Tcpdump - Komando Linux Ubuntu - Unix Komando

NAME

tcpdump - dump lalulintas dina jaringan nu

SYNOPSIS

tcpdump [-adeflnNOpqRStuvxX] [count -c]

[-C file_size] [-F file]

[Panganteur -i] [-m modul] [file -r]

[-s snaplen] [tipe -T] [-U pamaké] [file -w]

[-E algo: rusiah] [ekspresi]

gambaran

Tcpdump prints kaluar headers of pakét dina panganteur jaringan nu cocog ekspresi boolean. Ogé bisa ngajalankeun kalawan bendera -w, nu ngabalukarkeun ka simpen data packet ka file pikeun analisis engké, sarta / atawa kalayan bendera -r, nu ngabalukarkeun eta maca ti file pakét disimpen tinimbang maca pakét ti panganteur jaringan. Dina sakabeh kasus, ngan pakét anu ekspresi cocok bakal diolah ku tcpdump.

Tcpdump bakal, lamun henteu ngajalankeun kalawan bendera -c, nuluykeun motret pakét nepika interrupted ku sinyal SIGINT (dihasilkeun, contona, ku ngetikkeun karakter ngaganggu anjeun, ilaharna ngadalikeun-C) atawa sinyal SIGTERM (ilaharna dihasilkeun ku sono ka (1) paréntah); lamun ngajalankeun kalawan bendera -c, bakal nangkep pakét nepika interrupted ku SIGINT atanapi SIGTERM sinyal atawa jumlah dieusian of pakét geus diolah.

Nalika tcpdump rengse motret pakét, éta baris ngalaporkeun diitung tina:

pakét `` ditampi ku filter '' (hartina ieu gumantung dina OS on nu nuju ngajalankeun tcpdump, sarta kamungkinan dina cara OS ieu ngonpigurasi - lamun filter a ieu dieusian dina garis paréntah, dina sababaraha OSes eta diitung pakét paduli naha maranéhanana loyog ku ekspresi filter, sarta dina OSes sejenna deui diitung ukur pakét nya éta loyog ku ekspresi filter kukituna diolah ku tcpdump);

pakét `` turun ku kernel '' (ieu jumlah pakét nya éta turun, alatan kurangna rohang panyangga, ku mékanisme pakét newak di OS on nu tcpdump geus ngajalankeun, upami OS ngalaporkeun yén informasi ka aplikasi; lamun henteu, éta bakal dilaporkeun salaku 0).

Dina platform nu ngarojong sinyal SIGINFO, kayaning paling BSDs, éta baris ngalaporkeun jalma diitung lamun narima sinyal SIGINFO (dihasilkeun, contona, ku ngetikkeun Anjeun `` status '' karakter, ilaharna ngadalikeun-T) jeung bakal neruskeun motret pakét .

Maca pakét ti panganteur jaringan bisa merlukeun yen Anjeun gaduh statusna husus:

Dina SunOS 3.x atanapi 4.x kalawan NIT atanapi BPF:

Anjeun kudu geus maca aksés ka / dev / nit atawa / dev / bpf *.

Dina Solaris kalawan DLPI:

Anjeun kudu geus maca / nulis aksés ka alat pseudo jaringan, misalna / dev / le. Dina sahenteuna sababaraha versi ngeunaan Solaris, kumaha oge, ieu teu cukup pikeun ngawenangkeun tcpdump candak dina modeu promiscuous; on pamadegan versi tina Solaris, Anjeun kudu jadi akar, atanapi tcpdump kudu dipasang setuid kana akar, dina urutan candak dina modeu promiscuous. Catetan yen, dina loba (sugan sadayana) interfaces, upami anjeun teu moto dina modeu promiscuous, anjeun bakal moal ningali naon baé pakét kaluar, jadi hiji newak henteu dipigawé dina modeu promiscuous bisa jadi pohara kapaké.

Dina HP-UX kalawan DLPI:

Anjeun kudu jadi akar atawa tcpdump kudu dipasang setuid kana akar.

Dina IRIX kalawan Snoop:

Anjeun kudu jadi akar atawa tcpdump kudu dipasang setuid kana akar.

Dina Linux Ubuntu:

Anjeun kudu jadi akar atawa tcpdump kudu dipasang setuid kana akar.

Dina Ultrix na Digital UNIX / Tru64 UNIX:

Sagala pamaké bisa newak lalulintas jaringan sareng tcpdump. Sanajan kitu, henteu pamaké (henteu komo super-pamaké) bisa newak dina modeu promiscuous on hiji panganteur iwal nu super-pamaké geus diaktipkeun operasi promiscuous-mode on panganteur nu maké pfconfig (8), sarta euweuh pamaké (henteu komo super-pamaké ) bisa néwak lalulintas unicast ditampi ku atanapi dikirim ku mesin dina hiji panganteur iwal nu super-pamaké geus diaktipkeun operasi salinan-sadaya-mode on panganteur nu maké pfconfig, jadi mangpaat pakét newak on hiji panganteur meureun merlukeun boh promiscuous-mode atawa salinan -all-mode operasi, atawa duanana ngarupakeun mode operasi, jadi diaktipkeun di panganteur éta.

Dina BSD:

Anjeun kudu geus maca aksés ka / dev / bpf *.

Maca hiji file pakét disimpen teu merlukeun statusna husus.

Pilihan

-a

Nyobian ngarobah jaringan sarta siaran alamat ka ngaran.

-c

Kaluar sanggeus narima pakét count.

-C

Méméh nulis pakét atah keur savefile a, pariksa naha file ayeuna leuwih badag batan file_size na, upami kitu, nutup savefile arus jeung muka nu anyar. Savefiles sanggeus savefile mimitina kudu nami dieusian ku bendera -w, kalawan jumlah hiji sanggeus eta, dimimitian dina 2 sarta nuluykeun ka luhur. Hijian file_size aya jutaan bait (1.000.000 bait, moal 1.048.576 bait).

-d

Dump kode packet-cocog nu disusun dina formulir bisa dibaca manusa pikeun kaluaran baku na eureun.

-dd

Dump kode packet-cocog salaku peupeusan program C.

-ddd

Dump kode packet-cocog sakumaha angka decimal (dimimitian kalawan count a).

-e

Nyitak lulugu link-tingkat dina unggal garis dump.

-E

Paké algo: rusiah pikeun decrypting pakét IPSec ESP. Algoritma bisa jadi des-KBK, 3des-KBK, blowfish-KBK, rc3-KBK, cast128-KBK, atawa nanaon. Standar kasebut des-KBK. Kamampuh ngadekrip pakét anu ngan hadir upami tcpdump ieu disusun kalawan kriptografi diaktipkeun. rusiah teh ASCII téks pikeun ESP rusiah konci. Simkuring teu tiasa nyandak nilai binér sawenang dina momen ieu. pilihan nu nganggap RFC2406 ESP, moal RFC1827 ESP. pilihan téh ngan keur kaperluan debugging, sarta pamakéan pilihan ieu kalawan sabenerna `rusiah 'konci ieu discouraged. Ku presenting IPSec rusiah konci onto garis paréntah Anjeun nyieun ditingali ka batur, via ps (1) jeung kaayaan séjén.

-f

Print `alamat asing 'internét numerik tinimbang symbolically (pilihan ieu dimaksudkeun pikeun meunang ngaruksak otak sabudeureun serius di server yp Sun urang --- biasana eta hangs salamina narjamahkeun angka internét non-lokal).

-F

Paké file salaku input pikeun éksprési filter. Hiji ungkapan tambahan dibikeun dina garis paréntah geus teu dipalire.

-abdi

Dengekeun kana panganteur. Mun unspecified, tcpdump maluruh daptar Sistim panganteur pikeun wilanganana panghandapna, ngonpigurasi up panganteur (kaasup loopback). Dasi nu pegat ku milih pertandingan pangheubeulna.

Dina sistem Linux Ubuntu jeung 2.2 atawa engké kernels, argumen panganteur tina `` sagala '' bisa dipaké pikeun moto pakét ti interfaces. Catetan yen ngarebut dina `` sagala '' alat moal rengse dina modeu promiscuous.

-l

Jieun stdout garis buffered. Mangpaat upami anjeun hoyong ningali data bari motret eta. misalna,
`` Tcpdump -l | majalengka dat '' atawa `` tcpdump -l> dat & buntut -f dat ''.

-m

Muka SMI MIB definisi modul ti modul file. Pilihan ieu bisa dipaké sababaraha kali pikeun muka sababaraha modul MIB kana tcpdump.

-n

Ulah ngarobah alamat host kana ngaran. Ieu bisa dipaké pikeun nyingkahan DNS lookups.

-nn

Ulah ngarobah protokol na angka port jsb mun ngaran boh.

