Tcpdump - Linux Command - Unix Command

ENW

tcpdump - dumpio traffig ar rwydwaith

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -cyfrif ]

[ -C file_size ] [ -F ffeil ]

[ -i rhyngwyneb ] [ -m modiwl ] [ -r ffeil ]

[ -s snaplen ] [ -T math ] [ -U defnyddiwr ] [ -w ffeil ]

[ -E algo: cyfrinach ] [ mynegiant ]

DISGRIFIAD

Mae Tcpdump yn argraffu penawdau'r pecynnau ar ryngwyneb rhwydwaith sy'n cyfateb i'r mynegiant boolean. Gellir ei rhedeg hefyd gyda'r faner -w , sy'n golygu ei fod yn achub y data pecyn i ffeil i'w dadansoddi'n ddiweddarach, a / neu gyda'r flag -r , sy'n golygu ei fod yn darllen o ffeil paced wedi'i arbed yn hytrach na darllen pecynnau o ryngwyneb rhwydwaith. Ym mhob achos, dim ond pecynnau sy'n cyd-fynd â mynegiant fydd yn cael eu prosesu gan tcpdump .

Bydd Tcpdump , os nad yw'n rhedeg gyda'r flag -c , yn parhau i ddal pecynnau nes bydd signal SIGINT yn cael ei amharu (a gynhyrchir, er enghraifft, trwy deipio eich cymeriad ymyrraeth, fel arfer rheolaeth-C) neu arwydd SIGTERM (a gynhyrchir fel rheol gyda'r lladd (1) gorchymyn); os yw'n rhedeg gyda'r flag -c , bydd yn dal pecynnau nes bydd signal SIGINT neu SIGTERM yn torri ar ei draws neu mae'r nifer penodol o becynnau wedi'u prosesu.

Pan fydd tcpdump yn gorffen casglu pecynnau, bydd yn adrodd cyfrif o:

pecynnau `` wedi eu derbyn trwy hidlo '' (mae ystyr hyn yn dibynnu ar yr OS yr ydych chi'n rhedeg tcpdump arno , ac o bosibl ar y ffordd y ffurfiwyd yr OS - os yw hidlydd wedi'i bennu ar y llinell orchymyn, ar rai OSau mae'n cyfrif pecynnau p'un a oeddent yn cyfateb i'r ymadrodd hidlo, ac ar OSau eraill, mae'n cyfrif mai dim ond pecynnau a gyfatebwyd gan yr ymadrodd hidlo a chawsant eu prosesu gan tcpdump );

pecynnau `` wedi eu cwympo gan y cnewyllyn '' (dyma'r nifer o becynnau a gollwyd, oherwydd diffyg lle clustogi, gan y mecanwaith dal pecynnau yn yr OS lle mae'r tcpdump yn rhedeg, os yw'r OS yn adrodd y wybodaeth honno i geisiadau; os nad ydyw, fe'i cofnodir fel 0).

Ar lwyfannau sy'n cefnogi signal SIGINFO, fel y rhan fwyaf o BSDs, bydd yn adrodd y cyfrifon hynny pan fydd yn derbyn signal SIGINFO (a gynhyrchir, er enghraifft, trwy deipio eich cymeriad `` statws ', fel arfer rheoli-T) a bydd yn parhau i ddal pecynnau .

Efallai y bydd pecynnau darllen o ryngwyneb rhwydwaith yn mynnu bod gennych fraintiau arbennig:

Dan SunOS 3.x neu 4.x gyda NIT neu BPF:

Rhaid ichi ddarllen mynediad at / dev / nit neu / dev / bpf * .

Dan Solaris gyda DLPI:

Rhaid i chi fod wedi darllen / ysgrifennu mynediad at ddiffyg dyfais y rhwydwaith, ee / dev / le . Ar o leiaf rai fersiynau o Solaris, fodd bynnag, nid yw hyn yn ddigonol i ganiatáu i'r tcpdump ei ddal mewn modd pwrpasol; ar y fersiynau hynny o Solaris, mae'n rhaid i chi fod yn wraidd, neu rhaid gosod tcpdump setuid i wraidd, er mwyn dal mewn modd bras. Sylwch, ar lawer o ryngwynebau (efallai pob un), os na fyddwch yn dal mewn modd bras, ni fyddwch yn gweld unrhyw becynnau sy'n mynd allan, felly efallai na fydd daliad heb ei wneud mewn modd bras yn ddefnyddiol iawn.

O dan HP-UX gyda DLPI:

Rhaid i chi fod yn wraidd neu rhaid gosod tcpdump setuid i wraidd.

Dan IRIX gyda snoop:

Rhaid i chi fod yn wraidd neu rhaid gosod tcpdump setuid i wraidd.

Dan Linux:

Rhaid i chi fod yn wraidd neu rhaid gosod tcpdump setuid i wraidd.

O dan Ultrix a Digidol UNIX / Tru64 UNIX:

Gall unrhyw ddefnyddiwr ddal traffig rhwydwaith gyda tcpdump . Fodd bynnag, ni all unrhyw ddefnyddiwr (nid hyd yn oed y defnyddiwr uwch) ddal mewn modd braslyd ar ryngwyneb oni bai bod y defnyddiwr uwch wedi galluogi gweithrediad modd goddefol ar y rhyngwyneb hwnnw gan ddefnyddio pfconfig (8), a dim defnyddiwr (nid hyd yn oed y defnyddiwr uwch ) yn gallu dal traffig heb ei orfodi a dderbynnir gan y peiriant neu ei anfon ar ryngwyneb oni bai bod y defnyddiwr uwch wedi galluogi gweithrediad copi-holl-ddull ar y rhyngwyneb honno gan ddefnyddio pfconfig , felly mae'n debyg y bydd angen cadw pecyn defnyddiol ar ryngwyneb naill ai'n ddull swisgus neu gopi Gall gweithrediad modd-gyfan, neu'r ddau ddull gweithredu, gael ei alluogi ar y rhyngwyneb hwnnw.

Dan BSD:

Rhaid ichi ddarllen mynediad at / dev / bpf * .

Nid oes angen breintiau arbennig ar gyfer darllen ffeil paced wedi'i arbed.

OPSIYNAU

-a

Ceisio trosi rhwydweithiau a chyfeiriadau darlledu i enwau.

-c

Ewch allan ar ôl cael pecynnau cyfrif .

-C

Cyn ysgrifennwch becyn amrwd i gadwlen, gwiriwch a yw'r ffeil ar hyn o bryd yn fwy na file_size ac, os felly, cau'r ffeil arbed cyfredol ac agor un newydd. Bydd yr archebion achub ar ôl y setlen gyntaf yn cael yr enw a bennir gyda'r faner -w , gyda rhif ar ei ôl, gan ddechrau yn 2 ac yn parhau i fyny. Unedau file_size yw miliynau o bytes (1,000,000 bytes, nid 1,048,576 bytes).

-d

Dymchwelwch y cod cyfatebu pecynnau mewn ffurf sy'n ddarllenadwy i ddyn i allbwn safonol a stopio.

-dd

Dump cyfateb i bapedi fel darn rhaglen C.

-ddd

Cod cyfateb pecyn cwpwl fel rhifau degol (cyn cyfrif â nhw).

-e

Argraffwch y pennawd lefel cyswllt ar bob llinell gollwng.

-E

Defnyddiwch rywbeth: yn gyfrinachol i ddadgryptio pecynnau IPsec ESP. Efallai y bydd algorithmau yn des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , neu ddim . Mae'r diofyn yn des-cbc . Mae'r gallu i ddadgryptio pecynnau ond yn bresennol os cafodd tcpdump ei lunio gyda chipysgrifograff wedi'i alluogi. ysgrifennwch y testun ascii ar gyfer allwedd gyfrinachol ESP. Ni allwn gymryd gwerth deuaidd mympwyol ar hyn o bryd. Mae'r opsiwn yn tybio RFC2406 ESP, nid RFC1827 ESP. Dim ond at ddibenion debugging yw'r opsiwn, ac anwybyddir defnyddio'r opsiwn hwn gydag allwedd 'gyfrinachol' wirioneddol. Trwy gyflwyno allwedd gyfrinachol IPsec ar y llinell orchymyn, mae'n ei gwneud yn weladwy i eraill, trwy ps (1) ac achlysuron eraill.

-f

Argraffwch gyfeiriadau 'tramor' ar y rhyngrwyd yn hytrach nag yn symbolaidd (bwriad yr opsiwn hwn yw difrodi difrod difrifol i'r ymennydd yn weinydd y Sul, fel arfer --- mae'n croesi cyfieithu rhifau rhyngrwyd nad ydynt yn lleol yn aml).

-F

Defnyddiwch y ffeil fel mewnbwn ar gyfer yr ymadrodd hidlo. Anwybyddir mynegiant ychwanegol a roddir ar y llinell orchymyn.

-i

Gwrandewch ar y rhyngwyneb . Os nad yw'n amodol , mae tcpdump yn chwilio am restr rhyngwynebau'r system ar gyfer y rhyngwyneb isaf, wedi'i ffurfweddu i fyny (ac eithrio loopback). Caiff cysylltiadau eu torri trwy ddewis y gêm gynharaf.

Ar systemau Linux gyda 2.2 neu gnewyllyn diweddarach, gellir defnyddio dadl rhyngwyneb o `` unrhyw '' i ddal pecynnau o bob rhyngwyneb. Sylwch na fydd y darnau ar y ddyfais `` unrhyw '' yn cael eu gwneud mewn modd pwrpasol.

