ang access sa / dev / bpf * .

Ang pagbasa sa usa ka maluwas nga packet file wala magkinahanglan og espesyal nga mga pribilehiyo.

MGA PILION

-a

Pagtinguha sa pag-usab sa mga network ug mga address sa pagsibya ngadto sa mga ngalan.

-c

Paggawas human makadawat og daghang mga pakete.

-C

Sa dili pa magsulat sa usa ka hilaw nga pakete ngadto sa usa ka savefile, susiha kung ang file sa kasamtangan mas dako kay sa file_size ug, kung mao, isara ang kasamtangan nga savefile ug ablihi ang bag-o. Ang Savefiles human sa unang savefile adunay ngalan nga gitakda sa bandila nga -w , nga adunay numero human niini, sugod sa 2 ug nagpadayon sa ibabaw. Ang mga yunit sa file_size minilyon ka mga bytes (1,000,000 bytes, dili 1,048,576 bytes).

-d

Dumpa ang gi-compile nga packet-matching code sa usa ka tawo nga mabasa nga porma sa standard output ug mohunong.

-dd

Dump packet-matching code isip usa ka programa sa C fragment.

-ddd

Dump packet-matching code ingon nga decimal nga mga numero (gisundan sa usa ka ihap).

-e

I-print ang header nga lebel sa link sa matag dump line.

-E

Paggamit sa algo: sekreto sa pag-decrypting IPsec ESP packets. Ang mga algorithm mahimong des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , o wala . Ang default mao ang des-cbc . Ang abilidad sa pag-decrypt nga mga pakete anaa lamang kung ang tcpdump gitigum nga gikinahanglan sa cryptography. sekreto ang ascii nga teksto alang sa ESP secret key. Dili nato mahimo ang bili nga binag-o nga bili niining higayona. Ang kapilian nag-angkon sa RFC2406 ESP, dili RFC1827 ESP. Ang kapilian alang lamang sa mga katuyoan sa pag-debug, ug ang paggamit niini nga opsyon uban sa tinud-anay nga 'tinago' nga yawe nawad-an sa kadasig. Pinaagi sa pagpresentar sa sekretong yawe sa IPsec ngadto sa command line imong makita kini sa uban, pinaagi sa ps (1) ug uban pang mga okasyon.

-f

Isulat ang `mga langyaw 'nga mga internet address sa gidaghanon kay sa simbolo (kini nga kapilian gituyo aron sa pag-atubang sa seryoso nga kadaot sa utok sa yp server sa Sun-kasagaran kini nagbitay sa walay katapusan sa paghubad sa mga numero sa internet nga dili mga lokal).

-F

Gamita ang file isip input alang sa filter nga ekspresyon. Ang dugang nga ekspresyon nga gihatag sa command line wala panumbalinga.

-i

Paminaw sa interface . Kon wala matino, ang tcpdump nangita sa lista sa sistema sa interface alang sa pinakaubos nga gi-numero, gihan-ay nga interface (walay labot ang loopback). Nabugkos ang mga higot pinaagi sa pagpili sa pinakaunang panagsangka.

Sa mga sistema sa Linux nga adunay 2.2 o sa ulahi nga mga kernels, ang usa ka argumento sa interface sa `` bisan unsa '' mahimong gamiton sa pagkuha sa mga pakete gikan sa tanang interface. Hinumdomi nga ang mga nakuha sa `` bisan unsa '' nga lalang dili buhaton sa mahilayon nga paagi.

-l

Paghimo sa stdout nga linya buffered. Mapuslanon kon gusto nimo nga makita ang datos samtang nakuha kini. Pananglitan,
`` tcpdump -l | tee dat '' o `` tcpdump -l> dat & tail -f dat ''.

-m

Ibutang ang mga kahulugan sa module sa SMI MIB gikan sa module sa file. Kini nga kapilian mahimong gamiton sa makadaghan nga higayon sa pag-load sa daghang mga MIB modules ngadto sa tcpdump .

-n

Ayaw ibutang ang mga address sa host ngadto sa mga ngalan. Mahimo kini gamiton aron malikayan ang pagpangita sa DNS.

-nn

Ayaw pag-convert sa protocol ug mga numero sa port ug uban pang mga ngalan.

-N

Ayaw pag-print sa ngalan sa kwalipikasyon sa domain sa mga ngalan sa host. Pananglitan, kon imong ihatag kini nga bandila ang tcpdump mag-imprenta sa "nic" imbes `` nic.ddn.mil ''.

-O

Ayaw pagdagan ang packet-matching code optimizer. Kini mapuslanon lang kung nagduda ka sa usa ka bug sa optimizer.

-p

Ayaw ibutang ang interface ngadto sa mahilayon nga paagi. Hinumdumi nga ang interface mahimo nga anaa sa mahilayon nga paagi alang sa uban nga katarungan; Busa, ang `-p 'dili mahimong gamiton nga abbreviation alang sa` ether host {local-hw-addr} o ether broadcast'.

-q

Dali (hilum nga) output. I-print ang dili kaayo impormasyon sa protocol aron ang mga linya sa output mas mubo.

-R

Hunahunaa ang ESP / AH packets nga ibase sa daan nga paghingalan (RFC1825 ngadto sa RFC1829). Kung gihan-ay , ang tcpdump dili mag-print sa field sa pagpugong sa replay. Tungod kay wala'y protocol version field sa ESP / AH specification, ang tcpdump dili makahinapos sa bersyon sa ESP / AH protocol.

-r

Basaha ang mga pakete gikan sa file (nga gilalang gamit ang -w nga kapilian). Ang standard input gigamit kung ang file `` - ''.

-S

Isulat ang hingpit, inay nga paryente, mga numero sa pagkasunod-sunod sa TCP.

-s

Ang Snarf snaplen bytes sa mga datos gikan sa matag pakete kay sa default sa 68 (uban sa SunOS's NIT, ang minimum usa gayud 96). 68 bytes ang igo alang sa IP, ICMP, TCP ug UDP apan mahimong motangtang sa protocol nga impormasyon gikan sa name server ug NFS packets (tan-awa sa ubos). Ang mga pakete nga giputol tungod sa usa ka limitado nga snapshot gipakita sa output uban ang `` [ proto ] '', diin ang proto mao ang ngalan sa lebel sa protocol diin ang pagputol nahitabo. Timan-i nga ang pagkuha sa dagko nga mga snapshot nagdugang sa gidaghanon sa oras nga gikinahanglan aron sa pagproseso sa mga packet ug, sa epektibo, makunhod ang kantidad sa packet buffering. Mahimo kining hinungdan nga mawala ang mga packet. Kinahanglan nimo limitahan ang snaplen ngadto sa pinakagamay nga gidaghanon nga makadakop sa impormasyon sa protocol nga imong gusto. Ang pag- set snaplen sa 0 nagpasabot sa paggamit sa gikinahanglan nga gitas-on aron makadakop sa tibuok nga mga pakete.

-T

Pugos nga mga pakete nga gipili sa " ekspresyon " nga hubaron ang espesipikong tipo . Sa pagkakaron nahibal-an nga mga matang ang cnfp (Cisco NetFlow protocol), rpc (Remote Procedure Call), rtp (Real-Time Applications protocol), rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol) ), ug wb (gipanghatag White Board).

-t

Ayaw pag- print sa timestamp sa matag dump line.

-tt

Iimprinta ang wala'y porma nga timestamp sa matag dump line.

-U

Gipahulog ang mga pribilehiyo sa ugat ug giusab ang user ID sa user ug grupo ID sa nag-unang grupo sa tiggamit .

Timan-i! Gikuha sa Red Hat Linux ang mga pribilehiyo sa "pcap" kung wala nay lain nga gipili.

-talas

Iimprinta ang delta (sa mga micro-segundo) tali sa kasamtangan ug kanhi nga linya sa matag dump line.

-tttt

I-print ang timestamp sa default format nga gipadayon sa petsa sa matag dump line.

-u

I-print ang mga undecoded nga mga handle sa NFS.

-v

(Hilom pa) nga verbose output. Pananglitan, ang panahon sa pagpuyo, pag-ila, kinatibuk-ang gitas-on ug kapilian sa usa ka pakete sa IP gipatik. Makahimo usab ang dugang nga mga tseke nga integridad sa packet sama sa pagsusi sa IP ug ICMP header checksum.