-N

Ulah nyitak kualifikasi ngaran domain tina ngaran host. Misalna, lamun masihan bandéra ieu lajeng tcpdump baris nyitak `` nic '' tinimbang `` nic.ddn.mil ''.

-o

Ulah ngajalankeun kode packet-cocog optimizer. Ieu mangpaat ngan lamun nyangka bug dina optimizer nu.

-p

Ulah nempatkeun panganteur kana modeu promiscuous. Catet yén panganteur nu bisa jadi dina modeu promiscuous pikeun sababaraha alesan sejenna; ku kituna, `-p 'teu bisa dipake salaku hiji singketan keur` éter host {lokal-HW-addr} atanapi siaran éter'.

-q

Gancang (sepi?) Kaluaran. Nyitak informasi protokol kirang jadi garis kaluaran pondok.

-R

Nganggap pakét ESP / AH bisa dumasar kana spesifikasi heubeul (RFC1825 mun RFC1829). Mun dieusian, tcpdump moal nyitak widang pencegahan replay. Kusabab euweuh protokol widang Vérsi di ESP / AH spésifikasi, tcpdump teu tiasa deduce versi tina protokol ESP / AH.

-r

Pakét dibaca ti file (anu dijieun kalawan pilihan -w). Input standar anu dipaké lamun file nyaeta `` - ''.

-S

Nyitak mutlak, tinimbang dulur, angka runtuyan TCP.

-s

Snarf bait snaplen data ti unggal pakét tinimbang standar tina 68 (kalawan NIT SunOS urang, minimum sabenerna 96). 68 bait téh nyukupan pikeun IP, ICMP, TCP na UDP tapi mungkin truncate informasi protokol tina ngaran pangladen tur pakét NFS (tempo di handap). Pakét truncated kusabab hiji snapshot kawates anu dituduhkeun dina output kalawan `` [| proto] '', tempat proto anu ngaran tingkat protokol di mana truncation geus lumangsung. Catet yén nyokot snapshots gedé duanana naek jumlah waktu nu diperlukeun pikeun ngolah pakét na, éféktif, nurun jumlah pakét buffering. Ieu bisa ngakibatkeun pakét ka leungit. Anjeun kudu ngawatesan snaplen kana angka pangleutikna anu bakal dicandak kana informasi protokol anjeun resep. Netepkeun snaplen ka 0 hartosna nganggo panjangna required nyekel sakabeh pakét.

-T

Pakét gaya dipilih ku "ekspresi" bisa diinterpretasi tipe ditangtukeun. Jenis ayeuna dipikawanoh téh cnfp (Cisco NetFlow protokol), RPC (Jauh Prosedur Telepon), rtp (Aplikasi Real-Time protokol), rtcp (real-time Aplikasi kontrol protokol), snmp (Basajan Network Manajemén Protocol), PPN (Alat Visual Audio ), sarta WB (disebarkeun Board bodas).

-t

Ulah nyitak hiji timestamp on tiap garis dump.

-tt

Nyitak hiji timestamp unformatted on tiap garis dump.

-U

Pakait statusna root na robah ID pamaké pikeun pamaké sarta grup ID kana grup primér pamaké.

Catetan! Red Hat Linux Ubuntu otomatis pakait nu statusna nepi pamaké `` pcap '' lamun euweuh sejenna geus dieusian.

-ttt

Nyitak hiji délta (dina micro-detik) antara garis arus jeung saméméhna dina unggal garis dump.

-tttt

Nyitak hiji timestamp dina format standar proceeded dumasar titimangsa dina unggal garis dump.

-u

Print undecoded NFS handles.

-V

(Rada leuwih) output verbose. Contona, waktu pikeun hirup, idéntifikasi, total panjang tur pilihan dina pakét IP anu dicitak. Ogé nyandak cék integritas pakét tambahan sapertos verifying IP na ICMP lulugu checksum.

-vv

Malah kaluaran langkung verbose. Contona, huma tambahan nu dicetak mulai NFS pakét reply, sarta pakét SMB nu pinuh dikirim.

-vvv

Malah kaluaran langkung verbose. Contona, telnet pilihan SB ... SE anu dicitak dina pinuh. Kalawan -X pilihan telnet anu dicitak dina hex ogé.

-w

Nulis pakét atah keur berkas tinimbang FITML sarta percetakan aranjeunna kaluar. Éta bisa engké jadi dicitak kalawan pilihan -r. Output standar anu dipaké lamun file nyaeta `` - ''.

-x

Nyitak unggal pakét (dikurangan lulugu tingkat link na) dina hex. Leuwih leutik tina sakabéh pakét atawa bait snaplen bakal dicitak. Catetan yen ieu téh sakabéh pakét link-lapisan, jadi pikeun lapisan link Pad (misalna Ethernet), nu bait padding oge bakal dicitak yén nalika pakét lapisan luhur nyaeta pondok ti padding anu diperlukeun.

-X

Nalika percetakan hex, print ASCII teuing. Kituna upami -x ogé diatur, pakét kasebut dicitak dina hex / ASCII. Ieu pisan gunana pikeun nganalisis protokol anyar. Malah lamun -x henteu ogé diatur, sababaraha bagéan sababaraha pakét bisa jadi dicitak dina hex / ASCII.

babasan

milih cara nu mana paket bakal kasusun loba. Mun euweuh ekspresi dirumuskeun, sadaya pakét on bersih bakal kasusun loba. Upami teu kitu, ngan pakét pikeun nu ekspresi mangrupa `leres 'bakal kasusun loba.

Éksprési diwangun ku hiji atawa leuwih Primitif. Primitif biasana diwangun ku hiji id (ngaran atawa nomer) dimimitian ku hiji atawa leuwih qualifiers. Aya tilu rupa nu beda-beda qualifier:

ngetik

qualifiers sebutkeun jenis hal nami id atawa jumlah nujul kana. Mungkin jenis anu host, net na port. Misalna, `host foo ',` net 128,3', `port 20 '. Lamun teu aya jenis qualifier, host dianggap.

dir

qualifiers nangtukeun arah mindahkeun hususna ka jeung / atawa ti id. Mungkin arah anu src, DST, src atanapi DST na src na DST. Misalna, `src foo ',` DST net 128,3', `src atawa port DST ftp-data '. Lamun teu aya qualifier dir, src atanapi DST dianggap. Pikeun `null 'link lapisan (ie titik nujul ka protokol kayaning dieunakeun) nu qualifiers inbound na outbound bisa dipaké pikeun nangtukeun arah nu dipikahayang.

proto

qualifiers ngawatesan pertandingan ka protokol nu tangtu. Mungkin protos téh: éter, fddi, TR, ip, ip6, Dukupuntang, rarp, decnet, TCP na udp. Misalna, `éter src foo ',` Dukupuntang net 128,3', `TCP port 21 '. Lamun teu aya qualifier proto, sadaya protokol konsisten kalayan jenis nu aya dianggap. Misalna, `src foo 'hartina` (ip atanapi Dukupuntang atanapi rarp) src foo' (iwal dimungkinkeun teu rumpaka légal), `net bar 'hartina` (ip atanapi Dukupuntang atanapi rarp) bar net' sarta `port 53 'hartosna `(TCP atanapi udp) port 53 '.

[ `Fddi 'sabenerna mangrupa landian pikeun` éter'; parser nu Ngaruwat aranjeunna identik sakumaha harti `` di tingkat data link dipaké dina panganteur jaringan husus. '' headers FDDI ngandung sumber jeung tujuanana Ethernet-kawas alamat, jeung mindeng ngamuat jenis pakét Ethernet-kawas, jadi Anjeun tiasa nyaring dina widang FDDI ieu sagampil kalayan widang Ethernet analog. FDDI headers ogé ngandung widang, tapi anjeun moal bisa ngaranan éta eksplisit dina ekspresi filter.

Nya kitu, `TR 'mangrupa landian pikeun` éter'; pernyataan ayat saméméhna urang ngeunaan headers FDDI ogé dilarapkeun ka token Ring headers.]

Salian di luhur, aya sababaraha kecap konci husus `primitif 'nu teu nuturkeun pola nu: gateway, siaran, kirang, ungkapan gede tur arithmetic. Sakabéh ieu digambarkeun di handap.

Ungkapan filter kompléks leuwih anu ngawangun up ku ngagunakeun kecap tur, atawa teu keur ngagabungkeun Primitif. Misalna, `foo host na ftp moal port teu port ftp-data '. Pikeun nyimpen ketikan, béréndélan qualifier idéntik bisa disingkahkeun. Misalna, `TCP port DST ftp atanapi ftp-data atawa domain 'téh persis sarua jeung` TCP DST port ftp atanapi TCP port DST ftp-data atawa TCP DST port domain'.