-l

Gwnewch linell stdout bwffe. Yn ddefnyddiol os ydych chi am weld y data wrth ei chasglu. Ee,
`` tcpdump -l | tee dat '' neu `` tcpdump -l> dat & tail -f dat ''.

-m

Llwythwch ddiffiniadau modiwl MIB SMI o modiwl ffeil. Gellir defnyddio'r opsiwn hwn sawl gwaith i lwytho sawl modiwl MIB i mewn i tcpdump .

-n

Peidiwch â throsi cyfeiriadau host at enwau. Gellir defnyddio hyn i osgoi edrychiadau DNS.

-nn

Peidiwch â throsi protocol a rhifau porthladd ac ati i enwi naill ai.

-N

Peidiwch â phrofi cymhwyster enw parth enwau llety. Ee, os rhowch y faner hon yna bydd tcpdump yn argraffu `` nic '' yn hytrach na `` nic.ddn.mil ''.

-O

Peidiwch â rhedeg y optimizer cod sy'n cydweddu pecynnau. Mae hyn yn ddefnyddiol dim ond os ydych yn amau ​​bod bug yn y optimizer.

-p

Peidiwch â rhoi'r rhyngwyneb i mewn i ddull rhyfeddol. Sylwch y gallai'r rhyngwyneb fod mewn modd bras am ryw reswm arall; felly, ni ellir defnyddio `-p 'fel byrfodd ar gyfer` ether host {local-hw-addr} neu ether broadcast'.

-q

Allbwn cyflym (tawel?). Argraffu llai o wybodaeth protocol felly mae llinellau allbwn yn fyrrach.

-R

Cymerwch fod pecynnau ESP / AH yn seiliedig ar hen fanyleb (RFC1825 i RFC1829). Os nodir, ni fydd tcpdump yn argraffu maes atal ailosod. Gan nad oes maes fersiwn protocol yn fanyleb ESP / AH, ni all tcpdump ddidynnu'r fersiwn o protocol ESP / AH.

-r

Darllenwch becynnau o ffeil (a grëwyd gyda'r opsiwn -w). Defnyddir mewnbwn safonol os yw ffeil `` - ''.

-S

Argraffu rhifau dilynol absoliwt, yn hytrach na chymharol.

-s

Mae snarf bytes o ddata o bob pecyn yn hytrach na diffyg 68 (gyda NIT SunOS, yr isafswm mewn gwirionedd 96). Mae 68 bytes yn ddigonol ar gyfer IP, ICMP, TCP a CDU ond gallant atal gwybodaeth protocol o weinydd enwau a phecynnau NFS (gweler isod). Nodir pecynnau sy'n cael eu rhwystro oherwydd ciplun gyfyngedig yn yr allbwn gyda `` [| proto ] '', lle mae proto yn enw'r lefel protocol lle mae'r troi wedi digwydd. Sylwch fod cymryd cipolwg mwy yn cynyddu faint o amser y mae'n ei gymryd i brosesu pecynnau ac, yn effeithiol, yn lleihau faint o fwfferu pecynnau. Gall hyn achosi colli pecynnau. Dylech gyfyngu niferoedd at y nifer lleiaf a fydd yn dal y wybodaeth protocol y mae gennych ddiddordeb ynddo. Mae gosod anifail i 0 yn golygu defnyddio'r hyd gofynnol i ddal pacedi cyfan.

-T

Mae pecynnau'r heddlu a ddewiswyd gan " mynegiant " i'w dehongli o'r math penodol. Ar hyn o bryd mae mathau o enwau yn cnfp (protocol Cisco NetFlow), rpc (Galw Gweithdrefn Bell), rtp (protocol Ceisiadau Amser Real), rtcp (protocol rheoli Ceisiadau Amser Real), snmp (Protocol Rheoli Rhwydwaith Syml), vat (Offer Gweledol Audio ), a wb (Bwrdd Gwyn wedi'i ddosbarthu).

-t

Peidiwch â phrintio amserlen ar bob llinell gollwng.

-tt

Argraffwch amserlen heb ei gymeradwyo ar bob llinell gollwng.

-U

Yn troi breintiau gwraidd ac yn newid ID defnyddiwr i ID defnyddwyr a grŵp i'r grŵp cynradd o ddefnyddiwr .

Nodyn! Mae Red Hat Linux yn diswyddo'n awtomatig y breintiau i'r defnyddiwr `` pcap '' os na phennir unrhyw beth arall.

-ttt

Argraffwch delta (mewn micro-eiliadau) rhwng y llinell bresennol a blaenorol ar bob llinell gollwng.

-tttt

Argraffwch amserlen yn y fformat rhagosodedig a gynhelir gan y dyddiad ar bob llinell gollwng.

-u

Argraffu taflenni NFS heb eu dyfodi.

-v

(Ychydig yn fwy) allbwn llafar. Er enghraifft, argraffir yr amser i fyw, adnabod, hyd cyfan ac opsiynau mewn pecyn IP. Hefyd yn galluogi gwiriadau uniondeb pecynnau ychwanegol fel gwirio'r pennawd IP ac ICMP pennawd.

-vv

Hyd yn oed mwy o allbwn verb. Er enghraifft, mae meysydd ychwanegol wedi'u hargraffu o becynnau ymateb NFS, ac mae pecynnau SMB wedi'u dadgodio'n llwyr.

-vvv

Hyd yn oed mwy o allbwn verb. Er enghraifft, telnet SB ... Caiff opsiynau SE eu hargraffu'n llawn. Gyda -X opsiynau telnet yn cael eu hargraffu yn hecs hefyd.

-w

Ysgrifennwch y pecynnau amrwd i ffeilio yn hytrach na'u parsi a'u hargraffu. Gellir eu hargraffu yn ddiweddarach gyda'r opsiwn -r. Defnyddir allbwn safonol os yw ffeil `` - ''.

-x

Argraffwch bob pecyn (minws ei bennawd lefel cyswllt) yn hecs. Argraffir y llai o'r pecyn cyfan neu snaplen bytes. Sylwch mai dyma'r pecyn haen gyswllt gyfan, felly, ar gyfer haenau cyswllt sy'n pad (ee Ethernet), bydd y bytes padio hefyd yn cael eu hargraffu pan fydd y pecyn haen uwch yn fyrrach na'r padio gofynnol.

-X

Wrth argraffu hecs, printiwch ascii hefyd. Felly, os yw -x hefyd wedi'i osod, mae'r pecyn wedi'i argraffu yn hecs / ascii. Mae hyn yn ddefnyddiol iawn ar gyfer dadansoddi protocolau newydd. Hyd yn oed os nad yw -x hefyd wedi'i osod, gellir argraffu rhai rhannau o rai pecynnau yn hecs / ascii.

mynegiant

yn dewis pa becynnau fydd yn cael eu dymchwel. Os na roddir mynegiant , bydd pob pecyn ar y rhwyd ​​yn cael ei ollwng. Fel arall, dim ond pecynnau y bydd mynegiant yn `wir 'yn cael eu datgelu.

Mae'r ymadrodd yn cynnwys un neu fwy o gynefinoedd. Mae cynfeddygonau fel arfer yn cynnwys id (enw neu rif) a ragfynegwyd gan un neu fwy o gymwysedigion. Mae yna dri math gwahanol o gymhwyster:

math

mae cymwyswyr yn dweud pa fath o beth y mae'r enw neu'r rhif id yn cyfeirio ato. Mathau posibl yw cynnal , net a phorthladd . Ee, `host foo ',` net 128.3', `porthladd 20 '. Os nad oes cymhwyster unrhyw fath, tybir bod gwesteiwr .

dir

Mae cymwysedigion yn pennu cyfeiriad trosglwyddo penodol i / neu iddi . Cyfarwyddiadau posibl yw src , dst , src or dst and src and dst . Ee, `src foo ',` dst net 128.3', `src neu dst port ftp-data '. Os nad oes cymhwyster dir, tybir bod src neu dst . Ar gyfer haenau cyswllt `null '(hy protocolau pwynt i bwynt megis slip) gellir defnyddio'r cymwysyddion sy'n mynd i mewn ac allan i nodi cyfeiriad dymunol.

proto

mae cymwysedigion yn cyfyngu'r gêm i brotocol penodol. Protos posibl yw: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp a udp . Ee, `ether src foo ',` arp net 128.3', `tcp port 21 '. Os nad oes cymhwyster proto, tybir yr holl brotocolau sy'n gyson â'r math. Ee, mae `src foo 'yn golygu` (ip neu arp neu rarp) src foo' (ac eithrio nad yw'r olaf yn gystrawen gyfreithiol), mae `bar rhwyd ​​'yn golygu' bar rhwyd ​​'(ip neu arp neu rarp)' a 'porthladd 53' porthladd `(tcp neu udp) 53 '.

[`fddi 'mewn gwirionedd yw alias ar gyfer` ether'; mae'r parser yn eu trin yn union fel ystyr `` y lefel gyswllt data a ddefnyddir ar y rhyngwyneb rhwydwaith penodedig. '' Mae pennawdau FDDI yn cynnwys cyfeiriadau ffynhonnell a chyrchfannau tebyg i Ethernet, ac yn aml maent yn cynnwys mathau o becynnau tebyg i Ethernet, fel y gallwch hidlo ar y meysydd FDDI hyn yn union fel gyda'r meysydd Ethernet cyfatebol. Mae penawdau FDDI hefyd yn cynnwys meysydd eraill, ond ni allwch eu henwi'n benodol mewn mynegiant hidlo.