-u

Mas dugang nga verbose output. Pananglitan, dugang nga mga basahon ang giimprinta gikan sa NFS nga mga packet reply, ug ang mga pack sa SMB hingpit nga gisusi.

-v

Mas dugang nga verbose output. Pananglitan, ang telnet SB ... SE nga mga kapilian gipatik sa bug-os. Uban sa -X telnet mga kapilian nga gipatik sa hex ingon man.

-w

Isulat ang mga hilaw nga mga pakete aron sa pag-file kay sa pag-parse ug pag-imprinta niini. Mahimo kini sa ulahi nga pag-imprinta gamit ang -r nga kapilian. Ang standard output mahimong gamit kung ang file `` - ''.

-x

I-imprinta ang matag pakete (minus ang iyang header level link) sa hex. Ang mas gagmay sa tibuok pakete o snaplen bytes i-imprinta. Hinumdomi nga kini ang bug-os nga link-layer nga packet, busa alang sa mga link layer nga pad (eg Ethernet), ang padding bytes i-imprinta usab kung ang mas taas nga layer packet mas mubo kaysa sa gikinahanglan nga padding.

-X

Sa diha nga pag-imprenta sa hex, i-print ang ascii usab. Busa kon -x usab ang gibutang, ang pakete giimprenta sa hex / ascii. Kini kaayo nga gikinahanglan alang sa pag-analisar sa bag-ong mga protocol. Bisan kon -x dili usab ibutang, ang pipila ka mga bahin sa pipila ka mga pakete mahimong maimprinta sa hex / ascii.

pagpahayag

mopili kon asa nga mga pakete ibalhin. Kung walay ekspresyon nga gihatag, ang tanan nga mga pakete sa pukot dad-on. Kay kon dili, ang mga pakete nga diin ang ekspresyon nga `tinuod 'dumped.

Ang ekspresyon gilangkoban sa usa o labaw pa nga mga primitibo. Ang mga primitibo kasagaran adunay usa ka id (ngalan o numero) nga giuna sa usa o labaw pa nga mga kwalipikado. Adunay tulo ka nagkalainlaing matang sa qualifier:

matang

Ang mga kwalipikasyon nag-ingon unsang matang sa butang nga gipasabut sa ngalan o numero sa id. Ang posible nga mga tipo mao ang host , pukot ug pantalan . Eg, `host foo ',` net 128.3', `port 20 '. Kung wala'y type qualifier, ang host gituohan.

dir

Ang mga qualifier nagtino sa usa ka partikular nga direksyon sa pagbalhin ngadto ug / o gikan sa id . Ang posible nga direksyon mao ang src , dst , src o dst ug src ug dst . Pananglitan, `src foo ',` sa net 128.3', `src o dst port ftp-data '. Kung walay dir qualifier, src o dst ang gituohan. Alang sa `null 'nga mga patong sa pag-link (pananglitan ipunting ang mga protocol sama sa slip) ang mga inbound ug outbound qualifiers mahimong gamiton aron mahibal-an ang gusto nga direksyon.

proto

Ang mga qualifiers nagdili sa duwa sa usa ka partikular nga protocol. Ang posible nga mga protos mao ang: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp ug udp . Pananglitan, `ether src foo ',` arp net 128.3', `tcp port 21 '. Kung walay proto qualifier, ang tanan nga mga protocol nga nahiuyon sa klase gituohan. (Ip o arp o rarp) src foo '(gawas nga ang ulahi dili legal nga syntax), ang `net bar' nagpasabot` (ip o arp o rarp) net bar 'ug `port 53' nagkahulogan `(tcp o udp) pantalan 53 '.

[`fddi 'sa pagkatinuod usa ka alias alang sa` ether'; ang parser nagtratar kanila sama sa kahulogan nga `` ang datos nga link sa datos nga gigamit sa gitakda nga network interface. '' Ang mga header sa FDDI naglakip sa Ethernet nga susama nga tinubdan ug mga adres nga padulngan, ug sa kasagaran adunay mga klase sa Ethernet nga sama sa pakete, aron mahimo nimo ang pagsala sa mga natad sa FDDI sama sa sama sa mga kaumahan sa Ethernet. Ang mga header sa FDDI naglangkob usab sa ubang mga natad, apan dili nimo kini ma-ngalan sa usa ka filter nga ekspresyon.

Sa susama, ang 'tr' usa ka alyas alang sa `ether '; ang mga naunang parapo sa mga pamahayag bahin sa mga header sa FDDI usab magamit sa mga header sa Token Ring.]

Dugang pa sa mga sa ibabaw, adunay pipila ka mga espesyal nga 'karaan nga' mga pulong nga wala mosunod sa sumbanan: agianan , sibya , dili kaayo , mas daghan ug mga pamahayag sa aritmetika. Ang tanan niini gihulagway sa ubos.

Ang mas komplikado nga mga ekspresyon sa filter gipalig-on pinaagi sa paggamit sa mga pulong ug , o ug dili sa pagsagol sa mga primitibo. Eg, `host foo ug dili port ftp ug dili port ftp-data '. Aron maluwas ang pag-type, ang mga lista sa kwalipikasyon mahimo nga dili iapil. Pananglitan, ang `tcp d port port ftp o ftp-data o domain 'parehas sa` tcp dst port ftp o tcp dst port ftp-data o tcp dst port domain'.

Ang gitugotan nga mga primitibo mao ang:

ug host host

Tinuod kung ang IPv4 / v6 nga destinasyon nga dapit sa pakete mao ang tagbalay , nga mahimong usa ka address o usa ka ngalan.

src host host

Tinuod kung ang IPv4 / v6 nga tinubdan nga bahin sa pakete mao ang host .

host host

Tinuod kung ang IPv4 / v6 nga gigikanan o destinasyon sa pakete mao ang host . Ang bisan unsang sa mga ekspresyon sa host sa ibabaw mahimong mag-prepended uban sa mga keyword, ip , arp , rarp , o ip6 sama sa:

ip host host

nga katumbas sa:

ether proto \ ip ug host host

Kung ang host usa ka ngalan nga adunay daghan nga mga adres sa IP, ang matag adres masusi alang sa usa ka pagpares.

ether dst ehost

Tinuod kung ang address sa ethernet nga destinasyon mao ang ehost . Ang Ehost mahimo nga usa ka pangalan gikan sa / etc / ethers o numero (tan-awa ang ethers (3N) alang sa numeric format).

ug uban pa

Tinuod kung ang address sa source nga ethernet usa ka ehost .

ether host ehost

Tinuod kung ang tinubdan sa ethernet o adres sa destinasyon mao ang ehost .

ganghaan nga panon

Tinuod kung ang pakete gigamit nga host isip usa ka ganghaan. Ie, ang tinubdan sa ethernet o adres sa destinasyon mao ang tag-iya apan wala ang IP nga gigikanan o ang destinasyon sa IP maoy host . Ang host kinahanglan nga usa ka pangalan ug kinahanglan nga makit-an pinaagi sa mekanismong resolusyon sa host-name-to-IP-address nga makina (host name file, DNS, NIS, ug uban pa) ug resolusyon sa host-name-to-Ethernet-address mekanismo (/ etc / ethers, ug uban pa). (Ang katumbas nga ekspresyon mao

ether host ehost ug dili host host

nga mahimong magamit sa bisan unsang mga ngalan o mga numero alang sa host / ehost .) Kini nga syntax wala magamit sa IPv6 nga nakatabang nga pagsumpayan niining higayona.

dst net net

Tinuod kung ang IPv4 / v6 nga destinasyon sa pakete sa pakete adunay numero sa net . Ang pukot mahimong usa ka pangalan gikan sa / etc / networks o numero sa network (tan-awa ang mga network (4) alang sa mga detalye).

src net net

Tinuod kung ang IPv4 / v6 nga tinubdan sa pakete sa pakete adunay numero sa net .

net nga pukot

Tinuod kung ang IPv4 / v6 source o destination address sa packet adunay numero sa net sa network.

net net mask netmask

Tinuod kung ang IP address magkaparis sa piho nga netmask . Mahimo nga kwalipikado sa src o dst . Hinumdomi nga kini nga syntax dili balido alang sa IPv6 net .

net net / len

Tinuod kung ang IPv4 / v6 address matandi sa net sa usa ka netmask len bits ang gilapdon. Mahimo nga kwalipikado sa src o dst .