Primitif Allowable téh:

host host DST

Leres upami di IPv4 / v6 widang tujuan tina pakét kasebut host, nu bisa jadi boh alamatna atanapi ngaran.

host host src

Leres upami di IPv4 / v6 widang sumber pakét kasebut host.

host host

Leres upami boh IPv4 / v6 sumber atawa tujuan tina pakét kasebut host. Salah sahiji ungkapan host luhur bisa prepended kalayan kecap konci, ip, Dukupuntang, rarp, atawa ip6 sakumaha dina:

host host ip

nu sarua jeung:

éter proto \ ip na host host

Mun host mangrupakeun ngaran kalawan sababaraha alamat IP, unggal alamat bakal dipariksa pikeun cocok.

éter DST ehost

Leres upami alamat tujuan Ethernet nyaeta ehost. Ehost bisa jadi boh ngaran tina / jsb / éter atawa angka hiji (tingali éter (3N) pikeun format numerik).

éter src ehost

Leres upami alamat sumber Ethernet nyaeta ehost.

ehost host éter

Leres upami boh sumber Ethernet atawa alamat tujuan téh ehost.

gateway host

Leres upami pakét anu dipaké host sakumaha gateway a. Ie, sumber atawa tujuan Ethernet alamat éta host tapi ngayakeun sumber IP atawa tujuan IP éta host. Host kudu jadi ngaran na kudu kapanggih duanana ku host-ngaran-to-IP-alamat mékanisme resolusi mesin urang (host file ngaran, DNS, Nis, jsb) sarta ku resolusi host-ngaran-to-Ethernet-alamat nu mesin urang mékanisme (/ jsb / éter, jsb). (Hiji ekspresi sarimbag nya

host ehost éter teu boga imah host

nu bisa dipaké kalawan boh ngaran atawa nomer pikeun host / ehost.) rumpaka ieu teu dianggo dina konfigurasi IPv6-diaktipkeun dina momen ieu.

net net DST

Leres upami di IPv4 / v6 alamat tujuan tina pakét ngabogaan jumlah jaringan tina net. Net bisa jadi boh ngaran tina / jsb / jaringan atawa jumlah jaringan (tingali jaringan (4) pikeun detil).

net net src

Leres upami di IPv4 Alamat / sumber v6 of pakét ngabogaan jumlah jaringan tina net.

net net

Leres upami boh IPv4 / v6 sumber atawa tujuan alamat pakét ngabogaan jumlah jaringan tina net.

net topeng netmask net

Leres upami alamat IP cocog net jeung netmask husus. Bisa jadi mumpuni kalawan src atanapi DST. Catet yén sintaksis ieu teu valid pikeun IPv6 net.

net net / Ilen

Leres upami di IPv4 Alamat / v6 cocog net ku netmask Ilen lega bit. Bisa jadi mumpuni kalawan src atanapi DST.

DST port port

Leres upami pakét kasebut ip / TCP, ip / udp, ip6 / TCP atanapi ip6 / udp sarta ngabogaan nilai port tujuan tina port. Port bisa jumlah atawa ngaran dipaké dina / jsb / jasa (tingali TCP (4P) jeung udp (4P)). Lamun ngaran ieu dipake, duanana jumlah port na protokol anu dipariksa. Lamun jumlah atawa ambigu ngaran ieu dipaké, ngan jumlah port geus dipariksa (misalna port DST 513 baris nyitak duanana TCP / lalulintas login na udp / anu lalulintas, sarta port domain baris nyitak duanana TCP / domain na udp lalulintas / domain).

src port port

Leres upami pakét ngabogaan nilai port sumber port.

port port

Leres upami boh sumber atawa tujuan port of pakét kasebut port. Salah sahiji ungkapan port luhur bisa prepended kalayan kecap konci, TCP atanapi udp, saperti dina:

TCP port port src

mana cocog ukur pakét TCP anu port sumber nyaéta port.

kirang panjang

Leres upami pakét ngabogaan panjang kurang atawa sarua jeung panjangna. Ieu sarua jeung:

Ilen <= panjangna.

panjang gede

Leres upami pakét ngabogaan panjang anu gede ti atawa sarua jeung panjangna. Ieu sarua jeung:

Ilen> = panjangna.

protokol proto ip

Leres upami pakét anu mangrupa pakét IP (tingali ip (4P)) tina tipe protokol protokol. Protocol tiasa jumlah atawa salah sahiji ngaran icmp, icmp6, igmp, igrp, PIM, ah, esp, vrrp, udp, atawa TCP. Catetan yén identifiers TCP, udp, sarta icmp oge Konci na kudu lolos via backslash (\), nu \\ di C-cangkang. Catetan yen ieu primitif teu ngudag éta ranté protokol lulugu.

protokol proto ip6

Leres upami pakét anu mangrupa pakét IPv6 sahiji jenis protokol protokol. Catetan yen ieu primitif teu ngudag éta ranté protokol lulugu.

protokol protochain ip6

Leres upami pakét kasebut pakét IPv6, sarta ngandung header protokol jeung protokol tipe dina ranté protokol lulugu na. Salaku conto,

ip6 protochain 6

cocog sagala pakét IPv6 kalawan lulugu protokol TCP dina ranté protokol lulugu. pakét nu bisa ngandung, contona, lulugu auténtikasi, routing lulugu, atawa hop-demi-hop pilihan lulugu, antara lulugu IPv6 na lulugu TCP. Kodeu BPF dipancarkeun ku primitif ieu rumit sarta teu bisa dioptimalkeun ku BPF kode optimizer di tcpdump, jadi ieu tiasa rada slow.

protokol protochain ip

Sarua jeung protokol ip6 protochain, tapi ieu téh kanggo IPv4.

siaran éter

Leres upami pakét anu mangrupa pakét siaran Ethernet. The keyword éter mangrupa pilihan.

siaran ip

Leres upami pakét anu mangrupa siaran pakét IP. Eta cek boh dina sagala-zeroes tur sagala-leuwih disiarkeun Konvénsi, sarta Sigana nepi ka subnet topeng lokal.

multicast éter

Leres upami pakét anu mangrupa pakét Ethernet multicast. The keyword éter mangrupa pilihan. Ieu shorthand keur `éter [0] & 1! = 0 '.

ip multicast

Leres upami pakét anu mangrupa pakét IP multicast.

ip6 multicast

Leres upami pakét anu mangrupa multicast pakét IPv6.

protokol proto éter

Leres upami pakét kasebut tina protokol tipe éter. Protocol tiasa jumlah atawa salah sahiji ngaran ip, ip6, Dukupuntang, rarp, atalk, aarp, decnet, sca, iwung, mopdl, moprc, ISO, STP, ipx, atawa netbeui. Catetan identifiers ieu ogé kecap konci na kudu lolos via backslash (\).

[Dina kasus FDDI (misalna `fddi protokol Dukupuntang ') jeung token Ring (misalna` TR protokol Dukupuntang'), keur paling jalma protokol, identifikasi protokol asalna tina 802,2 Patalina Control (LLC) lulugu Logis, anu biasana layered di luhur tina FDDI atawa token Ring lulugu.

Nalika nyaring pikeun paling identifiers protokol on FDDI atawa token Ring, cék tcpdump ukur protokol ID widang hiji lulugu LLC di disebut format snap kalawan Unit identifier Organisasi (OUI) tina 0x000000, pikeun Ethernet encapsulated; teu pariksa naha pakét nu aya dina format snap kalawan OUI of 0x000000.

The éntitas téh ISO, nu eta cek nu DSAP (tujuan Service Aksés Point) jeung SSAP (Sumber Service Aksés Point) huma tina LLC lulugu, STP na netbeui, dimana eta cek nu DSAP tina LLC lulugu, jeung atalk, dimana eta cék pikeun pakét snap-format mibanda hiji OUI of 0x080007 jeung etype Appletalk.

Dina kasus Ethernet, tcpdump cek widang tipe Ethernet pikeun kalolobaan jalma protokol; nu éntitas téh ISO, geutah, sarta netbeui, nu eta cek kanggo hiji 802,3 pigura lajeng cek lulugu LLC sakumaha hancana pikeun FDDI na token Ring, atalk, dimana eta cek duanana keur etype Appletalk dina pigura Ethernet jeung pikeun packet snap-format saperti hancana pikeun FDDI na token Ring, aarp, dimana eta cek kanggo etype Appletalk Dukupuntang di boh hiji pigura Ethernet atawa hiji pigura 802,2 snap kalawan OUI of 0x000000, sarta ipx, dimana eta cek kanggo IPX etype di hiji pigura Ethernet, anu IPX DSAP dina LLC lulugu, anu 802,3 kalawan henteu LLC lulugu encapsulation of IPX, sarta etype IPX dina pigura snap.]

host src decnet

Leres upami alamat sumber DECNET nyaeta host, nu bisa jadi alamatna di formulir `` 10,123 '', atawa ngaran host DECNET. [DECNET rojongan ngaran host teh ngan aya dina sistim Ultrix nu ngonpigurasi ka ngajalankeun DECNET.]