Yn yr un modd, mae `tr 'yn alias ar gyfer` ether'; mae datganiadau paragraff blaenorol am benawdau FDDI hefyd yn berthnasol i benawdau Token Ring.]

Yn ychwanegol at yr uchod, ceir rhai allweddeiriau `cyntefig 'arbennig nad ydynt yn dilyn y patrwm: mynedfeydd porth , darlledu , llai , mwy a rhifydd. Disgrifir pob un o'r rhain isod.

Mae ymadroddion hidlo mwy cymhleth yn cael eu hadeiladu trwy ddefnyddio'r geiriau ac , neu beidio â chyfuno, primitives. Ee, `host foo ac nid porthladd ftp ac nid porthladd ftp-data '. Er mwyn arbed teipio, gellir hepgor rhestrau cymhwyso union yr un fath. Ee, mae `tcp dst port ftp neu ftp-data or domain 'yn union yr un fath â` tcp dst port ftp neu tcp dst port ptp-data neu tcp dst porth port'.

Y prifysgolion y gellir eu caniatáu yw:

gwesteiwr host

Gwir os yw maes cyrchfan IPv4 / v6 y pecyn yn gartref , a all fod naill ai yn gyfeiriad neu'n enw.

host host host

Gwir os yw maes ffynhonnell IPv4 / v6 y pecyn yn gartref .

host host

Gwir os yw un ai ffynhonnell IPv4 / v6 neu gyrchfan y pecyn yn gartref . Gellir prependio unrhyw un o'r ymadroddion gwesteiwr uchod gyda'r geiriau allweddol, ip , arp , rarp , neu ip6 fel yn:

host host host

sy'n gyfwerth â:

ether proto \ ip a host host

Os yw gwesteiwr yn enw gyda chyfeiriadau IP lluosog, bydd pob cyfeiriad yn cael ei wirio am gêm.

ether dst ehost

Gwir os yw'r cyfeiriad cyrchfan ethernet yn e-bostio . Gall Ehost fod yn enw o / etc / ethers neu nifer (gweler ethers (3N) ar gyfer ffurf rhifol).

ether src ehost

Gwir os yw'r cyfeiriad ffynhonnell ethernet yn ehost .

erth host ehost

Gwir os yw naill ai'r ffynhonnell ethernet neu gyfeiriad cyrchfan e-bost .

gweinydd porth

Gwir pe bai'r pecyn yn cael ei ddefnyddio fel porth. Ie, roedd y ffynhonnell ethernet neu'r cyfeiriad cyrchfan yn westeiwr ond nid oedd y ffynhonnell IP na'r gyrchfan IP yn westeiwr . Rhaid i'r enw cynnal fod yn enw a rhaid iddo ddod o hyd i fecanweithiau datrysiad gwesteiwr-enw-i-IP y peiriant (ffeil enw'r host, DNS, NIS, ac ati) a chan ddatrysiad cynnal-enw-i-Ethernet y peiriant mecanwaith (/ etc / ethers, ac ati). (Mynegiad cyfatebol yw

ether host ehost ac nid host host

y gellir eu defnyddio gyda naill ai enwau neu rifau ar gyfer host / ehost .) Nid yw'r cystrawen hon yn gweithio ar ffurfweddiad galluogi IPv6 ar hyn o bryd.

net net net

Gwir os oes cyfeiriad rhwydwaith IPv4 / v6 y pecyn yn cynnwys rhwydwaith o rwyd . Gall Net fod naill ai'n enw o / etc / rhwydweithiau neu rif rhwydwaith (gweler rhwydweithiau (4) am fanylion).

net net net

Gwir os oes gan gyfeiriad ffynhonnell IPv4 / v6 y pecyn nifer rhwydwaith o rwyd .

net net

Gwir os oes gan rwydwaith ffynhonnell neu gyrchfan IPv4 / v6 y pecyn nifer rhwydwaith o rwyd .

netmask net mwg net

Gwir os yw'r cyfeiriad IP yn cydweddu'n rhwyd â'r niferoedd penodol. Gall fod yn gymwys gyda src neu dst . Sylwch nad yw'r cystrawen hon yn ddilys ar gyfer IPv6 net .

net net / len

Gwir os yw'r cyfeiriad IPv4 / v6 yn cyd-fynd yn rhwyd gyda pyllau llinyn netmask yn eang. Gall fod yn gymwys gyda src neu dst .

porthladd porthladd

Gwir os yw'r pecyn yn ip / tcp, ip / udp, ip6 / tcp neu ip6 / udp ac mae ganddi werth porthladd porthladd y porthladd . Gall y porthladd fod yn nifer neu enw a ddefnyddir mewn / etc / gwasanaethau (gweler tcp (4P) a udp (4P)). Os defnyddir enw, caiff y rhif porthladd a'r protocol eu gwirio. Os defnyddir rhif neu enw amwys, dim ond y rhif porthladd sy'n cael ei wirio (ee, bydd porthladd porth 513 yn argraffu traffig tcp / mewngofnodi a udp / pwy fydd traffig, a phartneriaeth yn argraffu trafnidiaeth tcp / parth a udp / parth).

porthladd porthladd

Gwir os oes gan y pecyn werth porthladd porthladd .

porthladd porthladd

Gwir os yw porthladd ffynhonnell neu borthladd y pecyn yn borthladd . Gellir rhagweld unrhyw un o'r ymadroddion porthladd uchod gyda'r allweddeiriau, tcp neu udp , fel yn:

porthladd porthladd tcp

sy'n cyfateb yn unig i becynnau tcp y mae eu porthladd yn borthladd .

llai hyd

Gwir os oes gan y pecyn hyd yn llai na hyd yr un fath. Mae hyn yn gyfwerth â:

len <= hyd .

mwy o hyd

Gwir os oes gan y pecyn hyd yn fwy na hyd yr un fath. Mae hyn yn gyfwerth â:

len> = hyd .

prot prot ip

Gwir os yw'r pecyn yn becyn IP (gweler ip (4P)) o brotocol protocol . Gall Protocol fod yn nifer neu un o'r enwau icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , neu tcp . Sylwch fod y dynodwyr tcp , udp , ac icmp hefyd yn allweddeiriau ac mae'n rhaid eu dianc trwy gefn (\), sef \\ yn y C-gragen. Sylwch nad yw'r cyntefig hon yn dilyn y gadwyn pennawd protocol.

prot6 proto protocol

Gwir os yw'r pecyn yn becyn IPv6 o brotocol protocol . Sylwch nad yw'r cyntefig hon yn dilyn y gadwyn pennawd protocol.

prot6 protochain prot6

Gwir os yw'r pecyn yn becyn IPv6, ac mae'n cynnwys pennawd protocol â phrotocol math yn ei gadwyn pennawd protocol. Er enghraifft,

ip6 protochain 6

yn cyfateb i unrhyw becyn IPv6 gyda phennawd protocol TCP yn y gadwyn pennawd protocol. Gall y pecyn gynnwys, er enghraifft, pennawd dilysu, pennawd rhwydo, neu bennawd hop-by-hop, rhwng pennawd IPv6 a phennawd TCP. Mae'r cod BPF a allyrir gan y cyntefig hon yn gymhleth ac ni ellir ei optimeiddio gan y cod optimizer BPF mewn tcpdump , felly gall hyn fod yn araf braidd.

prot protin protocolin

Yn cyfateb i prot6 protochain ip6 , ond mae hyn ar gyfer IPv4.

ether darlledu

Gwir os yw'r pecyn yn becyn darlledu ethernet. Mae'r erthygl erthygl yn ddewisol.

darlledu ip

Gwir os yw'r pecyn yn becyn darlledu IP. Mae'n gwirio ar gyfer y confensiynau darlledu holl-sero a phob un, ac mae'n edrych i fyny'r masg is-sub lleol.

ether multicast

Gwir os yw'r pecyn yn becyn multicast ethernet. Mae'r erthygl erthygl yn ddewisol. Dyma ddalen fer ar gyfer ` ether [0] & 1! = 0 '.

ip multastast

Gwir os yw'r pecyn yn becyn multicast IP.

ip6 multicast

Gwir os yw'r pecyn yn becyn multicast IPv6.

prother proto ether

Gwir os yw'r pecyn o brotocol math ether. Gall Protocol fod yn nifer neu un o'r enwau ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , or netbeui . Sylwch fod y dynodwyr hyn hefyd yn allweddeiriau allweddol a rhaid eu dianc trwy gefn (\).

[Yn achos FDDI (ee, ' fddi protocol arp ') a Token Ring (ee, ` prot protocol arp '), ar gyfer y rhan fwyaf o'r protocolau hynny, mae'r nodyn protocol yn dod o bennawd 802.2 Rheolaeth Cyswllt Logical (LLC), sy'n fel arfer yn haen ar ben y pennawd FDDI neu Token Ring.

Wrth hidlo ar gyfer y rhan fwyaf o ddynodyddion protocol ar FDDI neu Token Ring, tcpdump yn gwirio maes adnabod protocol pennawd LLC yn unig yn y fformat SNAP a elwir yn Adnabyddwr Uned Sefydliadol (OUI) o 0x000000, ar gyfer Ethernet wedi'i encapsulated; nid yw'n gwirio a yw'r pecyn ar ffurf SNAP gydag OUI o 0x000000.