dst port port

Tinuod kung ang pakete mao ang ip / tcp, ip / udp, ip6 / tcp o ip6 / udp ug adunay destination port value sa port . Ang pantalan mahimong numero o ngalan nga gigamit sa / etc / services (tan-awa ang tcp (4P) ug udp (4P)). Kung gigamit ang usa ka ngalan, ang numero sa port ug protocol gisusi. Kung ang usa ka numero o ambiguous nga ngalan gigamit, ang numero sa port lamang ang gitan-aw (pananglitan, ang port 513 mag-imprinta sa trapiko sa tcp / login ug udp / kinsa ang trapiko, ug ang port domain mag-imprinta sa trapiko sa tcp / domain ug udp / domain).

src port port

Tinuod kung ang pakete adunay usa ka bili sa port sa port .

port port

Tinuod kung ang pantalan o destinasyon nga pantalan sa pakete mao ang pantalan . Ang bisan unsa nga mga ekspresyon sa port sa ibabaw mahimo nga ma-prepended uban sa mga keyword, tcp o udp , sama sa:

tcp src port port

nga nahiangay lamang sa mga packet sa tcp kansang port source mao ang pantalan .

dili kaayo taas

Tinuod kung ang packet adunay usa ka gitas-on nga mas ubos o sama sa gitas-on . Kini katumbas sa:

len <= gitas .

mas taas nga gitas-on

Tinuod kung ang packet adunay usa ka gitas-on nga mas dako kay sa katumbas sa gitas-on . Kini katumbas sa:

len> = gitas .

ip proto protocol

Tinuod kung ang pakete usa ka pakete sa IP (tan-awa ang ip (4P)) sa protocol type protocol . Ang Protocol mahimong usa ka numero o usa sa mga ngalan nga icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , o tcp . Hinumdomi nga ang mga identipiers tcp , udp , ug icmp mga keyword usab ug kinahanglan nga makaikyas pinaagi sa backslash (\), nga mao ang \\ sa C-shell. Timan-i nga kini nga primitive wala mogukod sa chain header sa protocol.

ip6 proto protocol

Tinuod kung ang packet usa ka IPv6 nga pakete sa protocol type protocol . Timan-i nga kini nga primitive wala mogukod sa chain header sa protocol.

ip6 protochain protocol

Tinuod kung ang pakete mao ang IPv6 nga pakete, ug adunay protocol header nga adunay tipo nga protocol sa iyang chain header sa protocol. Pananglitan,

ip6 protochain 6

motakdo sa bisan unsang IPv6 nga pakete nga adunay TCP protocol header sa protocol header chain. Ang pakete mahimong maglangkob, sama pananglitan, header sa pamatuod, routing header, o hop-by-hop header nga kapilian, tali sa IPv6 header ug TCP header. Ang kodigo sa BPF nga gipadala niining karaan nga komplikado komplikado ug dili mahimong usbon pinaagi sa BPF optimizer code sa tcpdump , busa mahimo kini nga hinay.

ip protochain protocol

Katumbas sa IP6 protochain protocol , apan kini alang sa IPv4.

ether broadcast

Tinuod kung ang packet usa ka ethernet broadcast packet. Ang ether keyword maoy opsyonal.

ip broadcast

Tinuod kung ang pakete usa ka IP broadcast packet. Gisusi kini alang sa mga all-zeroes ug all-ones nga broadcast conventions, ug gitan-aw ang lokal nga subnet mask.

ether multicast

Tinuod kung ang packet usa ka ethernet multicast packet. Ang ether keyword maoy opsyonal. Kini ang takus alang sa ` ether [0] & 1! = 0 '.

ip multicast

Tinuod kung ang packet usa ka IP multicast packet.

ip6 multicast

Tinuod kung ang packet usa ka IPv6 multicast packet.

ether proto protocol

Tinuod kung ang packet usa ka ether type protocol . Ang Protocol mahimong numero o usa sa mga ngalan ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , o netbeui . Matikdi nga kining mga tigpaila mao usab ang mga keyword ug kinahanglan nga makalingkawas pinaagi sa backslash (\).

[Sa kaso sa FDDI (pananglitan, ` fddi protocol arp ') ug Token Ring (eg,` tr protocol arp '), alang sa kadaghanan sa mga protocols, ang identification protocol gikan sa 802.2 Logical Link Control (LLC) header, nga kasagaran nahimutang sa ibabaw sa FDDI o Token Ring header.

Sa pag-filter alang sa kadaghanan sa mga protocol identifiers sa FDDI o Token Ring, ang tcpdump nagsusi lamang sa protocol ID field sa usa ka header sa LLC sa gitawag nga SNAP format uban sa usa ka Organizational Unit Identifier (OUI) nga 0x000000, alang sa encapsulated Ethernet; kini dili pagsusi kon ang pakete anaa sa SNAP format nga may OUI nga 0x000000.

Ang mga eksepsiyon mao ang iso , diin kini nagsusi sa DSAP (Destination Service Access Point) ug SSAP (Source Service Access Point) sa mga header sa LLC, stp ug netbeui , diin kini nagsusi sa DSAP sa header sa LLC, ug atalk , diin kini nagsusi alang sa SNAP-format packet nga adunay OUI nga 0x080007 ug ang Appletalk etype.

Sa kaso sa Ethernet, ang tcpdump nagsusi sa field sa Ethernet alang sa kadaghanan sa mga protocol; ang mga eksepsiyon mao ang iso , sap , ug netbeui , diin kini nagsusi alang sa usa ka 802.3 nga bayanan ug dayon nagsusi sa header sa LLC ingon nga kini alang sa FDDI ug Token Ring, atalk , diin kini nagsusi alang sa Appletalk etype sa usa ka Ethernet frame ug alang sa usa ka SNAP-format nga pakete sama sa FDDI ug Token Ring, aarp , diin kini nagsusi alang sa Appletalk ARP etype sa bisan usa ka Ethernet frame o 802.2 SNAP frame nga adunay OUI nga 0x000000, ug ipx , diin kini nagsusi alang sa IPX etype sa usa ka Ethernet frame, ang IPX DSAP diha sa header sa LLC, ang 802.3 nga walay LLC header encapsulation sa IPX, ug ang IPX etype sa SNAP frame.]

decnet src host

Tinuod kung ang address sa source sa DECNET mao ang host , nga mahimong usa ka address sa pormang `` 10.123 '', o usa ka DECNET host nga ngalan. [DECNET host nga suporta sa ngalan anaa lamang sa mga Ultrix nga mga sistema nga gi-configure nga magpadagan sa DECNET.]

decnet dst host

Tinuod kung ang adres sa DECNET nga destinasyon maoy host .

decnet host host

Tinuod kung ang tinubdan sa DECNET o adres sa padulngan maoy host .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Mga abbreviation para sa:

ether proto p

diin ang p usa sa mga protocol sa ibabaw.

lat , moprc , mopdl

Mga abbreviation para sa:

ether proto p

diin ang p usa sa mga protocol sa ibabaw. Timan-i nga ang tcpdump wala mahibal-an kung unsaon pag-parse niini nga mga protocol.

vlan [vlan_id]

Tinuod kung ang packet usa ka packet sa IEEE 802.1Q VLAN. Kon ang [vlan_id] gipahayag, tinuod lamang nga ang pakete adunay gitakda nga vlan_id . Timan-i nga ang unang vlan nga pulong nga nakit-an sa ekspresyon nagbag-o sa pag-decode offsets alang sa nahibilin sa ekspresyon sa assumption nga ang pakete usa ka pakete sa VLAN.

tcp , udp , icmp

Mga abbreviation para sa:

ip proto p o ip6 proto p

diin ang p usa sa mga protocol sa ibabaw.

iso proto protocol

Tinuod kung ang packet usa ka OSI nga pakete sa protocol type protocol . Ang Protocol mahimong usa ka numero o usa sa mga ngalan nga clnp , esis , o isis .

clnp , esis , isis

Mga abbreviation para sa:

iso proto p

diin ang p usa sa mga protocol sa ibabaw. Timan-i nga ang tcpdump usa ka dili hingpit nga trabaho sa pagtapos niini nga mga protocol.