DST host decnet

Leres upami alamat tujuan DECNET nyaeta host.

host host decnet

Leres upami boh sumber DECNET atawa alamat tujuan téh host.

ip, ip6, Dukupuntang, rarp, atalk, aarp, decnet, ISO, STP, ipx, netbeui

Singkatan pikeun:

éter proto p

dimana p mangrupakeun salah sahiji protokol luhur.

iwung, moprc, mopdl

Singkatan pikeun:

éter proto p

dimana p mangrupakeun salah sahiji protokol luhur. Catet yén tcpdump teu ayeuna teu terang kumaha carana parse protokol ieu.

vlan [vlan_id]

Leres upami pakét anu mangrupa pakét IEEE 802.1Q VLAN. Mun [vlan_id] ieu dieusian, ukur leres téh pakét nu boga vlan_id dieusian. Catetan yén keyword vlan munggaran encountered dina ekspresi robah offsets decoding keur sésana tina éksprési dina asumsi yen pakét mangrupa pakét VLAN.

TCP, udp, icmp

Singkatan pikeun:

ip proto p atanapi ip6 proto p

dimana p mangrupakeun salah sahiji protokol luhur.

protokol proto ISO

Leres upami pakét anu mangrupa pakét OSI sahiji jenis protokol protokol. Protocol tiasa jumlah atawa salah sahiji ngaran clnp, esis, atawa ISIS.

clnp, esis, ISIS

Singkatan pikeun:

ISO proto p

dimana p mangrupakeun salah sahiji protokol luhur. Catet yén tcpdump teu hiji pakasaban lengkep ngeunaan FITML protokol ieu.

expr relop expr

Leres upami hubunganna nahan, dimana relop mangrupakeun salah sahiji>, <,> =, <=, =,! =, Sarta expr mangrupa ekspresi arithmetic diwangun ku konstanta integer (dinyatakeun dina rumpaka C baku), nu operator binér normal [+ , -, *, /, &, |], hiji operator panjangna, sarta husus accessors data packet. Pikeun ngakses data jero pakét anu, nganggo rumpaka di handap ieu:

proto [expr: ukuranana]

Proto anu salah sahiji éter, fddi, TR, PPP, dieunakeun, link, ip, Dukupuntang, rarp, TCP, udp, icmp atanapi ip6, sarta nuduhkeun lapisan protokol pikeun operasi indéks. (Éter, fddi, TR, PPP, dieunakeun sarta numbu sadayana tingal lapisan link.) Catet yén TCP, udp sarta séjén aksara-lapisan jenis protokol ngan dilarapkeun ka IPv4, moal IPv6 (ieu bakal dibenerkeun dina mangsa nu bakal datang). The bait offset, dulur ka lapisan protokol dituduhkeun, dirumuskeun ku expr. Ukuranana pilihan jeung nuduhkeun jumlah bait dina widang kapentingan; eta tiasa boh hiji, dua, atawa opat, tur ingkar ka hiji. Panjang operator, ditandaan ku Ilen keyword, témbong panjang pakét anu.

Contona, `éter [0] & 1! = 0 'nangkeupan sadayana lalulintas multicast. Babasan `ip [0] & 0xf! = 5 'nangkeupan sadayana pakét IP kalawan pilihan. Babasan `ip [6: 2] & 0x1fff = 0 'nangkeupan ukur datagrams unfragmented na frag enol ngeunaan datagrams fragmented. Cek ieu implicitly dilarapkeun ka TCP jeung indéks udp operasi. Contona, TCP [0] salawasna hartina bait mimiti lulugu TCP, sarta pernah hartina bait mimiti hiji peupeusan intervening.

Sababaraha offsets tur nilai widang bisa ditembongkeun salaku ngaran tinimbang sakumaha nilai numerik. Nuturkeun offsets widang protokol lulugu anu aya: icmptype (ICMP tipe lapangan), icmpcode (ICMP kode lapangan), sarta tcpflags (sawah umbul TCP).

Jinis ICMP handap nilai sawah nu sadia: icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-alihan, icmp-bahana, icmp-routeradvert, icmp-routersolicit, icmp-timxceed, icmp-paramprob, icmp-tstamp, icmp -tstampreply, icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.

Nuturkeun umbul TCP nilai sawah nu sadia: TCP-fin, TCP-syn, TCP-rst, TCP-push, TCP-push, TCP-ack, TCP-urg.

Primitif bisa digabungkeun ngagunakeun:

Hiji grup parenthesized of Primitif sarta operator (kurung téh husus ka Shell jeung kudu lolos).

Negation ( `! 'Atawa` henteu').

Concatenation ( `&& 'atawa` na').

Alternation ( `|| 'atawa` atanapi').

Negation boga precedence pangluhurna. Alternation na concatenation gaduh precedence sarua jeung gaul kénca ka katuhu. Catet yén eksplisit sarta tokens, moal juxtaposition, ayeuna diperlukeun pikeun concatenation.

Mun hiji identifier dirumuskeun tanpa keyword a, anu keyword panganyarna dianggap. Salaku conto,

teu boga imah vs jeung ngajempolan

nyaeta pondok pikeun

teu boga imah vs jeung ngajempolan host

nu teu matak bingung jeung

moal (host vs atanapi ngajempolan)

Alesan ekspresi bisa diliwatan mun tcpdump sakumaha boh argumen tunggal atawa sakumaha sababaraha alesan, whichever téh leuwih merenah. Sacara umum, lamun ekspresi ngandung Shell metacharacters, leuwih gampang pikeun lulus eta salaku tunggal, argumen dicutat. Sababaraha alesan anu disambungkeun jeung spasi saméméh keur parsed.

conto

Pikeun nyitak sadayana pakét anjog di atanapi departing ti sundown:

host sundown tcpdump

Pikeun nyitak lalulintas antara helios na boh panas atanapi ngajempolan:

tcpdump helios host na \ (panas atanapi ngajempolan \)

Pikeun nyitak sadayana pakét IP antara ngajempolan jeung sagala host iwal helios:

tcpdump ip host ngajempolan teu helios

Pikeun nyitak sadayana lalulintas antara sarwa lokal tur sarwa di Berkeley:

tcpdump net ucb-éter

Pikeun nyitak sadayana lalulintas ftp ngaliwatan internét gateway snup: (dicatet yén babasan ieu dicutat pikeun nyegah cangkang tina (mis-) alih basa kurung):

tcpdump 'snup gateway na (port ftp atanapi ftp-data)'

Pikeun nyitak lalulintas ngayakeun sourced tina atawa Linggarjati keur sarwa lokal (lamun gateway hiji net sejen, ieu barang pernah kedah nyieun onto net lokal anjeun).

tcpdump ip na localnet teu net

Pikeun nyitak mimiti na tungtung pakét (nu SYN na fin pakét) unggal paguneman TCP anu ngalibatkeun hiji host non-lokal.

tcpdump 'TCP [tcpflags] & (TCP-syn | TCP-fin)! = 0 teu src na DST localnet net'

Pikeun nyitak pakét IP leuwih panjang batan 576 bait dikirim ngaliwatan gateway snup:

tcpdump 'snup gateway na ip [2: 2]> 576'

Pikeun nyitak IP siaran atawa multicast pakét anu teu dikirim via siaran Ethernet atawa multicast:

tcpdump 'éter [0] & 1 = 0 sarta ip [16]> = 224'

Pikeun nyitak sadayana pakét ICMP anu teu bahana requests / balesan (ie, moal ping pakét):

tcpdump 'icmp [icmptype]! = icmp-bahana na icmp [icmptype]! = icmp-echoreply'

kaluaran format

Kaluaran tcpdump téh gumantung protokol. handap méré pedaran ringkes tur conto paling sahiji format.

Link Level headers

Lamun '-e' pilihan dirumuskeun, lulugu tingkat link ieu dicitak kaluar. Dina ethernets, sumber jeung tujuanana alamat, protokol, jeung panjangna pakét anu dicitak.

Dina jaringan FDDI, anu '-e' pilihan ngabalukarkeun tcpdump pikeun nyitak dina `widang pigura control ', sumber jeung tujuanana alamat, jeung panjangna pakét. (The `pigura control 'sawah ngokolakeunana interpretasi sesa pakét ti pakét Normal (kayaning maranéhanana ngandung datagrams IP) anu` async.' Pakét, ku nilai prioritas antara 0 jeung 7;. Contona, `async4 'sapertos pakét anu dianggap ngandung hiji 802,2 Logis Patalina Control (LLC) packet; nu LLC lulugu anu dicitak lamun teu hiji datagram ISO atawa disebut pakét snap.