Yr eithriadau yw iso , ac mae'n gwirio meysydd DSAP (Point Access Service Point) a SSAP (Point Source Access Point) y pennawd LLC, stp and netbeui , lle mae'n gwirio DSAP y pennawd LLC, ac atalk , lle mae'n yn gwirio am becyn fformat SNAP gydag OUI o 0x080007 a'r etype Appletalk.

Yn achos Ethernet, tcpdump yn gwirio'r maes math Ethernet ar gyfer y rhan fwyaf o'r protocolau hynny; yr eithriadau yw iso , sap , a netbeui , y mae'n gwirio ar gyfer ffrâm 802.3 ac yna'n gwirio'r pennawd LLC fel y mae'n ei wneud ar gyfer FDDI a Token Ring, atalk , lle mae'n gwirio ar gyfer y etype Appletalk mewn ffrâm Ethernet ac ar gyfer Pecyn fformat SNAP fel y mae'n ei wneud ar gyfer FDDI a Token Ring, aarp , lle mae'n gwirio ar gyfer etype ARP Appletalk naill ai mewn ffrâm Ethernet neu ffrâm SNAP 802.2 gydag OUI o 0x000000, ac ipx , lle mae'n gwirio ar gyfer yr etype IPX yn ffrâm Ethernet, y DSAP IPX yn y pennawd LLC, yr 802.3 heb bennawd pennawd IPX, a'r etype IPX mewn ffrâm SNAP.]

decnet src host

Gwir os yw'r cyfeiriad ffynhonnell DECNET yn host , a all fod yn gyfeiriad y ffurflen `` 10.123 '', neu enw host DECNET. [Mae cefnogaeth enw'r host DECNET ond ar gael ar systemau Ultrix sydd wedi'u ffurfweddu i redeg DECNET.]

gwesteiwr

Gwir os yw'r cyfeiriad cyrchfan DECNET yn gartref .

croesawu host host

Gwir os yw naill ai ffynhonnell DECNET neu gyfeiriad cyrchfan yn host .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Byrfoddau ar gyfer:

ether proto p

lle mae p yn un o'r protocolau uchod.

lat , moprc , mopdl

Byrfoddau ar gyfer:

ether proto p

lle mae p yn un o'r protocolau uchod. Sylwch nad yw tcpdump ar hyn o bryd yn gwybod sut i bario'r protocolau hyn.

vlan [vlan_id]

Gwir os yw'r pecyn yn becyn IEEE 802.1Q VLAN. Os yw [vlan_id] wedi'i bennu, dim ond gwir yw'r vlen_id penodedig. Sylwch fod yr allweddair vlan cyntaf a gafodd ei wynebu mewn mynegiant yn newid y gwrth-ddiffygion ar gyfer gweddill mynegiant ar y rhagdybiaeth bod y pecyn yn becyn VLAN.

tcp , udp , icmp

Byrfoddau ar gyfer:

ip proto p neu ip6 proto p

lle mae p yn un o'r protocolau uchod.

protocol iso proto

Gwir os yw'r pecyn yn becyn OSI o brotocol protocol . Gall Protocol fod yn nifer neu un o'r enwau clnp , esis , neu isis .

clnp , esis , isis

Byrfoddau ar gyfer:

iso proto p

lle mae p yn un o'r protocolau uchod. Sylwch fod tcpdump yn swydd anghyflawn o ddadansoddi'r protocolau hyn.

expr expr expr

Gwir os yw'r berthynas yn dal, lle mae relop yn un o>, <,> =, <=, =,! =, Ac expr yw mynegiant rhifyddol sy'n cynnwys cyfansymiau cyfanrif (a fynegir yn y cystrawen safonol C), y gweithredwyr deuaidd arferol [+ , -, *, /, &, |], gweithredydd hyd, a mynediadwyr data paced arbennig. I gael mynediad i ddata y tu mewn i'r pecyn, defnyddiwch y cystrawen ganlynol:

proto [ expr : maint ]

Mae Proto yn un o ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp neu ip6 , ac mae'n nodi haen y protocol ar gyfer y gweithrediad mynegai. ( ether, fddi, tr, ppp, slip a dolen i gyd yn cyfeirio at yr haen gyswllt.) Noder bod mathau tcp, udp a mathau eraill o brotocol haen uchaf yn berthnasol i IPv4, nid IPv6 (bydd hyn yn cael ei osod yn y dyfodol). Rhoddir y gwrthbwyso byte, o'i gymharu â'r haen protocol a nodir, gan expr . Mae maint yn ddewisol ac yn nodi nifer y bytes ym maes diddordeb; gall fod naill ai un, dau, neu bedwar, ac yn rhagflaenu i un. Mae'r gweithredydd hyd, a nodir gan y gair allweddol, yn rhoi hyd y pecyn.

Er enghraifft, mae ` ether [0] & 1! = 0 'yn dal yr holl draffig mawr. Mae'r ymadrodd ` ip [0] & 0xf! = 5 'yn dal yr holl becynnau IP gydag opsiynau. Mae'r ymadrodd ` ip [6: 2] & 0x1fff = 0 'yn dal data datagram heb ei rannu'n unig ac yn torri sero o ddatagronau dameidiog. Mae'r gwiriad hwn wedi'i gymhwyso'n ymhlyg i'r gweithrediadau tcp a udp index. Er enghraifft, mae tcp [0] bob amser yn golygu y byte cyntaf y pennawd TCP, ac ni fydd byth yn golygu byte cyntaf darn ymyrryd.

Gellid mynegi rhai trosglwyddiadau a gwerthoedd cae fel enwau yn hytrach na gwerthoedd rhifol. Mae'r gwaharddiadau maes pennawd protocol canlynol ar gael: icmptype (maes math ICMP), icmpcode (maes cod ICMP), a tcpflags (cae baneri TCP).

Mae'r gwerthoedd maes canlynol ar gyfer ICMP ar gael: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Mae'r gwerthoedd caeau TCP canlynol ar gael: tcp-fin , tcp-syn , tcp-rst , tcp- press , tcp-push , tcp-ack , tcp-urg .

Gellir cyfuno cynflaenion gan ddefnyddio:

Grwp o gynefinoedd a gweithredwyr wedi'u rhuthro (mae rhosynnau yn arbennig i'r Shell a rhaid eu dianc).

Negodi (` ! 'Neu` not ').

Concatenation (` && ' neu` and ').

Aluniad (` || 'neu` neu ').

Mae negyddol â'r flaenoriaeth uchaf. Mae gan allyriad a chonfatuno flaenoriaeth gyfartal a chysylltiad o'r chwith i'r dde. Sylwch nad oes angen eglur a thocynnau, nid cyfosodiad, ar gyfer concatenation.

Os rhoddir dynodwr heb eiriau allweddol, tybir yr allweddair diweddaraf. Er enghraifft,

ddim yn cynnal vs a ace

yn fyr am

ddim yn gwesteio vs a host host

na ddylid ei ddryslyd â nhw

nid (gwesteion vs neu ace)

Gellir dadlau dadleuon i tcpdump fel un ddadl neu fel dadleuon lluosog, p'un bynnag sy'n fwy cyfleus. Yn gyffredinol, os yw'r ymadrodd yn cynnwys metacharacters Shell, mae'n haws ei drosglwyddo fel dadl unigol, wedi'i ddyfynnu. Mae dadleuon lluosog yn cael eu concatenated â mannau cyn eu hystyried.

ENGHREIFFTIAU

I argraffu pob pecyn sy'n cyrraedd neu yn gadael o sundown :

tcpdump host sundown

I argraffu traffig rhwng helios ac un ai poeth neu ace :

helios gwesteiwr tcpdump a \ (poeth neu ace \)

I argraffu pob pecyn IP rhwng ace ac unrhyw westeiwr heblaw helios :

tcpdump ip host ace ac nid helios

I argraffu'r holl draffig rhwng cynnal a gwesteion lleol yn Berkeley:

tcpdump net ucb-ether

I argraffu'r holl draffig ar ftp trwy gyfarthfa'r porth ar y rhyngrwyd: (nodwch fod y mynegiant wedi'i ddyfynnu i atal y gragen rhag (mis-) dehongli'r rhwydrynnau):

tcpdump 'a phorthladd (porthladd ftp neu ftp-data)'

I brintio traffig na ddaw o daithwyr lleol iddo (os ydych chi'n mynd i un rhwyd ​​arall, ni ddylai'r pethau hyn byth ei wneud ar eich rhwyd ​​lleol).

tcpdump ip ac nid netnet net

I argraffu y pecynnau cychwyn a diwedd (y pecynnau SYN a FIN) o bob sgwrs TCP sy'n cynnwys gwesteiwr nad yw'n lleol.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 a not src a dst netnet '

I argraffu pecynnau IP yn hwy na 576 bytes a anfonir trwy ffipio porth:

tcpdump 'snup porth ac ip [2: 2]> 576'

I argraffu darllediadau IP neu becynnau multicast nad oeddent yn cael eu hanfon trwy ddarllediad ethernet neu multicast:

tcpdump 'ether [0] & 1 = 0 ac ip [16]> = 224'

I argraffu pob pecyn ICMP nad ydynt yn atebion / atebion adfer (hy, nid pecynnau ping):

tcpdump 'icmp [icmptype]! = icmp-echo ac icmp [icmptype]! = icmp-echoreply'

FFURFLEN ALLANOL

Mae allbwn tcpdump yn dibynnu ar y protocol. Mae'r canlynol yn rhoi disgrifiad byr ac enghreifftiau o'r rhan fwyaf o'r fformatau.