expr relop expr

Ang tinuud kung ang relasyon adunay, diin ang relop usa>, <,> =, <=, = ,! =, Ug expr usa ka pamahayag sa aritmetika nga gilangkuban sa mga constant sa integer (gipahayag sa standard C syntax), ang normal nga binary operators [ , -, *, /, &, |], usa ka gitas-on nga operator, ug mga espesyal nga pakete sa data accessors. Aron maka access sa datos sulod sa pakete, gamita ang mosunod nga syntax:

proto [ expr : gidak-on ]

Ang proto usa sa mga ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp o ip6 , ug gipakita ang protocol layer alang sa operasyon sa index. ( ether, fddi, tr, ppp, slip ug i-link ang tanan nga nag-refer sa link layer.) Hinumdomi nga ang tcp, udp ug uban pang mga tipo sa protocol sa itaas-layer magamit lamang sa IPv4, dili IPv6 (kini pag-ayo sa umaabot). Ang byte nga gibug-aton, kon itandi sa gipakita nga protocol layer, gihatag pinaagi sa expr . Ang gidak-on mao ang opsyonal ug nagpakita sa gidaghanon sa bytes sa natad sa interes; kini mahimong usa, duha, o upat, ug wala'y mahimo sa usa. Ang gitas-on nga operator, nga gipakita sa keyword len , naghatag sa gitas-on sa pakete.

Pananglitan, ang ` ether [0] & 1! = 0 'nakakuha sa tanan nga trapiko sa multicast. Ang ekspresyon nga ` ip [0] & 0xf! = 5 'nakuha ang tanang IP nga mga pakete nga adunay mga kapilian. Ang ekspresyon nga ` ip [6: 2] & 0x1fff = 0 'makadakop lamang sa mga datagrams ug frag zero sa mga fragmented datagrams. Kini nga tseke gipatuman sa tcp ug udp index operations. Pananglitan, ang tcp [0] kanunay nagpasabot sa una nga byte sa header sa TCP, ug wala gayud nagpasabut nga ang una nga byte sa usa ka tipik sa pagpangilabot.

Ang ubang mga offset ug field values ​​mahimo nga ipahayag isip mga ngalan kay sa mga numeric values. Ang mosunod nga protocol header nga field offset anaa: icmptype (ICMP type field), icmpcode (field ICMP code), ug tcpflags (TCP flags field).

Ang mosunod nga mga panig-ingnan sa medya sa ICMP anaa: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Ang mosunod nga mga hulma sa mga bandila sa TCP anaa: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Ang mga primitibo mahimong magamit sa:

Usa ka parenthesized nga pundok sa mga primitibo ug mga operator (ang mga parentheses espesyal sa Shell ug kinahanglan nga makalingkawas).

Ang negatibo (` ! 'O` dili ').

Concatenation (` && 'o` ug ').

Pagpalayo (` || ' o` o ').

Ang negatibo adunay pinakataas nga sumbanan. Ang alternation ug concatenation adunay managsama nga precedence ug associate left to right. Timan-i nga ang tin-aw ug mga ilhanan, dili ang pagtapos, gikinahanglan karon alang sa pagdugtong.

Kon ang usa ka identifier gihatag nga walay usa ka keyword, ang labing bag-o nga keyword gituohan. Pananglitan,

dili host vs ug ace

mubo alang sa

dili host vs ug host ace

nga dili angay ikalibog

dili (host vs o alas)

Ang mga argumento sa pagpahayag mahimo ipasa sa tcpdump ingon nga bisan usa ka argumento o isip daghang argumento, bisan asa mas sayon. Sa kinatibuk-an, kung ang ekspresyon adunay mga metakaracters sa Shell, mas sayon ​​ang pagpasa niini isip usa ka gikutlo nga argumento. Ang daghang mga argumento gihugpong uban sa mga luna sa wala pa ma-parse.

MGA Ehemplo

Sa pag-imprinta sa tanan nga mga packet nga moabot o mobiya gikan sa pagsalop sa adlaw :

tcpdump host nga pagsalop

Aron makaimprenta sa trapiko tali sa mga helios ug sa init o sa usa nga :

tcpdump host helios ug \ (init o alas o)

Sa pag-imprinta sa tanan nga IP packets tali sa alas ug sa bisan unsang host gawas helios :

tcpdump ip host ace ug dili helios

Aron maimprinta ang tanan nga trapiko tali sa lokal nga panon ug mga panon sa Berkeley:

tcpdump net ucb-ether

Sa pag-imprinta sa tanan nga trapiko sa ftp pinaagi sa internet gateway snup : (timan-i nga ang ekspresyon gikutlo aron mapugngan ang kabhang gikan sa (sayop-) paghubad sa parentheses):

tcpdump 'ganghaan snup ug (port ftp o ftp-data)'

Sa pag-imprinta sa trapiko nga wala maggikan o wala alang sa mga lokal nga panon (kung ikaw ang agianan sa usa ka laing pukot, kini nga mga butang kinahanglan dili gayud kini ibutang sa imong lokal nga pukot).

tcpdump ip ug dili net netnet

Sa pag-imprinta sa mga packet sa pagsugod ug katapusan (ang SYN ug FIN packets) sa matag pag-istoryahan sa TCP nga naglangkob sa usa ka dili lokal nga host.

tcp-syn 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 ug dili src ug dst net localnet '

Sa pag-print sa IP nga mga packet mas taas pa kaysa 576 bytes nga gipadala pinaagi sa ganghaan snup :

tcpdump 'ganghaan snup ug ip [2: 2]> 576'

Sa pag-print sa IP broadcast o multicast packets nga wala gipadala pinaagi sa ethernet broadcast o multicast:

tcpdump 'ether [0] & 1 = 0 ug ip [16]> = 224'

Sa pag-print sa tanan nga ICMP packets nga dili echo mga hangyo / tubag (ie, dili ping packets):

tcpdump 'icmp [icmptype]! = icmp-echo ug icmp [icmptype]! = icmp-echoreply'

OUTPUT FORMAT

Ang output sa tcpdump usa ka protocol nga nagsalig. Ang mosunod naghatag og mubo nga paghulagway ug mga ehemplo sa kadaghanan sa mga format.

Link Level Headers

Kon ang '-e' nga kapilian gihatag, ang header nga lebel sa link giimprinta. Sa mga tag-iya, ang mga adres nga gigikanan ug destinasyon, protocol, ug ang gitas-on nga packet gipatik.

Sa FDDI networks, ang '-e' nga opsyon hinungdan sa tcpdump sa pag-imprinta sa field nga 'frame control', ang mga address sa source ug destination, ug ang gitas-on nga packet. Ang panudlanan sa `frame control 'mao ang pagdumala sa paghubad sa nahabilin nga pakete. Ang mga normal nga mga pakete (sama sa adunay mga datagrams nga IP) mao ang mga' async 'nga mga pakete, nga adunay prayoridad nga bili tali sa 0 ug 7, pananglitan,` async4 '. ang mga packet gituohan nga naglangkob sa 802.2 Logical Link Control (LLC) nga pakete; ang header sa LLC gipatik kon kini dili usa ka ISO datagram o usa ka gitawag nga SNAP nga pakete.

Diha sa mga Token Ring network, ang '-e' nga kapilian hinungdan sa tcpdump aron i-print ang mga field sa access sa `access control 'ug` frame control', ang mga address sa source ug destination, ug ang gitas-on nga packet. Sama sa mga network sa FDDI, ang mga packet gituohan nga naglangkob sa LLC packet. Dili igsapayan kung ang '-e' nga kapilian gitino o wala, ang impormasyon sa pag-routing sa tinubdan giimprinta alang sa mga pakyas nga gipadagan sa tinubdan.

(NB: Ang mosunod nga paghulagway nagpasabot nga pamilyar sa SLIP compression algorithm nga gihulagway sa RFC-1144.)