Dina jaringan token Ring, anu '-e' pilihan ngabalukarkeun tcpdump pikeun nyitak dina `kontrol aksés 'sarta` pigura control' sawah, sumber jeung tujuanana alamat, jeung panjangna pakét. Salaku on jaringan FDDI, pakét anu dianggap ngandung hiji LLC pakét. Paduli naha '-e' pilihan anu dieusian atanapi henteu, sumber routing informasi anu dicitak pikeun sumber-routed pakét.

(NB: Dadaran handap nganggap familiarity jeung algoritma komprési dieunakeun dijelaskeun dina RFC-1144.)

Dina Tumbu dieunakeun, hiji indikator arah ( `` I '' pikeun inbound, `` O '' pikeun outbound), jenis pakét, sarta informasi komprési anu dicitak kaluar. Jinis pakét anu dicitak munggaran. Tilu jenis anu ip, utcp, sarta ctcp. Taya informasi link salajengna ieu dicitak keur pakét ip. Pikeun pakét TCP, anu identifier sambungan anu dicitak di handap tipe éta. Mun pakét kasebut dikomprés, lulugu dikodekeun na geus dicitak kaluar. Kasusna husus anu dicitak kaluar salaku * S + n na * SA + n, dimana n nyaéta jumlah ku nu jumlah runtuyan (atawa runtuyan angka na ack) geus robah. Mun teu hiji hal husus, enol atawa leuwih parobahan anu dicitak. A robah dituduhkeun ku U (pointer urgent), W (jandela), A (ack), S (jumlah runtuyan), sarta kuring (pakét ID), dituturkeun ku délta a (+ n atawa -n), atawa nilai anyar (= n). Tungtungna, jumlah data dina packet na dikomprés panjangna lulugu anu dicitak.

Contona, garis handap nembongkeun hiji outbound dikomprés TCP pakét, ku hiji sambungan identifier implisit; ack geus robah ku 6, jumlah runtuyan ku 49, sarta ID pakét ku 6; aya 3 bait data na 6 bait of lulugu dikomprés:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Dukupuntang / RARP pakét

Dukupuntang / rarp kaluaran mintonkeun jenis pamundut na alesan na. format nu dimaksudkeun janten explanatory diri. Di dieu téh hiji conto pondok dicokot ti mimiti hiji `rlogin 'ti rtsg host kana imah csam:

Dukupuntang anu-geus csam ngabejaan rtsg Dukupuntang reply csam mangrupa-di CSAM

Garis kahiji nyebutkeun yen rtsg dikirim hiji pakét Dukupuntang nanyakeun keur alamat Ethernet of csam host internét. Csam balesan kalawan alamat Ethernet na (dina conto ieu, alamat Ethernet aya di caps jeung alamat internét bisi handap).

Ieu bakal kasampak kirang kaleuleuwihan lamun urang sempet dipigawé tcpdump -n:

Dukupuntang anu-boga 128.3.254.6 ngabejaan 128.3.254.68 Dukupuntang reply 128.3.254.6 mangrupa-di 02: 07: 01: 00: 01: c4

Mun urang sempet dipigawé tcpdump -e, kanyataan yen pakét munggaran ieu disiarkeun jeung kadua titik-ka-titik bakal katingali:

RTSG Broadcast 0806 64: Dukupuntang anu-geus csam bejakeun rtsg CSAM RTSG 0806 64: Dukupuntang reply csam mangrupa-di CSAM

Keur pakét munggaran ieu nyebutkeun alamat sumber Ethernet nyaeta RTSG, tujuan téh alamat siaran Ethernet, anu tipe widang ngandung hex 0806 (tipe ETHER_ARP) jeung total panjang éta 64 bait.

TCP pakét

(NB: Dadaran handap nganggap familiarity jeung protokol TCP dijelaskeun dina RFC-793 Mun anjeun teu wawuh jeung protokol, ngayakeun pedaran ieu atawa tcpdump bakal of teuing pamakéan ka anjeun..)

The format umum hiji garis protokol TCP nyaeta:

src> DST: pilihan urgent umbul data-seqno ack jandela

Src na DST mangrupakeun sumber na IP tujuan alamat na palabuhan. Umbul sababaraha kombinasi S (SYN), F (fin), P (nyorong) atanapi Sunda (RST) atawa single `. ' (Euweuh umbul). Data-seqno ngajelaskeun porsi spasi runtuyan katutup ku data dina packet ieu (tingali conto dihandap). Ack nyaeta jumlah runtuyan data salajengna dipiharep arah séjén dina sambungan ieu. Jandéla nyaéta jumlah bait of nampi spasi panyangga sadia arah séjén dina sambungan ieu. Urg nunjukkeun aya `urgent 'data dina packet anu. Pilihan téh pilihan TCP enclosed dina kurung sudut (misalna ).

Src, DST jeung umbul nu salawasna hadir. Widang séjén gumantung kana eusi lulugu protokol TCP pakét urang jeung mangrupakeun kaluaran ngan lamun hade.

Di dieu nyaeta bagian bubuka hiji rlogin ti rtsg host kana imah csam.

rtsg.1023> csam.login: S 768512: 768512 (0) meunang 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 meunang 4096 rtsg.1023> csam. lebet: . ack 1 meunang 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 meunang 4096 csam.login> rtsg.1023:. ack 2 meunang 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 meunang 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 meunang 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 meunang 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 meunang 4077 urg 1

Garis kahiji nyebutkeun yen TCP port 1023 on rtsg dikirim pakét ka port login on csam. S nunjukkeun yén bendera SYN ieu disetel. Jumlah runtuyan pakét éta 768512 sarta eta ngandung data henteu. (Notasi ieu `munggaran: panungtungan (nbytes) 'nu hartina` angka runtuyan kahiji nepi ka tapi teu kaasup panungtungan nu nbytes bait of pamaké data'.) Aya aya ack piggy-dijieun, anu nampa jandela sadia éta 4096 bait na aya pilihan max-ruas-ukuran requesting hiji mss of 1024 bait.

Csam balesan ku pakét sarupa iwal eta ngawengku hiji ack piggy-dijieun pikeun SYN rtsg urang. Rtsg lajeng acks SYN csam urang. The `. ' hartina henteu umbul anu disetel. packet anu ngandung data euweuh jadi euweuh angka runtuyan data. Catet yén jumlah runtuyan ack mangrupakeun integer leutik (1). Waktu tcpdump munggaran nilik hiji TCP `paguneman ', eta prints jumlah runtuyan ti pakét anu. Dina pakét saterusna tina paguneman, beda antara jumlah runtuyan pakét ayeuna urang jeung nomer runtuyan awal ieu dicitak. Ieu ngandung harti yén runtuyan nomer sanggeus kahiji bisa diinterpretasi salaku posisi bait relatif dina stream data nu paguneman urang (jeung bait data mimiti unggal arah keur `1 '). `-S 'bakal override fitur ieu, ngabalukarkeun angka runtuyan aslina janten kaluaran.

Dina garis 6, rtsg ngirimkeun csam 19 bait data (bait 2 ngaliwatan 20 di rtsg nu -> samping csam tina paguneman). Bendera nyorong diatur dina packet anu. Dina garis 7, csam nyebutkeun eta nu keur data nu dikirim ku rtsg nepi ka tapi teu kaasup bait 21. Lolobana data ieu tétéla linggih di panyangga stop kontak saprak csam urang nampi jandela geus gotten 19 bait leutik nampi. Csam ogé ngirimkeun hiji bait data ka rtsg dina packet ieu. Dina garis 8 sarta 9, csam ngirimkeun dua bait of urgent, data jeung rtsg kadorong.

Mun snapshot ieu cukup leutik nu tcpdump teu moto lulugu TCP pinuh, eta interprets sakumaha loba lulugu sakumaha mémang lajeng ngalaporkeun `` [| TCP] '' pikeun nandaan sésana teu bisa diinterpretasi. Mun lulugu ngandung hiji pilihan bogus (salah ku panjang éta boh leutik teuing atawa saluareun tungtung lulugu teh), tcpdump ngalaporkeun salaku `` [milih goréng] '' jeung teu naksir sagala pilihan salajengna (saprak éta mungkin mun ngabejaan dimana maranehna mimiti). Lamun panjang lulugu nunjukkeun pilihan nu hadir tapi IP panjangna datagram teu lila cukup keur pilihan pikeun sabenerna jadi aya, tcpdump ngalaporkeun salaku `` [goréng panjangna setelan HDR] ''.