Penaethiaid Lefel Cyswllt

Os rhoddir yr opsiwn '-e', caiff y pennawd lefel cyswllt ei argraffu. Ar ethernets, mae'r cyfeiriadau ffynhonnell a chyrchfan, protocol, a hyd y pecyn wedi'u hargraffu.

Ar rwydweithiau FDDI, mae'r opsiwn '-e' yn achosi tcpdump i argraffu'r maes 'rheolaeth ffrâm', y cyfeiriadau ffynhonnell a chyrchfan, a'r hyd pecyn. (Mae'r maes 'rheolaeth ffrâm' yn rheoli'r dehongliad o weddill y pecyn. Mae pecynnau arferol (fel y rhai sy'n cynnwys datagramau IP) yn becynnau `async ', gyda gwerth blaenoriaeth rhwng 0 a 7; er enghraifft,` async4 '. tybir bod pecynnau yn cynnwys pecyn 802.2 Rheolaeth Cyswllt Logical (LLC); caiff pennawd LLC ei argraffu os nad yw'n datagram ISO neu becyn SNAP a elwir yn hyn.

Ar rwydweithiau Token Ring, mae'r opsiwn '-e' yn achosi tcpdump i argraffu y meysydd 'rheolaeth mynediad' a 'rheolaeth ffrâm', y cyfeiriadau ffynhonnell a chyrchfan, a'r hyd pecyn. Fel ar rwydweithiau FDDI, tybir bod pecynnau LLC yn cynnwys pecyn LLC. Ni waeth a yw'r opsiwn '-e' wedi'i phenodi ai peidio, caiff y wybodaeth rhediad ffynhonnell ei argraffu ar gyfer pecynnau sy'n cael eu harwain gan ffynhonnell.

(DS: Mae'r disgrifiad canlynol yn tybio bod yn gyfarwydd â'r algorithm cywasgu SLIP a ddisgrifir yn RFC-1144.)

Ar gysylltiadau SLIP, mae dangosydd cyfeiriad (`` I '' ar gyfer mewnbound, `` O '' ar gyfer mynd allan), math o becynnau, a gwybodaeth gywasgu wedi'u hargraffu. Mae'r math o becyn wedi'i argraffu yn gyntaf. Y tri math yw ip , utcp , a ctcp . Nid oes unrhyw wybodaeth ddolen arall wedi'i argraffu ar gyfer pecynnau ip . Ar gyfer pecynnau TCP, caiff y dynodwr cysylltiad ei argraffu yn dilyn y math. Os caiff y pecyn ei gywasgu, caiff ei bennawd amgodio ei argraffu. Caiff yr achosion arbennig eu hargraffu fel * S + n a * SA + n , lle n yw'r swm y mae rhif y dilyniant (neu rif y gyfres ac acc) wedi newid. Os nad yw'n achos arbennig, argraffir sero neu fwy o newidiadau. Mae newid yn cael ei nodi gan U (pwyntydd brys), W (ffenestr), A (ac), S (rhif dilyniant), ac I (ID pecyn), ac yna delta (+ n neu -n), neu werth newydd (= n). Yn olaf, caiff swm y data yn y pecyn a hyd pennawd cywasgedig eu hargraffu.

Er enghraifft, mae'r llinell ganlynol yn dangos pecyn TCP cywasgedig allbwn, gyda dynodydd cysylltiedig ymhlyg; mae'r acc wedi newid 6, rhif y dilyniant gan 49, a'r ID pecyn erbyn 6; mae 3 bytes o ddata a 6 bytes o bennawd cywasgedig:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pecynnau ARP / RARP

Mae allbwn Arp / rarp yn dangos y math o gais a'i ddadleuon. Bwriedir i'r fformat fod yn hunan esboniadol. Dyma sampl fer a gymerwyd o ddechrau `rlogin 'o rtsg i gynnal csam :

arp who-has csam tell rtsg arp reply csam is-at CSAM

Mae'r llinell gyntaf yn dweud bod rtsg wedi anfon pecyn arp yn gofyn am gyfeiriad ethernet csam gwesteiwr rhyngrwyd. Mae Csam yn ateb ei gyfeiriad ethernet (yn yr enghraifft hon, mae cyfeiriadau ethernet mewn capiau a chyfeiriadau rhyngrwyd yn achos is).

Byddai hyn yn edrych yn llai dileu pe baem wedi gwneud tcpdump -n :

arp who-has 128.3.254.6 yn dweud 128.3.254.68 ateb arp 128.3.254.6 ar 02: 07: 01: 00: 01: c4

Pe baem wedi gwneud tcpdump -e , y ffaith bod y pecyn cyntaf yn cael ei ddarlledu ac yr ail yn bwynt pwynt i fod yn weladwy:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64: arp reply csam is-at CSAM

Ar gyfer y pecyn cyntaf, dyma'r cyfeiriad ffynhonnell ethernet yw RTSG, y cyrchfan yw'r cyfeiriad darllediad ethernet, y maes math oedd yn cynnwys hex 0806 (math ETHER_ARP) a'r cyfanswm yn 64 bytes.

Pecynnau TCP

(DS: Mae'r disgrifiad canlynol yn tybio bod yn gyfarwydd â'r protocol TCP a ddisgrifir yn RFC-793. Os nad ydych chi'n gyfarwydd â'r protocol, ni fydd y disgrifiad hwn na'r tcpdump yn ddefnyddiol i chi.)

Fformat cyffredinol llinell protocol tcp yw:

src> dst: flags data-seqno ack window options brys

Src a dst yw'r cyfeiriadau a'r porthladdoedd ffynhonnell a chyrchfannau IP. Mae baneri yn rhai cyfuniad o S (SYN), F (FIN), P (PUSH) neu R (RST) neu un `. ' (dim baneri). Mae Data-seqno yn disgrifio'r gyfran o ofod dilyniant a gwmpesir gan y data yn y pecyn hwn (gweler yr enghraifft isod). Ack yw dilyniant nifer y data nesaf a ddisgwylir y cyfeiriad arall ar y cysylltiad hwn. Ffenestr yw nifer y bytes o dderbyn gofod byffer sydd ar gael y cyfeiriad arall ar y cysylltiad hwn. Mae Urg yn nodi bod yna ddata 'brys' yn y pecyn. Opsiynau yw opsiynau tcp sydd wedi'u hamgáu mewn bracedi ongl (ee, ).

Mae Src, dst a baneri bob amser yn bresennol. Mae'r meysydd eraill yn dibynnu ar gynnwys pennawd protocol tcp y pecyn ac nid ydynt yn allbwn yn unig os yw'n briodol.

Dyma ran agoriadol o rlogin o rtsg i gynnal csam .

rtsg.1023> csam.login: S 768512: 768512 (0) ennill 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ac 768513 win 4096 rtsg.1023> csam. Mewngofnodi: . ac 1 yn ennill 4096 rtsg.1023> csam.login: P 1: 2 (1) ac 1 ennill 4096 csam.login> rtsg.1023:. ac 2 yn ennill 4096 rtsg.1023> csam.login: P 2:21 (19) ac 1 yn ennill 4096 csam.login> rtsg.1023: P 1: 2 (1) ac 21 ennill 4077 csam.login> rtsg.1023: P 2: 3 (1) ac 21 yn ennill 4077 ar frys 1 csam.login> rtsg.1023: P 3: 4 (1) ac 21 yn ennill 4077 ar frys 1

Mae'r llinell gyntaf yn dweud bod porthladd tcp 1023 ar rtsg wedi anfon pecyn i fewngofnodi porthladd ar csam. Mae'r S yn dangos bod y faner SYN wedi'i osod. Rhif dilyniant y pecyn oedd 768512 ac nid oedd yn cynnwys data. (Mae'r nodiant yn `gyntaf: last (nbytes) 'sy'n golygu' rhifau dilyniant yn gyntaf hyd at ond nid yn cynnwys y nbytes bytes o ddata defnyddwyr yn gyntaf '.) Nid oedd dim ac wedi ei gefnu, roedd y ffenestr derbyn sydd ar gael yn 4096 bytes ac roedd opsiwn maint mwyaf segment yn gofyn am mss o 1024 bytes.

Mae Csam yn ateb gyda phecyn tebyg heblaw ei fod yn cynnwys acyn wedi'i goginio ar gyfer SYN rtsg. Yna mae Rtsg yn cynnwys SAM csam's. Y `. ' yn golygu na osodwyd baneri. Nid oedd y pecyn yn cynnwys unrhyw ddata felly nid oes rhif dilyniant data. Sylwch fod y rhif dilyniant ack yn gyfanrif bach (1). Y tro cyntaf mae tcpdump yn gweld 'sgwrs', mae'n argraffu'r rhif dilyniant o'r pecyn. Ar becynnau dilynol y sgwrs, argraffir y gwahaniaeth rhwng rhif dilyniant y pecyn cyfredol a'r rhif dilyniant cychwynnol hwn. Mae hyn yn golygu y gellir dehongli rhifau dilyniant ar ôl y cyntaf fel mannau cymharol byte yn nant ddata'r sgwrs (gyda'r byte ddata cyntaf bob cyfeiriad yn `1 '). Bydd `-S 'yn gor-rwystro'r nodwedd hon, gan achosi bod y niferoedd dilyniant gwreiddiol yn allbwn.