Sa mga link sa SLIP, usa ka indikator sa direksyon (`` ako '' sa inbound, `` O '' alang sa outbound), tipo nga pakete, ug impormasyon sa compression ang gipatik. Ang klase sa pakete gi-imprinta una. Ang tulo ka klase mao ang ip , utcp , ug ctcp . Wala nay dugang nga impormasyon sa pagpa-imprinta alang sa ip packets. Alang sa mga packet sa TCP, ang gipaila nga koneksyon giimprinta human sa klase. Kon ang packet gikompresa, ang gipatik nga header niini gipatik. Ang mga espesyal nga mga kaso gi-imprinta ingon nga * S + n ug * SA + n , diin ang n mao ang gidaghanon nga ang numero sa pagkasunod-sunod (o pagkasunodsunod numero ug ack) nausab. Kung kini dili usa ka espesyal nga kaso, zero o dugang nga mga kausaban ang gipatik. Ang usa ka pagbag-o gipakita sa U (dinalian nga pointer), W (bintana), A (ack), S (numero sa han-ay), ug ako (packet ID), gisundan sa usa ka delta (+ n o -n) (= n). Sa kataposan, ang gidaghanon sa datos sa packet ug compressed header nga gitas-on gipatik.

Pananglitan, ang mosunod nga linya nagpakita sa usa ka outbound compressed TCP packet, uban ang usa ka implicit connection identifier; ang ack nausab sa 6, ang numero sa pagkasunodsunod sa 49, ug ang packet ID sa 6; adunay 3 ka bytes nga datos ug 6 bytes sa giputos nga header:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP Packets

Ang Arp / rarp output nagpakita sa matang sa hangyo ug mga argumento niini. Ang porma gituyo aron mahimong kaugalingon nga pagpatin-aw. Ania ang usa ka mubo nga sample nga gikuha gikan sa pagsugod sa usa ka `rlogin 'gikan sa host rtsg sa host csam :

arp kinsa-nag sulti sa rtsg arp reply csam mao-sa CSAM

Ang unang linya nag-ingon nga ang rtsg nagpadala sa usa ka arp packet nga nangayo sa ethernet address sa internet host csam. Ang tubag ni Cs sa iyang ethernet address (sa niini nga pananglitan, ang mga address sa ethernet anaa sa mga takup ug mga address sa internet sa ubos nga kaso).

Kini dili kaayo lahi kung nahuman na ang tcpdump -n :

arp kinsa-nga adunay 128.3.254.6 nga nagsulti 128.3.254.68 arp nga tubag 128.3.254.6 mao ang-sa 02:07: 01: 00: 01: c4

Kon nahimo na namo ang tcpdump -e , ang kamatuoran nga ang unang pakete gisibya ug ang ikaduha mao ang punto-to-point nga makita:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64: arp reply csam is-at CSAM

Alang sa unang pakete kini nag-ingon nga ang ethernet source address mao ang RTSG, ang destinasyon mao ang ethernet broadcast address, ang field nga adunay sulod nga hex 0806 (type ETHER_ARP) ug ang kinatibuk-ang gitas-on mao ang 64 bytes.

TCP Packets

(NB: Ang mosunod nga paghulagway nga gipasabut sa pagkasinabtanay sa TCP protocol nga gihulagway sa RFC-793. Kung dili ka pamilyar sa protocol, dili kini nga paghulagway ni tcpdump magamit nimo.)

Ang kasagaran nga format sa tcp protocol line mao ang:

src> dst: flags data-seqno ack window nga dinalian nga kapilian

Src ug ang mga IP address ug mga pantalan nga gigikanan ug destinasyon. Ang mga bandera mga kombinasyon sa S (SYN), F (FIN), P (PUSH) o R (RST) o usa ka `. ' (walay bandila). Ang data-seqno naghulagway sa bahin sa luna nga gisundan sa datos sa kini nga pakete (tan-awa sa panig-ingnan sa ubos). Ang Ack mao ang gidaghanon sa sunod nga datos nga gipaabut sa laing direksyon niini nga koneksyon. Ang bintana mao ang gidaghanon sa mga byte nga makadawat sa luna sa buffer nga magamit sa laing direksyon niini nga koneksyon. Ang Urg nagapakita nga dunay 'dinalian' nga datos sa pakete. Ang mga kapilian mao ang mga kapilian sa tcp nga gisudlag mga braket sa anggulo (eg, ).

Ang Src, ug ang mga bandera kanunay anaa. Ang ubang mga umahan nagsalig sa mga sulod sa tcp protocol header sa packet ug ang mga resulta lamang kung angay.

Ania ang pangbukas nga bahin sa usa ka rlogin gikan sa host rtsg sa host csam .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. sulod: . ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

Ang unang linya nag-ingon nga ang tcp port 1023 sa rtsg nagpadala sa usa ka pakete sa port login sa csam. Ang S nagpakita nga ang bandila sa SYN gitakda. Ang numero sa pagkapili sa packet mao ang 768512 ug wala kini'y datos. (Ang nota mao ang una: sa katapusan (nbytes) nga nagkahulogan nga ang mga numero sa sunod sunod nga wala pa lakip ang katapusan nga nbytes bytes sa data sa gumagamit.) Wala'y piggy-backed ack, ang available window nga makadawat og 4096 bytes ug adunay usa ka max-segment nga gidak-on nga kapilian nga nangayo og usa ka mss nga 1024 ka bitoon.

Ang tubag ni Csam sama sa usa ka pakete gawas kini naglakip sa usa ka pig-backed ack alang sa rtsg's SYN. Rtsg unya acks csam's SYN. Ang `. ' nagpasabot nga walay bandila nga gipahimutang. Ang pakete nga walay datos aron walay numero sa pagkasunod-sunod nga data. Timan-i nga ang numero sa sunod nga ack usa ka gamay nga integer (1). Sa unang higayon ang tcpdump nakakita sa tcp `pag-istoryahanay ', kini nagpatik sa numero sa han-ay gikan sa pakete. Sa sunod nga mga pakete sa panag-istoryahanay, ang kalainan tali sa numero sa pagkasunod-sunod sa packet ug niini nga pasiunang han-ay nga numero gi-imprinta. Kini nagpasabot nga ang mga numero sa han-ay human sa unang mahubad ingon nga paryente nga mga posisyon sa byte sa data stream sa panag-istoryahanay (uban sa unang data byte ang matag direksyon nga `1 '). Ang `-S 'molampus sa kini nga bahin, nga maoy hinungdan nga ang orihinal nga mga numero sa pagkasunod-sunod nga mahimong output.

Sa ika-6 nga linya, ang rtsg nagpadala sa csam 19 bytes sa data (bytes 2 hangtud 20 sa rtsg -> csam nga bahin sa panag-istoryahanay). Ang bandila sa PUSH gipahimutang sa pakete. Sa ika-7 nga linya, ang csam nag-ingon nga kini nakadawat datos nga gipadala sa rtsg hangtod sa apan wala naglakip sa byte 21. Kadaghanan sa kini nga data daw naglingkod sa buffer socket tungod kay ang window sa csam nakadawat og 19 bytes mas gamay. Nagpadala usab si Csam og usa ka byte sa datos sa rtsg sa kini nga pakete. Sa ika-8 ug ika-9 nga mga linya, ang csam nagpadala sa duha ka byte nga dinalian, nagduso sa data ngadto sa rtsg.

Kung ang snapshot gamay ra nga ang tcpdump wala makadakop sa full header sa TCP, kini naghubad sa kadaghanan sa header nga mahimo niini ug dayon nagtahu `` [| tcp ] '' aron ipasabut nga ang nahibilin dili mahubad. Kon ang header adunay usa ka mini nga kapilian (ang usa nga adunay gitas-on nga gamay kaayo o dili sa katapusan sa header), ang tcpdump nagtaho niini isip `` [ bad opt ] '' ug wala maghubad sa bisan unsang mga kapilian nga mga kapilian (tungod kay imposible nga isulti diin kini magsugod). Kung ang header nga gitas-on nagpakita sa mga kapilian anaa apan ang IP datagram nga gitas-on dili dugay nga igo alang sa mga kapilian sa aktuwal nga anaa didto, tcpdump nagtaho niini nga `` [ bad hdr length ] ''.

Pagkuha sa mga pakete sa TCP nga adunay partikular nga kombinasyon sa bandila (SYN-ACK, URG-ACK, ug uban pa)

Adunay 8 ka piraso sa control bits section sa TCP header:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Atong hunahunaon nga gusto naton nga tan-awon ang mga pakete nga gigamit sa pagtukod og koneksyon sa TCP. Hinumdomi nga ang TCP naggamit sa usa ka 3-way handshake protocol sa diha nga kini nagsugod sa usa ka bag-ong koneksyon; ang pagkasunod-sunod sa koneksyon kalabot sa TCP control bits mao

1) Ang tumatawag nagpadala sa SYN

2) Ang nakadawat motubag sa SYN, ACK

3) Ang tumatawag nagpadala sa ACK

Karon interesado kami sa pagkuha sa mga pakete nga adunay SYN bit set (Lakang 1). Timan-i nga dili kita gusto nga mga packet gikan sa step 2 (SYN-ACK), usa lamang ka plain initial SYN. Ang atong gikinahanglan mao ang husto nga ekspresyon sa filter alang sa tcpdump .