Nyokot deui pakét TCP kalayan kombinasi bandéra tangtu (SYN-ACK, urg-ACK, jsb)

Aya 8 bit dina bagian kadali bit sahiji lulugu TCP:

CWR | ECE | urg | ACK | PSH | RST | SYN | cecepet

Hayu urang nganggap yen urang hoyong nonton deui pakét anu digunakeun dina ngadegkeun sambungan TCP. Ngelingan yen TCP ngagunakeun protokol sasalaman 3-cara lamun eta initializes sambungan anyar; sekuen sambungan kalawan hal ka bit kontrol TCP nyaeta

1) panelepon ngirimkeun SYN

2) panarima responds kalawan SYN, ACK

3) panelepon ngirimkeun ACK

Ayeuna urang resep motret pakét anu kudu mung bit set SYN (Lengkah 1). Perlu dicatet yén urang ulah rék pakét ti hambalan 2 (SYN-ACK), ngan hiji SYN awal polos. Keur naon urang kudu mangrupakeun éksprési filter bener keur tcpdump.

Ngelingan struktur mangrupa lulugu TCP tanpa pilihan:

0 15 31 ----------------------------------------------- ------------------ | port sumber | port tujuan | -------------------------------------------------- --------------- | runtuyan angka | -------------------------------------------------- --------------- | Jumlah pangakuan | -------------------------------------------------- --------------- | hl | rsvd | C | E | U | A | P | Sunda | S | F | Ukuran jandela | -------------------------------------------------- --------------- | TCP checksum | pointer urgent | -------------------------------------------------- ---------------

A lulugu TCP biasana nahan 20 octets data, iwal pilihan anu hadir. Garis mimiti grafik ngandung octets 0 - 3, garis kadua nembongkeun octets 4 - 7 jsb

Dimimitian cacah jeung 0, anu bit kontrol TCP relevan keur dikandung dina octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | hl | rsvd | C | E | U | A | P | Sunda | S | F | Ukuran jandela | ---------------- | --------------- | --------------- | - --------------- | | octet 13th | | |

Hayu urang boga katingal ngadeukeutan di octet euweuh. 13:

| | | --------------- | | C | E | U | A | P | Sunda | S | F | | --------------- | | 7 5 3 0 |

Di handap ieu mangrupakeun TCP kontrol bit urang museurkeun. Urang geus dinomeran ti bit dina octet ieu ti 0 nepi ka 7, katuhu ka kenca, sahingga bit PSH nyaéta bit angka 3, sedengkeun bit urg nya angka 5.

Ngelingan yen hayang urang candak pakét sareng hijina SYN set. Hayu urang tingali naon kajadian mun octet 13 lamun a datagram TCP datang jeung bit SYN disetél dina header na:

| C | E | U | A | P | Sunda | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Pilari di bit kontrol bagian urang tingali yen ngan saeutik jumlahna 1 (SYN) tos disetel.

Anggap octet angka 13 mangrupa 8-bit integer unsigned dina urutan jaringan bait, anu nilai binér of octet ieu

00000010

tur ngagambarkeun decimal nyaeta

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Arurang ampir rengse, sabab ayeuna urang nyaho yen lamun ukur SYN diatur, nilai octet 13th di header TCP, nalika diinterpretasi salaku 8-bit integer unsigned dina urutan jaringan bait, kudu persis 2.

Hubungan ieu bisa ditembongkeun salaku

TCP [13] == 2

Urang bisa make ekspresi ieu salaku filter pikeun tcpdump dina urutan nonton deui pakét anu kudu ngan SYN set:

tcpdump -i xl0 TCP [13] == 2

babasan nyebutkeun "hayu di octet 13th of a datagram TCP boga nilai decimal 2", nu kahayang urang hayang.

Ayeuna, hayu urang nganggap yen urang kedah candak pakét SYN, tapi kami teu paduli lamun ACK atawa bit kontrol TCP sejenna diatur dina waktos anu sareng. Hayu urang tingali naon kajadian mun octet 13 lamun datagram TCP kalawan SYN-ACK set datang:

| C | E | U | A | P | Sunda | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Ayeuna bit 1 sarta 4 anu diatur dina octet 13th. Nilai binér of octet 13 nyaéta


00010010

nu ditarjamahkeun kana decimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Ayeuna urang teu bisa ngan make 'TCP [13] == 18' dina ekspresi tcpdump filter, sabab eta bakal milih ngan maranéhanana pakét anu kudu SYN-ACK set, tapi moal maranéhanana kalayan ngan set SYN. Inget yen urang teu paduli lamun ACK atawa bit kadali sejen diatur salami diatur SYN.

Dina raraga ngahontal éta tujuan urang, urang kudu logis AND nilai binér of octet 13 kalawan sababaraha nilai lianna pikeun ngawétkeun bit SYN. Urang terang yen urang hoyong SYN bisa diatur dina sagala hal, sangkan gé logis AND nilai dina octet 13th jeung nilai binér of SYN a:

00010010 SYN-ACK 00000010 SYN AND 00000010 (urang hoyong SYN) AND 00000010 (urang hoyong SYN) -------- -------- = 00000010 = 00000010

Urang nempo yén ieu AND operasi delivers hasil sarua henteu paduli naha ACK atanapi bit kontrol TCP sejen tos disetel. The ngagambarkeun decimal tina AND nilai salaku ogé hasil operasi ieu 2 (biner 00000010), sangkan nyaho yen keur pakét sareng SYN ngeset hubungan handap kedah tahan leres:

((Nilai octet 13) AND (2)) == (2)

Ieu nunjuk urang jeung ekspresi tcpdump filter

tcpdump -i xl0 'TCP [13] & 2 == 2'

Catet yén anjeun kedah nganggo tanda petik tunggal atawa backslash di ekspresi pikeun nyumputkeun AND ( '&') karakter husus tina cangkang.

UDP pakét

format UDP ieu gambar ku pakét rwho ieu:

actinide.who> broadcast.who: udp 84

Ieu nyebutkeun yen port anu on actinide host dikirim hiji datagram udp ka port anu dina siaran host, alamat siaran Internet. pakét nu ngandung 84 bait data pamaké.

Sababaraha layanan UDP anu dipikawanoh (ti sumber atawa port tujuan angka) jeung informasi protokol tingkat luhur dicitak. Dina sababaraha hal, requests Domain jasa Ngaran (RFC-1034/1035) jeung Sun RPC nyaéta panggero (RFC-1050) jeung NFS.

UDP Ngaran Server requests

(NB: Dadaran handap nganggap familiarity jeung protokol Service Domain dijelaskeun dina RFC-1035 Mun anjeun teu wawuh jeung protokol, anu pedaran di handap bakal muncul bisa ditulis dina Yunani..)

requests ngaran server nu formatna sakumaha

src> DST: id op? umbul qtype ngaran qclass (yud) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Imah h2opolo nanya ka server domain on helios pikeun hiji catetan alamat (qtype = A) pakait jeung ngaran ucbvax.berkeley.edu. Pamundut id éta `3 '. The `+ 'nunjukeun recursion bendera dipikahoyong ieu disetel. Panjang query éta 37 bait, teu kaasup UDP na IP headers protokol. Operasi query éta hiji normal, pamundut, jadi widang op ieu disingkahkeun. Mun op nu geus lain nanaon, éta bakal geus dicitak antara `3 'jeung` +'. Nya kitu qclass ieu hiji normal, C_IN, sarta disingkahkeun. Sagala qclass sejenna bakal geus dicitak langsung saatos di `A '.

Sababaraha anomali anu dipariksa jeung bisa hasil dina widang tambahan enclosed dina kurung pasagi: Upami query a ngandung jawaban, rékaman otoritas atanapi rékaman tambahan bagian, ancount, nscount, atawa arcount anu dicitak sakumaha `[n a] ',` [n n ] 'atawa `[n au]' dimana n ngarupakeun count luyu. Lamun salah sahiji bit respon anu diatur (AA, Nyai atanapi rcode) atawa salah sahiji `kudu enol 'bit nu disetél dina bait dua sarta tilu,` [b2 & 3 = x]' anu dicitak, numana x ngarupakeun nilai hex tina lulugu bait dua sarta tilu.

UDP Ngaran Server Responses

réspon ngaran server nu formatna sakumaha

src> DST: id umbul op rcode a / n / au tipe data kelas (yud) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Dina conto kahiji, helios responds kana pamundut id 3 ti h2opolo kalawan 3 jawaban rékaman, 3 rékaman ngaran pangladen tur 7 rékaman tambahan. Catetan jawaban kahiji nyaeta ngetik A (alamat) jeung datana nyaéta alamatna internét 128.32.137.3. Ukuran total ngeunaan respon ieu 273 bait, kaasup UDP na IP headers. The op (pamundut) jeung kode response (NoError) anu disingkahkeun, saperti ieu di kelas (C_IN) tina catetan A.