Ar y 6ed llinell, mae rtsg yn anfon csam 19 bytes o ddata (bytes 2 i 20 yn ochr rtsg -> csam y sgwrs). Mae baner PUSH wedi'i osod yn y pecyn. Ar y 7fed llinell, csam yn dweud ei bod wedi derbyn data a anfonwyd gan rtsg hyd at, ond heb gynnwys byte 21. Mae'n debyg bod y rhan fwyaf o'r data hwn yn eistedd yn y byffer soced gan fod ffenestr derbyn csam wedi cael 19 bytes yn llai. Mae Csam hefyd yn anfon un ffeil o ddata i rtsg yn y pecyn hwn. Ar yr 8fed a'r 9fed linell, mae Csam yn anfon dau bytes o ddata brys, wedi'u gwthio i rtsg.

Pe bai'r ciplun yn ddigon bach nad oedd tcpdump yn dal y pennawd TCP llawn, mae'n dehongli cymaint o'r pennawd ag y gall ac yna'n adrodd `` [| tcp ] '' i ddangos na ellid dehongli'r gweddill. Os yw'r pennawd yn cynnwys opsiwn ffug (un sydd â hyd sydd naill ai'n rhy fach neu y tu hwnt i ben y pennawd), tcpdump yn ei adrodd fel `` [ gwael opsiwn ] '' ac nid yw'n dehongli unrhyw opsiynau pellach (gan ei bod yn amhosib dweud lle maen nhw'n dechrau). Os yw'r hyd pennawd yn nodi bod y dewisiadau yn bresennol, ond nid yw'r hyd datagram IP yn ddigon hir i'r opsiynau fod yno, tcpdump yn ei adrodd fel `` [ hyd hdr gwael ] ''.

Dal pecynnau TCP gyda chyfuniadau baneri penodol (SYN-ACK, URG-ACK, ac ati)

Mae 8 rhan yn y rhannau rheoli o bennawd TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Gadewch i ni dybio ein bod am wylio pecynnau a ddefnyddir wrth sefydlu cysylltiad TCP. Dwyn i gof bod TCP yn defnyddio protocol trin dwylo 3-ffordd pan fydd yn cychwyn ar gysylltiad newydd; y dilyniant cysylltiad o ran darnau rheoli TCP yw

1) Galwr yn anfon SYN

2) Mae'r derbyniwr yn ymateb gyda SYN, ACK

3) Galwr yn anfon ACK

Nawr mae gennym ddiddordeb mewn casglu pecynnau sydd â'r set bit SYN (Cam 1) yn unig. Sylwch nad ydym am becynnau o gam 2 (SYN-ACK), dim ond SYN cychwynnol plaen. Yr hyn sydd ei angen arnom yw mynegiant hidlo cywir ar gyfer tcpdump .

Dwyn i gof strwythur pennawd TCP heb ddewisiadau:

0 15 31 ----------------------------------------------- ------------------ | porthladd ffynhonnell | porthladd cyrchfan | -------------------------------------------------- --------------- | rhif dilyniant | -------------------------------------------------- --------------- | rhif cydnabyddiaeth | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | maint ffenestr | -------------------------------------------------- --------------- | Gwiriad TCP | pwyntydd brys -------------------------------------------------- ---------------

Fel arfer, mae pennawd TCP yn cadw 20 octet o ddata, oni bai bod opsiynau yn bresennol. Mae llinell gyntaf y graff yn cynnwys octetiau 0 - 3, ac mae'r ail linell yn dangos octetiaid 4 - 7 ac ati.

Gan ddechrau cyfrif â 0, mae'r darnau rheoli TCP perthnasol wedi'u cynnwys yn octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | maint ffenestr | ---------------- | --------------- | ---------------- | - --------------- | | 13fed octet | | |

Gadewch i ni edrych yn agosach ar octet rhif. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Dyma'r darnau rheoli TCP y mae gennym ddiddordeb ynddynt. Rydym wedi rhifo'r darnau yn yr octet hon o 0 i 7, i'r dde i'r chwith, felly mae'r ychydig PSH ychydig yn rhif 3, tra bod y darn URG yn rhif 5.

Dwyn i gof ein bod am gipio pecynnau gyda set SYN yn unig. Gadewch i ni weld beth sy'n digwydd i octet 13 os daw datagram TCP gyda'r set SYN yn ei phennawd:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Wrth edrych ar yr adran darnau rheoli, gwelwn mai dim ond rhif 1 (SYN) sydd wedi'i osod.

Gan dybio bod octet rhif 13 yn gyfanrif heb ei llofnodi heb ei llunio yn orchymyn byte rhwydwaith, gwerth deuaidd yr octet hon yw

00000010

a'i gynrychiolaeth degol yw

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Fe wnawn ni bron, oherwydd yn awr rydym yn gwybod, os mai dim ond SYN sydd wedi'i osod, mae'n rhaid i werth yr wythdeg 13eg yn y pennawd TCP, pan ddehonglir ef fel cyfanrif heb ei llofnodi yn orchymyn byte rhwydwaith, fod yn union 2.

Gellir mynegi'r berthynas hon fel

tcp [13] == 2

Gallwn ddefnyddio'r ymadrodd hwn fel hidlydd ar gyfer tcpdump er mwyn gwylio pecynnau sydd â set SYN yn unig:

tcpdump -i xl0 tcp [13] == 2

Mae'r ymadrodd yn dweud "gadewch i 13eg octet data TCP gael y gwerth degol 2", sef yr union beth yr ydym ei eisiau.

Nawr, gadewch i ni dybio bod angen i ni ddal pecynnau SYN, ond nid ydym yn poeni os caiff ACK neu unrhyw darn rheoli TCP arall ei osod ar yr un pryd. Gadewch i ni weld beth sy'n digwydd i octet 13 pan fydd datagram TCP gyda set SYN-ACK yn cyrraedd:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Bellach mae darnau 1 a 4 wedi'u gosod yn y 13fed octet. Gwerth deuaidd octet 13 yw

00010010

sy'n cyfateb i degol

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Nawr allwn ni ddim ond defnyddio 'tcp [13] == 18' yn yr ymadrodd hidlo tcpdump , oherwydd byddai hynny'n dewis dim ond y pecynnau hynny sydd wedi'u gosod SYN-ACK, ond nid y rheiny sydd â set SYN yn unig. Cofiwch nad ydym yn poeni os gosodir ACK neu unrhyw ddarn rheoli arall cyn belled â bod SYN wedi'i osod.

Er mwyn cyflawni ein nod, mae angen i ni fynd yn rhesymegol A gwerth deuaidd octet 13 gyda rhywfaint o werth arall i ddiogelu'r bit SYN. Gwyddom ein bod am i SYN gael ei osod mewn unrhyw achos, felly byddwn yn rhesymegol A'r gwerth yn y octetdegeg gyda gwerth deuaidd SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (rydym eisiau SYN) AND 00000010 (rydym eisiau SYN) -------- -------- = 00000010 = 00000010

Gwelwn fod y gweithrediad A hwn yn cyflawni'r un canlyniad p'un a yw ACK neu darn rheoli TCP arall yn cael ei osod. Mae cynrychiolaeth degol y gwerth A yn ogystal â chanlyniad y llawdriniaeth hon yn 2 (deuaidd 00000010), felly gwyddom fod yn rhaid i bethau gyda SYN osod y berthynas ganlynol yn wir:

((gwerth octet 13) A (2)) == (2)

Mae hyn yn ein cyfeirio at yr ymadrodd hidlo tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Nodwch y dylech ddefnyddio dyfynbrisiau sengl neu gefn yn yr ymadrodd i guddio cymeriad arbennig A ('&') o'r gragen.

Pecynnau CDU

Mae fformat y CDU wedi'i ddangos gan y pecyn rwho hwn:

actinide.who> broadcast.who: udp 84

Mae hyn yn dweud bod y porthladd sydd ar actinide host wedi anfon datagram udp i borthladd pwy sy'n darlledu host, cyfeiriad darlledu Rhyngrwyd. Roedd y pecyn yn cynnwys 84 bytes o ddata defnyddwyr.

Mae rhai gwasanaethau CDU yn cael eu cydnabod (o'r rhif porthladd neu rif porthladd cyrchfan) a'r wybodaeth protocol lefel uwch wedi'i argraffu. Yn benodol, ceisiadau am wasanaeth Enw Parth (RFC-1034/1035) a galwadau Sun RPC (RFC-1050) i NFS.

Gofynion Gweinyddwr Enw'r CDU

(DS: Mae'r disgrifiad canlynol yn tybio bod yn gyfarwydd â'r protocol Gwasanaeth Parth a ddisgrifir yn RFC-1035. Os nad ydych chi'n gyfarwydd â'r protocol, ymddengys bod y disgrifiad canlynol yn cael ei ysgrifennu yn greek.

Fformatir ceisiadau gweinydd enw fel

src> dst: id op? baneri qtype qclass enw (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Gofynnodd host h2opolo i'r gweinydd parth ar helios am gofnod cyfeiriad (qtype = A) sy'n gysylltiedig â'r enw ucbvax.berkeley.edu. Yr ymholiad oedd `3 '. Mae'r `+ 'yn nodi bod y faner a ddymunir ar gyfer ailwampiad wedi'i osod. Hyd yr ymholiad oedd 37 bytes, heb gynnwys y penawdau protocol UDP ac IP. Yr ymholiad oedd yr un arferol, Cwestiwn , felly hepgorwyd y maes op. Pe bai'r op wedi bod yn unrhyw beth arall, byddai wedi'i argraffu rhwng y `3 'a'r` +'. Yn yr un modd, y qclass oedd yr un arferol, C_IN , ac fe'i hepgorwyd. Byddai unrhyw qclass arall wedi'i argraffu yn syth ar ôl y `A '.