Hinumdomi ang istruktura sa usa ka header sa TCP nga walay kapilian:

0 15 31 ----------------------------------------------- ------------------ | source port | destinasyon nga pantalan | -------------------------------------------------- --------------- | sunod nga numero | -------------------------------------------------- --------------- | numero sa pag-ila | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | gidak-on sa bintana | -------------------------------------------------- --------------- | TCP checksum | dinalian nga pointer | -------------------------------------------------- ---------------

Ang usa ka header sa TCP kasagaran naghupot og 20 ka oktubre nga datos, gawas kon adunay mga kapilian. Ang unang linya sa graph adunay octets 0 - 3, ang ikaduhang linya nagpakita sa mga octet 4 - 7 ug uban pa.

Pagsugod sa pag-ihap sa 0, ang may kalabutan nga TCP control bits anaa sa octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | gidak-on sa bintana | ---------------- | --------------- | --------------- | - --------------- | | Ika-13 nga octet | | |

Atong tan-awon ang octet no. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | 7 5 3 0 |

Kini ang mga pagkontrol sa TCP nga kita interesado. Giihap ang mga bit sa oktet gikan sa 0 ngadto sa 7, tuo sa wala, busa ang PSH bit gamay nga numero 3, samtang ang URG bit mao ang numero 5.

Hinumdomi nga gusto namong makuha ang mga pakete nga adunay SYN set. Atong tan-awon kung unsay mahitabo sa oktet 13 kon ang usa ka TCP datagram moabut uban ang SYN bit set sa iyang header:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

Sa pagtan-aw sa pagkontrol sa mga bahin sa panit makita nato nga gamay ra ang gidaghanon 1 (SYN) gitakda.

Sa pag-ingon nga ang oktet numero 13 usa ka 8-bit unsigned integer sa network byte order, ang binary nga bili niini nga octet

00000010

ug ang iyang representasyon sa desimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Hapit na kami nahuman, tungod kay nahibal-an na kami karon nga kung ang SYN lang ang gitakda, ang bili sa ika-13 nga octet sa TCP header, kung gihubad isip usa ka 8-bit unsigned integer sa byte order sa network, kinahanglan nga eksaktong 2.

Kini nga relasyon mahimong ipahayag ingon

tcp [13] == 2

Mahimo natong gamiton kini nga ekspresyon ingon nga filter alang sa tcpdump aron sa pagtan-aw sa mga pakete nga adunay SYN nga gitakda:

tcpdump -i xl0 tcp [13] == 2

Ang ekspresyon nag-ingon nga "himoa nga ang ika-13 nga octet sa usa ka TCP datagram adunay decimal nga desisyon 2", nga mao gayud ang atong gusto.

Karon, maghunahuna kita nga gikinahanglan nato ang pagdakop sa mga pakete sa SYN, apan wala kita magtagad kung ang ACK o bisan unsang pagkontrol sa TCP gitakda sa samang panahon. Atong tan-awon kon unsay mahitabo sa oktubre 13 kung ang TCP datagram uban ang SYN-ACK set moabot:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

Karon ang mga bits 1 ug 4 gibutang sa ika-13 nga oktubre. Ang binary value sa oktubre 13 mao

00010010

nga nagkahulugan sa desimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Karon dili namo mahimo gamiton ang 'tcp [13] == 18' sa tcpdump filter nga ekspresyon, tungod kay kana makapili lamang sa mga packet nga adunay SYN-ACK set, apan dili kadtong adunay SYN set lang. Hinumdomi nga wala kami nagakabalaka kon ang ACK o bisan unsang lain nga pagkontrol nga gitakda samtang ang SYN gitakda.

Aron makab-ot ang atong tumong, kinahanglan kita nga makatarunganon AT ang binary nga kantidad sa octet 13 uban ang uban nga bili aron mapreserbar ang SYN bit. Nahibal-an namon nga gusto namong ipahamtang ang SYN sa bisan unsang kaso, mao nga makatarunganon namon ang AT ang bili sa ika-13 nga octet sa binary value sa SYN:

00010010 SYN-ACK 00000010 SYN UG 00000010 (gusto kita SYN) UG 00000010 (gusto kita SYN) -------- -------- = 00000010 = 00000010

Nakita namon nga kini ug operasyon naghatag sa sama nga resulta bisan kung ang ACK o lain nga pagkontrol sa TCP gitakda. Ang desimal nga representasyon sa AND value ingon man ang resulta sa operasyon mao ang 2 (binary 00000010), busa nahibal-an namon nga alang sa mga packet nga adunay SYN nga nagtakda sa mosunod nga relasyon kinahanglan nga tinuod:

((bili sa octet 13) AND (2)) == (2)

Kini nagatudlo kanato sa tcpdump filter nga ekspresyon

tcpdump -i xl0 'tcp [13] & 2 == 2'

Hinumdomi nga kinahanglan mong gamiton ang mga single quotes o backslash sa ekspresyon aron itago ang AT ('&') espesyal nga kinaiya gikan sa kabhang.

UDP Packets

Ang format sa UDP giilustrar sa kini nga pakete:

actinide.who> broadcast.who: udp 84

Kini nag-ingon nga ang pantalan kinsa sa host actinide nagpadala sa usa ka udp datagram sa pantalan kinsa sa host broadcast , ang address sa broadcast sa Internet. Ang pakete adunay 84 bytes sa datos sa tiggamit.

Ang ubang mga serbisyo sa UDP giila (gikan sa source o destination port number) ug ang mas taas nga level protocol nga gipatik nga impormasyon. Sa partikular, ang mga request sa serbisyo sa Domain Name (RFC-1034/1035) ug Sun RPC tawag (RFC-1050) sa NFS.

UDP Name Server Requests

(NB: Ang mosunod nga paghulagway nagpasabot nga pamilyar sa protocol sa Domain Service nga gihulagway sa RFC-1035. Kung dili ka pamilyar sa protocol, ang mosunod nga paghulagway makita nga gisulat sa Griyego.)

Ginganlan ang mga request sa server nga giporma isip

src> dst: id op? flags qtype qclass name (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Ang host h2opolo nangutana sa domain server sa helios alang sa address record (qtype = A) nga may kalabutan sa ngalan ucbvax.berkeley.edu. Ang pangutana nga id mao ang `3 '. Ang `+ 'nagpaila sa recursion nga gitinguha nga bandila. Ang gitas-on nga pangutana mao ang 37 bytes, wala naglakip sa UDP ug IP protocol headers. Ang pangutana nga operasyon mao ang normal, Query , busa ang op field wala ilakip. Kung ang op lain na nga butang, kini gipatik sa tunga sa `3 'ug ang` +'. Sa susama, ang qclass mao ang kasagaran, C_IN , ug wala iapil. Ang bisan unsang lain nga qclass mahimo nga gipatik dayon human sa `A '.

Ang pipila ka mga anomaliya gitan-aw ug mahimong moresulta sa dugang mga natad nga giluklok sa mga square brackets: Kung ang usa ka pangutana adunay usa ka tubag, ang mga rekord sa awtoridad o dugang nga mga seksyon sa rekord, ancount , nscount , o arcount gipatik isip `[ n a] ',` [ n n ] 'o `[ n au]' kung diin n ang angay nga ihap. Kung adunay bisan unsang mga tip nga gibutang (AA, RA o rcode) o bisan asa sa `must zero 'nga mga bit nga gipahimutang sa byte duha ug tulo,` [b2 & 3 = x ]' gipatik, diin ang x ang hex nga bili sa header bytes duha ug tulo.