Dina conto anu kadua, helios responds kana pamundut 2 kalawan kode response ti domain non-existent (NXDomain) kalawan henteu waleran, salah ngaran pangladen tur euweuh rékaman otoritas. The `* 'nunjukkeun yén bit jawaban nulis ieu disetel. Kusabab aya no waleran, teu tipe, kelas atawa data anu dicitak.

Karakter bendera lianna nu bisa muncul mangrupakeun `- '(recursion sadia, Nyai, teu diatur) jeung` |' (Truncated dipilampah, TC, pakakas). Mun nu `sual 'bagian henteu ngandung persis salah Éntri,` [n q]' geus dicitak.

Catet yén ngaran requests server na réspon condong jadi badag sarta standar anu snaplen of 68 bait teu moto cukup tina pakét pikeun nyitak. Paké bendera -s ngaronjatkeun snaplen lamun kudu serius nalungtik lalulintas server ngaran. `-s 128 'geus digawé ogé pikeun kuring.

SMB / CIFS decoding

tcpdump kiwari ngawengku cukup éksténsif SMB / CIFS / NBT decoding pikeun data di UDP / 137, UDP / 138 sarta TCP / 139. Sababaraha decoding primitif of IPX na NetBEUI data SMB ieu ogé dipigawé.

Sacara standar a maca tatanda cukup minimal geus rengse, ku maca tatanda leuwih lengkep dipigawé lamun -V dipaké. Jadi miélingkeun yén kalawan -va pakét SMB tunggal butuh nepi kaca atawa leuwih, jadi ngan make -V lamun rék sagala rinci gory.

Mun anjeun decoding sesi SMB ngandung string Unicode lajeng anjeun keukeuh diatur lingkungan variabel USE_UNICODE ka 1. A patch ka otomatis-ngadeteksi srings Unicode bakal wilujeng sumping.

Pikeun émbaran dina format pakét SMB na naon sagala widang te hartosna ningali www.cifs.org atawa pub / Samba / specs / diréktori dina situs eunteung samba.org favorit Anjeun. The patches SMB anu ditulis ku Andrew Tridgell (tridge@samba.org).

Requests NFS tur balesan

Sun NFS (Network File System) requests tur balesan anu dicitak salaku:

src.xid> dst.nfs: args op Ilen src.nfs> dst.xid: reply stat Ilen hasil op sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: bales ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: bales ok 128 lookup fh 9,74 / 4134.3150

Dina garis kahiji, host sushi ngirimkeun hiji urus ku id 6709 nepi wrl (dicatet yén jumlah nuturkeun host src nyaéta id urus, teu port sumber). pamundut ieu 112 bait, kaasup nu UDP na IP headers. Operasi ieu readlink (baca link simbolis) dina file cecekelan (fh) 21,24 / 10.731657119. (Mun hiji nyaeta lucky, saperti dina hal ieu, file cecekelan bisa diinterpretasi salaku utama, minor pasangan angka alat, dituturkeun ku jumlah inode jeung nomer generasi.) Wrl balesan `ok 'kalawan eusi link.

Dina garis katilu, sushi naroskeun wrl mun lookup nami `xcolors 'dina diréktori file 9,74 / 4096.6878. Catetan yén data dicitak gumantung kana tipe operasi. format nu dimaksudkeun pikeun diri explanatory lamun maca ditéang jeung hiji NFS protokol Spesifikasina.

Lamun -V (verbose) bandéra ieu dibéré, émbaran tambahan anu dicitak. Salaku conto:

sushi.1372a> wrl.nfs: 148 baca fh 21,11 / 12,195 8192 bait @ 24576 wrl.nfs> sushi.1372a: bales ok 1472 baca Reg 100664 Gajah Mungkur 417/0 sz 29388

(-V ogé prints lulugu IP TTL, ID, panjangna, sarta widang fragméntasi, anu geus disingkahkeun ti conto ieu.) Dina garis kahiji, sushi miwarang wrl maca 8192 bait ti file 21,11 / 12.195, dina bait offset 24576. Wrl balesan `ok '; pakét ditémbongkeun dina garis kadua nya éta sempalan mimiti reply, sarta ku kituna aya ukur 1472 bait lila (dina bait lianna bakal nuturkeun dina fragmen saterusna, tapi popotongan ieu teu boga NFS atawa malah headers UDP tur jadi bisa teu dicitak, gumantung kana ekspresi filter dipaké). Kusabab bendera -V dirumuskeun, sababaraha atribut file (nu balik salian data file) anu dicitak: jinis file ( `` Reg '', keur file biasa), mode file (dina octal), nu uid na gid, sarta ukuran file.

Mun bendera -V dirumuskeun leuwih ti sakali, sanajan leuwih rinci anu dicitak.

Catet yén requests NFS pisan badag jeung loba jéntré moal dicitak iwal snaplen ngaronjat. Coba maké `-s 192 'nonton lalulintas NFS.

NFS pakét reply teu eksplisit ngaidentipikasi operasi RPC. Gantina, tcpdump nyimpen jejak `` panganyarna '' requests, sarta cocog aranjeunna kana balesan ngagunakeun ID urus. Mun reply a henteu raket turutan pakait pamundut, éta bisa jadi parsable.

Requests AFS tur balesan

Transarc AFS (Andrew File System) requests tur balesan anu dicitak salaku:

src.sport> dst.dport: rx packet-tipe src.sport> dst.dport: rx packet-jenis layanan panggero panggero-ngaran args src.sport> dst.dport: rx packet-jenis layanan reply panggero-ngaran args Elvis. 7001> pike.afsfs: data rx fs nelepon ngaganti ngaran heubeul fid 536876964/1/1 ".newsrc.new" anyar fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: fs data rx ngawalon ganti ngaran

Dina garis kahiji, host Elvis ngirimkeun hiji pakét RX ka Pike. Ieu hiji pakét data RX ka fs jasa (fileserver), sarta nyaéta mimiti hiji panggero RPC. The RPC panggero éta ganti ngaran hiji, jeung id heubeul file diréktori of 536876964/1/1 na hiji Ngaran koropak heubeul tina `.newsrc.new ', sarta id file diréktori anyar 536876964/1/1 sarta Ngaran koropak anyar`. newsrc '. The Pike host responds ku reply RPC kana panggero ganti ngaran (anu éta sukses, sabab éta hiji pakét data teu hiji pakét abort).

Sacara umum, sakabeh AFS RPCs anu dikirim sahanteuna ku Ngaran RPC panggero. Paling AFS RPCs mibanda sahanteuna sababaraha alesan anu dikirim (umumna mung `metot 'alesan, pikeun sababaraha harti metot).

format nu dimaksudkeun janten timer ngajéntrékeun, tapi sigana moal jadi mangpaat pikeun jalma anu teu wawuh jeung workings of AFS na RX.

Mun -V nu (verbose) bendera dirumuskeun dua kali, pakét pangakuan sarta informasi lulugu tambahan anu dicitak, kayaning nu ID nu RX panggero, nelepon nomer, angka runtuyan, angka serial, jeung umbul pakét RX.

Mun bendera -V dirumuskeun dua kali, émbaran tambahan anu dicitak, kayaning nu ID nu RX panggero, angka serial, jeung umbul pakét RX. The MTU informasi badami ogé dicetak mulai RX pakét ack.

Mun bendera -V dirumuskeun tilu kali, indéks kaamanan sarta layanan id anu dicitak.

Konci kasalahan anu dicitak keur pakét abort, iwal Ubik pakét lantera (sabab pakét abort anu dipaké pikeun signify hiji sora enya pikeun protokol Ubik).

Catet yén requests AFS pisan badag jeung loba nu alesan moal dicitak iwal snaplen ngaronjat. Coba maké `-s 256 'nonton lalulintas AFS.

AFS ngawalon pakét teu eksplisit ngaidentipikasi operasi RPC. Gantina, tcpdump nyimpen jejak `` panganyarna '' requests, sarta cocog aranjeunna kana balesan ngagunakeun jumlah panggero jeung ID jasa. Mun reply a henteu raket turutan pakait pamundut, éta bisa jadi parsable.