Mae ychydig o anghysondebau yn cael eu gwirio a gallant arwain at gaeau ychwanegol wedi'u hamgáu mewn cromfachau sgwâr: Os yw ymholiad yn cynnwys adran ateb, cofnodion awdurdod neu gofnodion ychwanegol, cynhwysir antur , nount , neu ffynonellau fel `[ n a] ',` [ n n ] 'neu `[ n au]' lle n yw'r cyfrif priodol. Os yw un o'r darnau ymateb yn cael eu gosod (AA, RA neu rcode) neu os yw unrhyw un o'r darnau `rhaid bod yn sero 'wedi'u gosod yn y bytes, mae dau a thri,` [b2 & 3 = x ]' yn cael eu hargraffu, lle mae x yn werth hecs pennawd bytes dau a thri.

Ymatebion Gweinyddwr y CDU

Mae ymatebion gweinydd enwau wedi'u fformatio fel

src> dst: id op rga flagiau a / n / au type class data (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Yn yr enghraifft gyntaf, mae helios yn ymateb i ymholiad id 3 o h2opolo gyda 3 chofnod ateb, 3 cofnod gweinydd enw a 7 cofnod ychwanegol. Y cofnod ateb cyntaf yw math A (cyfeiriad) a'i ddata yw cyfeiriad rhyngrwyd 128.32.137.3. Cyfanswm yr ymateb oedd 273 bytes, ac eithrio penawdau'r CDU a'r IP. Eithrwyd yr op (Gofyn) a'r cod ymateb (NoError), fel yr oedd y dosbarth (C_IN) o'r cofnod A.

Yn yr ail enghraifft, mae helios yn ymateb i ymholiad 2 gyda chod ymateb parth nad yw'n bodoli (NXDomain) heb unrhyw atebion, un gweinydd enw a dim cofnodion yr awdurdod. Mae'r `* 'yn nodi bod y rhan ateb awdurdodol wedi'i osod. Gan nad oedd unrhyw atebion, nid oedd unrhyw fath, dosbarth neu ddata wedi'u hargraffu.

Mae cymeriadau baneri eraill a allai ymddangos yn `- '(recursion ar gael, RA, heb ei osod) a` |' (neges wedi'i rhwystro, TC, set). Os nad yw'r adran 'cwestiwn' yn cynnwys un cofnod yn union, mae `[ n q] 'wedi'i argraffu.

Sylwch fod ceisiadau gweinyddwyr enwau ac ymatebion yn tueddu i fod yn fawr ac efallai na fydd yr anhwylderau diofyn o 68 bytes yn dal digon o bapur i'w argraffu. Defnyddiwch y -s dangos i gynyddu'r nythod os oes angen i chi ymchwilio'n ddifrifol i draffig enwau gweinyddwr. Mae ` -s 128 'wedi gweithio'n dda i mi.

Datgodio SMB / CIFS

Mae tcpdump nawr yn cynnwys dadgodio gweddol sylweddol o SMB / CIFS / NBT ar gyfer data ar CDU / 137, CDU / 138 a TCP / 139. Gwneir peth datodiad cyntefig o ddata IPX a NetBEUI SMB hefyd.

Yn ddiofyn, gwneir ychydig iawn o ddadgodio, gyda phegodiad llawer mwy manwl wedi'i wneud os -v yn cael ei ddefnyddio. Byddwch yn rhybuddio y gall -cyn pecyn SMB unigol gymryd tudalen neu fwy, felly dim ond -v os ydych chi am weld yr holl fanylion gory.

Os ydych chi'n dadgodio sesiynau SMB sy'n cynnwys llinynnau unicode yna efallai y byddwch chi eisiau gosod yr amrywyn amgylcheddol USE_UNICODE i 1. Byddai croeso i gylchred i ddarganfod auto-ddarganfod srings unicode.

I gael gwybodaeth am fformatau pecyn SMB a beth yw ystyr pob maes te, gweler www.cifs.org neu'r dafarn / samba / specs / directory ar eich hoff drych samba.org. Ysgrifennwyd y clytiau SMB gan Andrew Tridgell (tridge@samba.org).

Ceisiadau ac Ymatebion NFS

Argymhellir ceisiadau geisiadau ac atebion Sun NFS (System Ffeil Rhwydwaith) fel:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op results sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: reply ok 128 lookup f 9,74 / 4134.3150

Yn y llinell gyntaf, mae sushi gwesteiwr yn anfon trafodiad gydag id 6709 i wrl (nodwch fod y rhif sy'n dilyn y host src yn ID trafodiad, nid y porthladd ffynhonnell). Y cais oedd 112 bytes, ac eithrio'r penawdau CDU ac IP. Roedd y llawdriniaeth yn readlink (darllenwch gyswllt symbolaidd) ar ddull ffeil ( ff ) 21,24 / 10.731657119. (Os yw un yn ffodus, fel yn yr achos hwn, gellir dehongli'r ddelwedd ffeil fel pâr rhif mawr, ychydig o ddyfais, ac yna rhif rhif a genhedlaeth yr asid ). Mae atebion Wr `ok 'gyda chynnwys y ddolen.

Yn y drydedd llinell, mae sushi yn gofyn i wrl edrych ar yr enw ` xcolors 'yn y ffeil cyfeirlyfr 9,74 / 4096.6878. Sylwch fod y data a argraffir yn dibynnu ar y math o weithrediad. Bwriedir i'r fformat fod yn hunan esboniadol os caiff ei ddarllen ar y cyd â sbes protocol NFS.

Os rhoddir y faner -v (verbose), caiff gwybodaeth ychwanegol ei hargraffu. Er enghraifft:

sushi.1372a> wrl.nfs: 148 darllen f 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: ateb iawn 1472 darllen REG 100664 ids 417/0 sz 29388

(-v hefyd yn argraffu y pennawd IP TTL, ID, hyd a meysydd darnio, a hepgorwyd o'r enghraifft hon.) Yn y llinell gyntaf, mae sushi yn gofyn wrl i ddarllen 8192 bytes o ffeil 21,11 / 12.195, wrth wrthbwyso byte 24576. Mae atebion anghywir `iawn '; y pecyn a ddangosir ar yr ail linell yw darn cyntaf yr ateb, ac felly dim ond 1472 bytes yn unig (bydd y bytes eraill yn dilyn mewn darnau dilynol, ond nid oes gan y darnau hyn NFS neu hyd yn oed benawdau CDU ac felly ni ellir eu hargraffu, yn dibynnu ar y mynegiant hidlo a ddefnyddir). Oherwydd bod y faner -v yn cael ei roi, caiff rhai o'r nodweddion ffeil (a ddychwelir yn ychwanegol at y data ffeil) eu hargraffu: y math o ffeil (`` REG '', ar gyfer ffeil rheolaidd), y modd ffeil (yn octal), y uid a'r gid, a'r maint ffeil.

Os yw'r faner -v yn cael ei roi mwy nag unwaith, mae mwy o fanylion yn cael eu hargraffu.

Sylwch fod ceisiadau NFS yn fawr iawn ac ni fydd llawer o'r manylion yn cael eu hargraffu oni bai bod y niferoedd yn cynyddu. Ceisiwch ddefnyddio ` -s 192 'i wylio traffig NFS.

Nid yw pecynnau ymateb NFS yn nodi'r weithred RPC yn benodol. Yn lle hynny, tcpdump yn olrhain ceisiadau `` diweddar '', ac yn eu cyfateb i'r atebion gan ddefnyddio'r ID trafodyn. Os nad yw ateb yn dilyn y cais cyfatebol yn agos, efallai na fydd yn parsal.

Ceisiadau ac Ymatebion AFS

Mae ceisiadau Transarc AFS (Andrew File System) yn cael eu hargraffu fel:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx packet-type service galwad alwad alwad args src.sport> dst.dport: rx pecyn-type service ateb alwad-enw args elvis. 7001> pike.afsfs: rx data fs ffoniwch ail-enwi hen ffid 536876964/1/1 ".newsrc.new" ffid newydd 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs ateb ail-enwi

Yn y llinell gyntaf, mae'r elvis yn anfon pecyn RX i bacio. Roedd hwn yn becyn data RX i'r gwasanaeth fs (ffeiliau ffeil), ac yn ddechrau alwad RPC. Ail alwad oedd yr alwad RPC, gyda'r hen rif ffeil cyfeirlyfr o 536876964/1/1 ac enw ffeil hen `.newsrc.new ', a rhif ffeil cyfeiriadur 536876964/1/1 a enw ffeil newydd o`. newyddion '. Mae'r beic cynnalwr yn ymateb gydag ymateb RPC i'r alwad enwog (a oedd yn llwyddiannus, oherwydd ei fod yn becyn data ac nid yn becyn erthylu).

Yn gyffredinol, mae holl RPCau AFS yn cael eu dadgodio o leiaf gan enw alwad RPC. Mae gan y rhan fwyaf o RPCs AFS o leiaf rai o'r dadleuon wedi'u dadgodio (yn gyffredinol dim ond y dadleuon 'diddorol', ar gyfer rhywfaint o ddiffiniad o ddiddorol).

Bwriedir i'r fformat fod yn hunan-ddisgrifio, ond mae'n debyg na fydd yn ddefnyddiol i bobl nad ydynt yn gyfarwydd â gweithrediadau AFS a RX.