Mga Responsyon sa Ngalan sa UDP Server

Pangalan sa mga tubag sa server giporma isip

src> dst: id op rcode flags usa / n / au type class data (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Sa unang pananglitan, ang mga helios mitubag sa pangutana id 3 gikan sa h2opolo nga adunay tulo ka mga rekord sa tubag, 3 mga rekord sa ngalan sa server ug 7 dugang nga mga rekord. Ang unang tubag nga rekord mao ang type A (address) ug ang datos mao ang internet address 128.32.137.3. Ang kinatibuk-ang gidak-on sa tubag mao ang 273 bytes, wala'y labot ang UDP ug mga header sa IP. Ang op (Query) ug response code (NoError) wala ilakip, sama sa klase (C_IN) sa A record.

Sa ikaduha nga pananglitan, ang mga helios mitubag sa pangutana 2 sa usa ka tubag nga code sa non-existent domain (NXDomain) nga walay mga tubag, usa ka name server ug walay mga rekord sa awtoridad. Ang `* 'nagpakita nga ang gamay nga tubag sa awtoridad gitakda. Tungod kay wala'y mga tubag, walay klase, klase o datos ang gipatik.

Ang uban nga mga flag nga mga karakter nga mahimo nga makita mao ang `- '(recursion anaa, RA, dili set) ug` |' (giputol nga mensahe, TC, gitakda). Kung ang seksiyon nga 'pangutana' walay sulod nga usa ka entry, `[ n q] 'giimprinta.

Hinumdumi nga ang mga pangutana sa mga pangpangutan sa server ug mga tubag nga dako ang mahimo ug ang default nga snaplen nga 68 bytes dili makakuha sa igo nga packet sa pag-print. Gamita ang -s flag aron sa pagdugang sa snaplen kon kinahanglan nimo nga seryoso nga mag-imbestigar sa trapiko sa ngalan sa server. ` -s 128 'maayo alang kanako.

Ang SMB / CIFS nag-decode

Ang tcpdump naglakip na karon sa maayohon nga SMB / CIFS / NBT nga nag-decode alang sa datos sa UDP / 137, UDP / 138 ug TCP / 139. Gihimo usab ang pipila ka mga primitive decoding sa IPX ug NetBEUI SMB data.

Sa kasagaran usa ka gamay nga dyutay nga pagbasa ang nahuman, nga adunay mas detalyado nga pagbasa nga gigamit kung -v gigamit. Pasidan-an nga ang usa ka single nga SMB nga pakete mahimong makakuha og usa ka pahina o sobra pa, busa gamiton lamang-kon gusto nimo ang tanan nga mga detalye.

Kung ikaw nag-decode sa mga sesyon sa SMB nga adunay unicode strings nan mahimo nimo nga itakda ang environment nga mag-usbaw sa USE_UNICODE sa 1. Ang usa ka patch nga awtomatiko nga makamatikod sa unicode nga srings mahimo nga abi-abi.

Alang sa kasayuran sa mga format sa SMB packet ug kung unsay buot ipasabot sa tanan nga bahin sa te makita ang www.cifs.org o ang pub / samba / specs / direktoryo sa imong paborito nga samba.org mirror site. Ang SMB patch gisulat ni Andrew Tridgell (tridge@samba.org).

NFS Mga Hangyo ug Tugon

Ang mga gipangayo sa Sun NFS (Network File System) ug mga tubag gipatik:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op results sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: reply ok 128 lookup fh 9,74 / 4134.3150

Sa una nga linya, host sushi nagpadala sa usa ka transaksyon sa id 6709 sa wrl (timan-i nga ang gidaghanon nga nagsunod sa src host usa ka transaksiyon id, dili ang source port). Ang hangyo mao ang 112 bytes, wala'y labot ang UDP ug mga header sa IP. Ang operasyon usa ka readlink (pagbasa simbolikong link) sa file handle ( fh ) 21,24 / 10.731657119. (Kung ang usa usa ka lucky, sama niini nga kaso, ang file handle mahimong hubaron isip usa ka major, minor device pair number, gisundan sa inode number ug generation number.) Wrl ang tubag `ok 'sa sulod sa link.

Sa ikatulo nga linya, sushi nangutana wrl sa pagpangita sa ngalan nga ` xcolors 'sa direktoryo nga file 9,74 / 4096.6878. Timan-i nga ang datos nga gi-imprinta depende sa matang sa operasyon. Ang format gituyo nga mahimong kaugalingon nga pagpatin-aw kon basahon nga kauban sa usa ka protocol sa NFS spec.

Kon ang -v (balud-anon) nga bandila gihatag, dugang nga impormasyon ang giimprinta. Pananglitan:

sushi.1372a> wrl.nfs: 148 mabasa fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: tubag ok 1472 mabasa REG 100664 ids 417/0 sz 29388

(-v usab gipatik ang IP header TTL, ID, gitas-on, ug fragmentation nga mga natad, nga wala ilakip gikan niini nga pananglitan.) Sa unang linya, ang sushi nangutana wrl sa pagbasa 8192 bytes gikan sa file 21,11 / 12.195, sa byte offset 24576. Wrl ang tubag `ok '; ang pakete nga gipakita sa ikaduha nga linya mao ang unang tipik sa tubag, ug busa 1472 byte ang gitas-on (ang uban nga mga byte mosunod sa sunod nga mga tipak, apan kini nga mga tipik walay NFS o bisan mga UDP header ug busa dili maimprinta, depende sa filter nga ekspresyon nga gigamit). Tungod kay ang -v flag gihatag, ang pipila sa mga attribute sa file (nga gibalik dugang sa data sa file) giimprinta: ang tipo sa file (`` REG '', alang sa regular nga file), ang file mode (sa octal), ang uid ug gid, ug ang gidak-on sa file.

Kon ang -v flag gihatagan labaw pa kay sa makausa, mas daghang mga detalye ang giimprinta.

Hinumdomi nga ang mga hangyo sa NFS dako kaayo ug kadaghanan sa mga detalye dili maimprinta gawas kon ang snaplen madugangan. Sulayi ang paggamit sa ` -s 192 'aron sa pagtan-aw sa trapiko sa NFS.

Ang mga packet reply NFS dili tin-aw nga nagpaila sa operasyon sa RPC. Hinuon, ang tcpdump nagsubay sa mga hangyo sa `` bag-o ', ug gipares kini sa mga tubag gamit ang ID sa transaksyon. Kon ang tubag dili hugot nga nagsunod sa katugbang nga hangyo, dili kini mahimo nga parsable.

AFS Mga Gipangayo ug Mga Tubag

Ang mga transarc AFS (Andrew File System) nga mga hangyo ug mga tubag gipatik isip:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx packet-type service call-name args src.sport> dst.dport: rx packet-type service reply call-name args elvis. 7001> pike.afsfs: rx data fs gitawag rename old fid 536876964/1/1 ".newsrc.new" bag-ong fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs reply pag-usab

Sa una nga linya, ang host elvis nagpadala sa usa ka RX nga pakete sa pike. Kini usa ka RX data packet sa fs (fileserver) nga serbisyo, ug mao ang pagsugod sa RPC call. Ang tawag sa RPC usa ka pangalan, uban sa daan nga direktoryo nga file id sa 536876964/1/1 ug usa ka daan nga filename sa `.newsrc.new ', ug usa ka bag-ong file sa id sa 536876964/1/1 ug usa ka bag-ong filename sa`. newsrc '. Ang host pike motubag sa usa ka tubag sa RPC sa rename call (nga malampuson, tungod kay kini usa ka data packet ug dili abort packet).

Sa kinatibuk-an, ang tanan nga AFS RPCs gidekspeto bisan sa ngalan sa RPC call. Kadaghanan sa AFS RPC adunay labing menos pipila sa mga argumento nga gipahayag (kasagaran lamang ang mga makaiikag nga mga argumento, alang sa pipila ka kahulugan sa makapaikag).

Ang format gituyo nga mahimong paghulagway sa kaugalingon, apan kini dili mahimong mapuslanon sa mga tawo nga dili pamilyar sa mga buhat sa AFS ug RX.

Kon ang -v (verbose) nga flag gihatag sa duha, ang mga packet sa pag-ila ug ang dugang nga impormasyon sa header gipatik, sama sa RX call ID, numero sa tawag, numero sa pagkasunodsunod, serial number, ug RX packet flags.

Kon ang -v nga bandila doble, dugang nga impormasyon ang gi-imprinta, sama sa RX call ID, serial number, ug RX packet flags. Ang impormasyon sa negosasyon sa MTU gipatik usab gikan sa RX ack packets.