Kip Appletalk (DDP di UDP)

Appletalk pakét DDP encapsulated di datagrams UDP anu de-encapsulated sarta kasusun loba di sakumaha pakét DDP (ie, kabeh informasi lulugu dina UDP geus dipiceun). The /etc/atalk.names file ieu dipaké pikeun narjamahkeun angka appletalk net na titik ka ngaran. Garis dina file ieu mibanda bentuk

Jumlah ngaran 1,254 éter 16,1 icsd-net 1.254.110 ngajempolan

Dua garis kahiji méré ngaran jaringan appletalk. Garis katilu méré ngaran hiji host tinangtu (a host anu dibédakeun ti net hiji ku octet 3rd di angka - angka net kudu boga dua octets sarta jumlahna host kudu boga tilu octets.) Jumlah anu na ngaran kudu dipisahkeun ku whitespace (blanks atawa tab). The /etc/atalk.names file mungkin ngandung garis kosong atawa garis comment (garis dimimitian ku `# ').

alamat Appletalk anu dicitak dina wangun:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Mun di /etc/atalk.names teu aya atanapi teu ngandung hiji Éntri pikeun sababaraha appletalk host angka / net, alamat anu dicitak dina formulir numerik.) Dina conto kahiji, NBP (DDP port 2) dina net 144,1 titik 209 ieu ngirim ka naon anu ngadengekeun on port 220 tina titik icsd net 112. The garis kadua sami iwal nami lengkep tina titik sumber ieu dipikawanoh ( `kantor '). Garis katilu nyaéta kirim ti port 235 on net jssmag titik 149 nepi disiarkeun dina port NBP icsd-net (dicatet yén alamat siaran (255) geus dituduhkeun ku ngaran net kalawan euweuh angka host - pikeun alesan kieu éta mangrupakeun ide nu sae tetep ngaran titik jeung ngaran net béda dina /etc/atalk.names).

NBP (ngaran mengikat protokol) jeung ATP (protokol urus Appletalk) pakét boga eusi bisa diinterpretasi. protokol sejen ngan dump nami protokol (atawa angka lamun euweuh ngaran anu didaptarkeun pikeun protokol) jeung ukuranana pakét.

Pakét NBP nu formatna kawas conto di handap ieu:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Garis kahiji nyaéta lookup pamundut ngaran pikeun laserwriters dikirim ku host icsd net 112 tur disiarkeun dina jssmag net. The nbp id pikeun lookup nyaeta 190. nu garis kadua nembongkeun reply pikeun pamundut ieu (dicatet yén éta boga id nu sami) ti jssmag.209 host nyebutkeun yen mibanda sumberdaya laserwriter ngaranna "RM1140" didaptarkeun dina port 250. katilu nu garis nyaeta reply sejen kana pamundut sarua nyebutkeun techpit host geus laserwriter "techpit" didaptarkeun dina port 186.

Pormat pakét ATP nunjukkeun ku conto di handap:

jssmag.209.165> helios.132: ATP-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: ATP-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209,165: ATP-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: ATP-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: ATP-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: ATP-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: ATP-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: ATP-req * 12267 <0 -7> 0xae030002

Jssmag.209 initiates urus id 12266 kalawan helios host ku requesting nepi ka 8 pakét (nu `<0-7> '). Jumlah hex di ahir jalur ngarupakeun nilai tina `widang userdata 'dina pamundut ti.

Helios responds kalawan 8 pakét 512-bait. The `: angka 'nuturkeun id urus méré jumlah runtuyan pakét dina urus jeung jumlah dina parens nyaeta jumlah data dina packet anu, kaasup lulugu ATP. The `* 'dina packet 7 nunjukkeun yén bit EOM ieu disetel.

Jssmag.209 lajeng requests nu pakét 3 & 5 jadi retransmitted. Helios resends aranjeunna lajeng jssmag.209 Kaluaran urus. Tungtungna, jssmag.209 initiates paménta salajengna. The `* 'dina pamundut nu nunjukkeun yén XO (` persis sakali') teu disetel.

IP fragméntasi

Fragmented datagrams Internet anu dicitak sakumaha

(frag id: ukuranana @ offset +) (frag id: ukuranana @ offset)

(Bentuk kahiji nunjukkeun aya deui popotongan. Nu kadua nunjukkeun ieu teh sempalan panungtungan.)

Id teh sempalan id. Ukuranana ukuran sempalan (dina bait) kaasup lulugu IP. Offset mangrupakeun sempalan ieu urang offset (dina bait) dina datagram aslina.

Informasi sempalan mangrupa kaluaran pikeun tiap sempalan. The sempalan mimiti ngandung lulugu protokol tingkat luhur sarta info frag geus dicitak sanggeus info protokol. Popotongan sanggeus kahiji ngandung euweuh lulugu protokol tingkat luhur sarta info frag geus dicitak sanggeus sumber jeung tujuanana alamat. Contona, di dieu téh bagian tina hiji ftp ti arizona.edu mun lbl-rtsg.arpa leuwih sambungan CSNET anu henteu muncul pikeun nanganan 576 datagrams bait:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 meunang 4096 (frag 595a: 328 @ 0 +) Arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 meunang 2560

Aya sababaraha hal anu dicatet didieu: Kahiji, alamat di 2nd garis teu kaasup nomer port. Ieu alatan dina émbaran protokol TCP téh sadayana dina sempalan munggaran tur urang boga pamanggih naon port atawa runtuyan angka anu mun urang nyitak popotongan engké. Kadua, informasi runtuyan TCP di garis hareup geus dicitak sakumaha lamun aya 308 bait of pamaké data nalika, kanyataanna, aya 512 bait (308 dina frag munggaran tur 204 dina detik). Lamun Anjeun keur pilari liang dina spasi sekuen atawa nyoba cocog up acks kalawan pakét, ieu tiasa fool anjeun.

A pakét jeung IP teu sempalan bandéra ieu ditandaan ku labuh (dF).

Timestamps

Sacara standar, sadaya garis kaluaran anu dimimitian ku timestamp a. timestamp mangrupa waktu jam ayeuna dina wangun

hh: mm: ss.frac

sarta nyaéta salaku akurat sakumaha jam kernel urang. timestamp nu ngagambarkeun waktos kernel kahiji nempo pakét anu. Taya usaha anu dilakukeun pikeun akun keur waktu lag antara nalika antarbeungeut Ethernet dihapus pakét ti kawat sarta nalika kernel anu serviced nu `pakét anyar 'ngeureunkeun.

Baca ogé

lalulintas (1C), nit (4P), bpf (4), pcap (3)

Nu penting: Paké paréntah lalaki (% lalaki) ningali kumaha paréntah nu dipaké dina komputer husus Anjeun.

Alike posts

Kumaha Ka nyambung ke Internet Maké The Linux Ubuntu Komando Line

Linux Ubuntu

Kumaha Ka Jieun A Hexdump Of A File Atawa string téks

Linux Ubuntu

Hosts.deny - Komando Linux Ubuntu - Unix Komando

Linux Ubuntu

Diajar dina Komando Linux Ubuntu - iwpriv

Linux Ubuntu

Kumaha Ka administer Grup Jeung gpasswd

Linux Ubuntu

Ngawangun Daptar Iterators Ku Linux Ubuntu "foreach" Komando

Linux Ubuntu

Linux Ubuntu / Unix Komando: Id

Linux Ubuntu

Conto migunakeun tina Linux Ubuntu Komando pos

Linux Ubuntu

Ramo - Linux Ubuntu / Unix Komando

Linux Ubuntu

See Newest

Naon téh Digital Audio Player (DAP)?

Web & Search

Ninite: Naon Ieu Dupi jeung Cara Paké Éta

Windows

Ikhtisar TV boléd LG 65EC9700 4k Ultra HD

Harita produk

Kumaha Atur Up iTunes genius

IPhone & iPod

Kumaha Mimitian Windows Vista di Mode Aman

Windows

Naon Dupi Malware?

Sapid posts

Kumaha Ka nampa telepon on Gmail

Email & Olahtalatah

Naon Dupi hiji payil EAP?

Windows

Pelat percetakan

Software

Bubuka ka Imah nyambung

Anyar & salajengna

Kumaha Selapkeun Nomer Page on Master Kaca di Adobe InDesign CC 2015

Software

Sateuacan Anjeun Janten hiji leupas Mobile App pamekar

Web & Search

Naon mangrupa OBD2 Bluetooth adaptor?

Tech mobil

Hambalan gampang pikeun Nyieun vCard dina MS Outlook na Outlook Express

Email & Olahtalatah

Google Chromecast Line Produk - diropéa Jeung Chromecast Ultra

Harita produk

Kumaha Paké Poto on Apple TV

Imah Teater

Bubuka keur Latency on Jaringan Komputer

Internét & Network

Kumaha Bookmark anjeun MSN Hotmail Koropak

Email & Olahtalatah

Kumaha Fix: I Hilap Sandi atanapi kodeu aksés abdi iPad urang

IPad

Mangpaat sampel tina Linux Ubuntu ftp Komando

Linux Ubuntu

Naon Dupi hiji Pindah dip?

Windows

Patarosan umum sarta Jawaban dina Modél OSI Network

Internét & Network