Os yw'r faner -v (verbose) yn cael ei roi ddwywaith, caiff pecynnau cydnabyddiaeth a gwybodaeth pennawd ychwanegol eu hargraffu, fel yr alwad RX, rhif y galwad, rhif dilyniant, rhif cyfresol, a baneri'r pecyn RX.

Os yw'r faner -v yn cael ei roi ddwywaith, caiff gwybodaeth ychwanegol ei argraffu, megis yr ID ffonio RX, rhif cyfresol, a baneri'r pecyn RX. Mae gwybodaeth negodi MTU wedi'i argraffu hefyd o becynnau RX ack.

Os rhoddir y faner -v dair gwaith, mae'r mynegai diogelwch a'r rhif gwasanaeth yn cael eu hargraffu.

Mae codau gwall yn cael eu hargraffu ar gyfer pecynnau erthylu, ac eithrio pecynnau ysgafn Ubik (oherwydd defnyddir pecynnau erthylu i lofnodi pleidlais ie ar gyfer protocol Ubik).

Sylwch fod ceisiadau AFS yn fawr iawn ac ni fydd llawer o'r dadleuon yn cael eu hargraffu oni bai bod y niferoedd yn cynyddu. Ceisiwch ddefnyddio ` -s 256 'i wylio traffig AFS.

Nid yw pecynnau ateb AFS yn nodi'n benodol weithrediad yr RPC. Yn lle hynny, tcpdump yn olrhain ceisiadau `` diweddar '', ac yn eu cyfateb i'r atebion gan ddefnyddio'r rhif ffôn a'r ID gwasanaeth. Os nad yw ateb yn dilyn y cais cyfatebol yn agos, efallai na fydd yn parsal.

KIP Appletalk (DDP yn y CDU)

Dadansoddir pecynnau DDP Appletalk a gaiff eu hamgáu mewn datagramau CDU a'u datgelu fel pecynnau DDP (hy, caiff holl wybodaeth y pennawd CDU ei ddileu). Defnyddir y ffeil /etc/atalk.names i gyfieithu rhifau nodau net a nodau i enwau. Mae gan y llinellau yn y ffeil hon y ffurflen

enw rhif 1.254 ether 16.1 icsd-net 1.254.110 ace

Mae'r ddwy linell gyntaf yn rhoi enwau rhwydweithiau appletalk. Mae'r drydedd llinell yn rhoi enw gwesteiwr penodol (nodir y llu o rwyd gan y 3ydd octet yn y rhif - rhaid i rif net gael dau octet a rhaid i rif host fod â thri octetyn.) Dylai'r rhif a'r enw gael eu gwahanu trwy le gwelyau (bylchau neu tabiau). Gall y ffeil /etc/atalk.names gynnwys llinellau gwag neu linellau sylwadau (llinellau sy'n dechrau gyda `# ').

Mae cyfeiriadau Appletalk wedi'u hargraffu ar y ffurflen:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Os nad yw'r /etc/atalk.names yn bodoli neu nad yw'n cynnwys cofnod ar gyfer rhywfaint o westeiwr appletalk / rhif net, mae'r cyfeiriadau wedi'u hargraffu mewn ffurf rhifol.) Yn yr enghraifft gyntaf, NBP (porthladd DDP 2) ar net 144.1 mae nod 209 yn anfon at beth bynnag sy'n gwrando ar borthladd 220 o nod icsd net 112. Mae'r ail linell yr un fath ac eithrio enw llawn y nod ffynhonnell yn hysbys (`swyddfa '). Mae'r drydedd linell yn cael ei anfon o borthladd 235 ar nod jssmag net 149 i ddarlledu ar y porthladd NBP-icsd net (nodwch fod y cyfeiriad darlledu (255) wedi'i nodi gan enw net heb unrhyw rif llety - am y rheswm hwn mae'n syniad da i gadw enwau nodau ac enwau net yn wahanol mewn /etc/atalk.names).

Mae eu cynnwys yn cael ei ddehongli gan NBP (protocol rhwymo enwau) a phacynnau ATP (protocol trafodion Appletalk). Mae protocolau eraill yn unig yn tynnu enw'r protocol (neu rif os nad oes enw wedi'i gofrestru ar gyfer y protocol) a maint y pecyn.

Mae pecynnau NBP yn cael eu fformatio fel yr enghreifftiau canlynol:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Mae'r llinell gyntaf yn gais chwilio enwau ar gyfer ysgrifennwyr laser a anfonwyd gan host icsd 112 a chânt eu darlledu ar jssmag net. Y rhif nbp ar gyfer yr edrychiad yw 190. Mae'r ail linell yn dangos ateb i'r cais hwn (nodwch fod yr un peth ganddi) o westeiwr jssmag.209 yn dweud bod ganddo adnodd laserwriter o'r enw "RM1140" a gofrestrwyd ar borthladd 250. Mae'r trydydd lein yn ateb arall i'r un cais, gan ddweud bod techpit gwesteiwr wedi laerwriter "techpit" a gofrestrwyd ar borthladd 186.

Dangosir fformatio pecyn ATP gan yr enghraifft ganlynol:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Mae Jssmag.209 yn cychwyn rhif adnabod 12266 gyda helios gwesteion trwy ofyn am hyd at 8 o becynnau (`` 0-7 '). Y rhif hecs ar ddiwedd y llinell yw gwerth y maes `userdata 'yn y cais.

Mae Helios yn ymateb gyda phacedi 8 512-byte. Mae'r `: digid 'yn dilyn id y trafodyn yn rhoi rhif dilyniant y pecyn yn y trafodiad a nifer y parens yw swm y data yn y pecyn, ac eithrio'r pennawd atp. Mae'r `* 'ar becyn 7 yn nodi bod y bit EOM wedi'i osod.

Mae Jssmag.209 wedyn yn gofyn bod pecynnau 3 a 5 yn cael eu hailddosbarthu. Mae Helios yn eu hanfon nhw wedyn jssmag.209 yn rhyddhau'r trafodiad. Yn olaf, mae jssmag.209 yn cychwyn y cais nesaf. Mae'r `* 'ar y cais yn nodi nad oedd XO (` union unwaith') wedi'i osod.

Rhaniad IP

Argraffir datagramau Rhyngrwyd sydd wedi eu rhannu yn Fragmented fel

(frag id : size @ offset +) (breg id : maint @ wrthbwyso )

(Mae'r ffurflen gyntaf yn nodi bod yna fwy o ddarnau. Mae'r ail yn nodi mai dyma'r darn olaf.)

Id yw'r erthygl darn. Maint yw maint y darn (yn bytes) ac eithrio'r pennawd IP. Mae gwrthbwyso'r darn hwn wedi'i wrthbwyso (yn bytes) yn y datagram gwreiddiol.

Mae'r wybodaeth darn yn allbwn ar gyfer pob darn. Mae'r darn cyntaf yn cynnwys y pennawd protocol lefel uwch ac mae'r wybodaeth freg wedi'i argraffu ar ôl y wybodaeth protocol. Nid yw rhannau ar ôl y cyntaf yn cynnwys pennawd protocol lefel uwch ac mae'r wybodaeth freg wedi'i argraffu ar ôl y cyfeiriadau ffynhonnell a chyrchfan. Er enghraifft, dyma rhan o ftp o arizona.edu i lbl-rtsg.arpa dros gysylltiad CSNET nad yw'n ymddangos ei fod yn ymdrin â datagramau 576 byte:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ac 1 yn ennill 4096 (breg 595a: 328 @ 0 +) arizona> rtsg: (breg 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ac mae 1536 yn ennill 2560

Mae yna ddau beth i'w nodi yma: Yn gyntaf, nid yw cyfeiriadau yn yr ail linell yn cynnwys rhifau porthladdoedd. Mae hyn oherwydd bod gwybodaeth protocol TCP i gyd yn y darn cyntaf ac nid oes gennym unrhyw syniad beth yw'r rhifau porthladd neu ddilyniant pan fyddwn yn argraffu'r darnau diweddarach. Yn ail, mae'r wybodaeth ddilyniant tcp yn y llinell gyntaf yn cael ei argraffu fel pe bai 308 bytes o ddata defnyddiwr pan, mewn gwirionedd, mae 512 bytes (308 yn y breg cyntaf ac 204 yn yr ail). Os ydych chi'n chwilio am dyllau yn y llecyn dilynol neu geisio cydweddu acciau gyda phacedi, gall hyn eich ffwlio.

Mae pecyn gyda'r baneri IP yn peidio â marcio â darn (DF) .

Timestamps

Yn anffodus, cynhelir amserlen i bob llinellau allbwn. Y amserlen yw'r amser cloc cyfredol ar y ffurflen

hh: mm: ss.frac

ac mae'n mor gywir â chloc y cnewyllyn. Mae'r amserlen yn adlewyrchu'r amser y gwelodd y cnewyllyn gyntaf y pecyn. Ni wneir unrhyw ymgais i gyfrif am yr amser oedi rhwng pan oedd y rhyngwyneb ethernet wedi tynnu'r pecyn o'r wifren a pha bryd y rhoddodd y cnewyllyn wasanaeth i'r 'pecyn newydd' ymyrryd.

GWELD HEFYD

traffig (1C), nit (4P), bpf (4), pcap (3)

Pwysig: Defnyddiwch y gorchymyn dyn ( % man ) i weld sut mae gorchymyn yn cael ei ddefnyddio ar eich cyfrifiadur penodol.