Kon ang -v flag nga gihatag sa tulo ka higayon, ang index sa seguridad ug serbisyo id gipatik.

Ang mga kodigo sa sayup nga gi-imprinta alang sa mga abort packets, gawas sa mga packet sa Ubik beacon (tungod kay ang mga packet nga abort gigamit aron ipaila ang oo nga pagboto sa Ubik protocol).

Hinumdomi nga ang mga hangyo sa AFS dako kaayo ug daghan sa mga argumento dili maimprinta gawas kon ang snaplen madugangan. Sulayi ang paggamit sa ` -s 256 'aron tan-awon ang trapiko sa AFS.

Ang mga packet reply sa AFS dili tin-aw nga nagpaila sa operasyon sa RPC. Hinuon, ang tcpdump nagsubay sa mga hangyo sa `` bag-o ', ug gipares kini sa mga tubag gamit ang numero sa tawag ug service ID. Kon ang tubag dili hugot nga nagsunod sa katugbang nga hangyo, dili kini mahimo nga parsable.

KIP Appletalk (DDP sa UDP)

Ang mga pakete sa Appletalk DDP nga gisulod sa mga UDP datagrams gipa-encapsulate ug gi-dumped isip DDP packets (ie, ang tanang impormasyon sa UDP header gilabay). Ang file /etc/atalk.names gigamit aron sa paghubad sa mga numero sa appletalk net ug node sa mga ngalan. Ang mga linya niini nga file adunay porma

numero sa ngalan 1.254 nga ether 16.1 icsd-net 1.254.110 ace

Ang unang duha ka linya naghatag sa mga ngalan sa mga appletalk network. Ang ikatulong linya naghatag sa ngalan sa usa ka partikular nga panon (ang usa ka tagbalay mailhan gikan sa usa ka pukot sa ikatulo nga octet sa numero - usa ka net nga numero kinahanglan nga adunay duha ka mga octet ug ang usa ka numero sa panon kinahanglan nga adunay tulo ka mga octet.) Ang numero ug ngalan kinahanglan ibulag pinaagi sa whitespace (mga blangko o tabs). Ang file sa /etc/atalk.names mahimong adunay blangko nga mga linya o mga linya sa pagkomento (mga linya nagsugod sa usa ka `# ').

Ang mga pakigpulong sa Appletalk giimprinta sa porma:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Kon wala ang /etc/atalk.names o walay entry sa pipila ka appletalk host / net number, ang mga address giimprinta sa numeric form.) Sa unang pananglitan, ang NBP (DDP port 2) sa net 144.1 Ang node 209 nagpadala sa bisan kinsa nga nagapaminaw sa port 220 sa net icsd node 112. Ang ikaduha nga linya managsama gawas kon ang hingpit nga ngalan sa tinubdan node nahibal-an (`opisina '). Ang ikatulong linya usa ka pagpadala gikan sa port 235 sa net jssmag node 149 aron i-broadcast sa icsd-net NBP port (timan-i nga ang broadcast address (255) gipakita sa usa ka net nga ngalan nga walay numero sa panon - tungod niini nga usa ka maayong ideya aron ang mga ngalan sa node ug ang net nga mga ngalan managlahi sa /etc/atalk.names).

Ang NBP (name binding protocol) ug ang ATP (Appletalk transaction protocol) nga mga pakete adunay kahulugan sa ilang mga sulod. Ang ubang mga protocol nag-dump lang sa protocol name (o numero kon wala'y ngalan nga narehistro alang sa protocol) ug sa gidak-on nga packet.

Ang mga packet sa NBP giporma sama sa mosunod nga mga pananglitan:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Ang unang linya usa ka ngalan nga pagpangita alang sa mga laserwriter nga gipadala sa net icsd host 112 ug gisibya sa net jssmag. Ang nbp id alang sa lookup mao ang 190. Ang ikaduha nga linya nagpakita sa usa ka tubag alang sa kini nga hangyo (timan-i nga kini adunay sama nga id) gikan sa host jssmag.209 nga nag-ingon nga kini adunay usa ka rekursong laserwriter nga ginganlan nga "RM1140" nga narehistro sa port 250. Ang ikatlo Ang linya maoy lain nga tubag sa samang hangyo nga nagsulti nga ang host techpit adunay "authoritative" nga narekord nga litratista sa port 186.

Ang format sa pag-format sa ATP gipakita sa mosunod nga pananglitan:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 512 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp adunay 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rail 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Ang Jssmag.209 nagsugod sa transaksiyon id 12266 nga adunay helios sa panon pinaagi sa paghangyo sa 8 ka mga pakete (ang `<0-7> '). Ang numero sa hex sa katapusan sa linya mao ang bili sa field sa `userdata 'sa hangyo.

Nagtubag ang Helios nga adunay 8 512-byte nga mga pakete. Ang `: digit 'nga nagsunod sa transaksiyon id naghatag sa numero sa packet sequence sa transaksyon ug ang gidaghanon sa parens mao ang kantidad sa data sa pakete, wala'y labot ang header sa atp. Ang `* 'sa packet 7 nagpakita nga ang EOM bit gitakda.

Jssmag.209 dayon naghangyo nga ang mga packet 3 & 5 mahimong retransmit. Si Helios nagpadala kanila unya ang jssmag.209 nagpagawas sa transaksyon. Sa katapusan, ang jssmag.209 nagsugod sa sunod nga hangyo. Ang `* 'sa hangyo nagpakita nga ang XO (` eksaktong kausa') wala gipahimutang.

IP Fragmentation

Ang mga fragmented Internet datagrams giimprinta isip

(frag id : size @ offset +) (frag id : size @ offset )

(Ang unang porma nagpakita adunay daghang mga tipik. Ang ikaduha nagpakita nga kini ang katapusang tipik.)

Id mao ang fragment id. Ang gidak-on mao ang tipik nga gidak-on (sa bytes) nga wala maapil ang IP header. Ang offset mao kini nga fragment (offset) sa orihinal nga datagram.

Ang kasayuran nga tipik mao ang resulta alang sa matag tipik. Ang una nga tipik naglakip sa mas taas nga level protocol header ug ang frag info giimprinta human sa protocol info. Ang mga fragment human sa una nga naglangkob nga walay mas taas nga lebel sa protocol header ug ang frag info giimprinta human sa source ug destination addresses. Pananglitan, kini kabahin sa usa ka ftp gikan sa arizona.edu ngadto sa lbl-rtsg.arpa sa koneksyon sa CSNET nga dili makita sa pagdumala sa 576 byte datagrams:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 nga kadaugan 2560

Adunay duha ka mga butang nga makita dinhi: Una, ang mga address sa ikaduhang linya wala maglakip sa mga numero sa port. Kini tungod kay ang impormasyon sa protocol sa TCP tanan anaa sa unang tipik ug wala kami'y ideya kon unsa ang port o sequence numbers kon kami mag-print sa mga tipik sa ulahi. Ikaduha, ang impormasyon sa han-ay sa tcp sa unang linya gi-imprinta ingon nga adunay 308 bytes sa datos sa tiggamit kung, sa pagkatinuod, aduna'y 512 ka bito (308 sa unang frag ug 204 sa ikaduha). Kon nangita ka ug mga lungag diha sa han-ay sa luna o pagsulay sa pagtakdo sa mga acks nga adunay mga pakete, kini makalibog kanimo.

Ang usa ka pakete nga adunay IP nga dili fragment flag gimarkahan sa usa ka trailing (DF) .

Timestamps

Sa kasagaran, ang tanan nga mga linya sa output ang nag-una sa timestamp. Ang timestamp mao ang kasamtangan nga oras sa orasan sa porma

hh: mm: ss.frac

ug tukma sama sa orasan sa kernel. Ang timestamp nagpakita sa panahon nga una nga nakita sa kernel ang pakete. Walay pagsulay nga nahimo alang sa oras nga lag sa taliwala sa dihang ang interface sa ethernet nakuha ang pakete gikan sa wire ug sa dihang ang kernel nag-serbi sa `bag-ong pakete 'nagsal-ot.

TAN-AWA USAB

trapiko (1C), nit (4P), bpf (4), pcap (3)

Importante: Gamita ang tawo nga sugo ( % man ) aron makita kung giunsa ang usa ka sugo nga gigamit sa imong partikular nga computer.