Tcpdump - Kòmandman Linux - UNIX Kòmandman

NON

tcpdump - trafik pil fatra sou yon rezo

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c konte ]

[ -C file_size ] [ -F dosye ]

[ -i koòdone ] [ -m modil ] [ -r dosye ]

[ -s snaplen ] [ -T tip ] [ -U itilizatè ] [ -w dosye ]

[ -E algo: sekrè ] [ ekspresyon ]

DESKRIPSYON

Tcpdump simagri soti tèt yo nan pake sou yon koòdone rezo ki matche ak ekspresyon an boolean. Li kapab tou kouri ak -w drapo a, ki lakòz li pou konsève pou done pake yo nan yon dosye pou analiz pita, ak / oswa avèk -r drapo a, ki lakòz li li nan yon dosye pake sove olye ke li pake soti nan yon koòdone rezo. Nan tout ka yo, sèlman pake ki koresponn ak ekspresyon yo pral trete pa tcpdump .

Tcpdump pral, si se pa kouri ak -c drapo a, kontinye kaptire pake jouk li se koupe pa yon siyal SIGINT (pwodwi, pou egzanp, pa tape karaktè entèwonp ou, tipikman kontwòl-C) oswa yon siyal SIGTERM (tipikman pwodwi ak touye a (1) lòd); si kouri ak drapo a -c , li pral pran pake jouk li se koupe pa yon siyal SIGINT oswa siyal oswa nimewo a espesifik nan pake yo te trete.

Lè tcpdump fini kaptire pake, li pral rapòte konte nan:

pake "te resevwa pa filtre '' (siyifikasyon sa a depann sou eksplwatasyon an sou ki w ap kouri tcpdump , epi pètèt sou wout la eksplwatasyon an te configuré - si yon filtè te espesifye sou liy lan bay lòd, sou kèk OSES li konte pake kèlkeswa si yo te matche ak ekspresyon filtre a, ak sou OSES lòt li konte sèlman pake ki te matche ak ekspresyon filtre a ak yo te trete pa tcpdump );

pake ki te tonbe pa kernel '(sa a se kantite pake ki te tonbe, akòz yon mank de espas pezib, pa pake a mekanis kaptire nan eksplwatasyon an sou ki tcpdump ap kouri, si eksplwatasyon an rapòte ke enfòmasyon nan aplikasyon pou; si se pa, li pral rapòte kòm 0).

Sou tribin ki sipòte siyal SIGINFO la, tankou pifò BSD yo, li pral rapòte moun ki konte lè li resevwa yon siyal SIGINFO (pwodwi, pou egzanp, lè ou tape karaktè "status" ou, tipikman kontwòl-T) epi yo pral kontinye kaptire pake .

Pake Lekti ki soti nan yon koòdone rezo ka mande pou ou gen privilèj espesyal:

Anba SunOS 3.x oswa 4.x avèk NIT oswa BPF:

Ou dwe gen aksè a / dev / nit oswa / dev / bpf * .

Anba Solaris ak DLPI:

Ou dwe gen aksè lekti / ekri nan rezo pseudo rezo a, egzanp / dev / le . Sou omwen kèk vèsyon an Solaris, sepandan, sa a se pa ase yo ki pèmèt tcpdump pran nan mòd promiscuous; sou vèsyon sa yo nan Solaris, ou dwe rasin, oswa tcpdump yo dwe enstale setuid nan rasin, yo nan lòd yo pran nan mòd promiscuous. Remake byen ke, sou anpil (petèt tout) interfaces, si ou pa pran nan mòd promiscuous, ou pa pral wè nenpòt ki pake sortan, se konsa yon kaptire pa fè nan mòd promiscuous pa ka trè itil.

Anba HP-UX ak DLPI:

Ou dwe rasin oswa tcpdump dwe enstale setuid nan rasin.

Anba IRIX ak snoop:

Ou dwe rasin oswa tcpdump dwe enstale setuid nan rasin.

Anba Linux:

Ou dwe rasin oswa tcpdump dwe enstale setuid nan rasin.

Anba Ultrix ak Digital UNIX / Tru64 UNIX:

Nenpòt itilizatè ka pran trafik rezo ak tcpdump . Sepandan, pa gen okenn itilizatè (pa menm itilizatè a super) ka pran nan mòd promiscuous sou yon koòdone sòf si itilizatè a super te pèmèt operasyon promiscuous-mòd sou ki koòdone lè l sèvi avèk pfconfig (8), e pa itilizatè (pa menm super-itilizatè a ) ka pran unicast trafik resevwa pa oswa voye pa machin nan sou yon koòdone amwenske super-itilizatè a pèmèt kopi-tout-mòd operasyon sou ki koòdone lè l sèvi avèk pfconfig , se konsa itil pake kaptire sou yon koòdone pwobableman mande pou swa promiscuous-mòd oswa kopi -a-mòd operasyon, oswa tou de mòd nan operasyon, yo dwe pèmèt sou koòdone sa a.

Anba BSD:

Ou dwe gen aksè li nan / dev / bpf * .

Lekti yon dosye pake sove pa mande pou privilèj espesyal.

OPSYON

-a

Eseye konvèti rezo ak adrès emisyon nan non yo.

-c

Sòti apre li resevwa pake konte .

-C

Anvan ou ekri yon pake kri nan yon savefile, tcheke si dosye a se kounye a pi gwo pase file_size , epi, si se konsa, fèmen savefile aktyèl la epi louvri yon nouvo. Savefiles apre savefile nan premye ap gen non an espesifye ak -w drapo a, ak yon nimewo apre li, kòmanse nan 2 ak kontinye anwo. Inite yo nan file_size yo se dè milyon de bytes (1,000,000 bytes, pa 1,048,576 bytes).

-d

Dump kòd la konpoze korespondan-matche nan yon fòm moun lizib estanda pwodiksyon ak sispann.

-dd

Dump pake-matche kòd kòm yon fragman pwogram C.

-ddd

Dump pake-matche kòd kòm nimewo desimal (anvan ak yon konte).

-e

Ekri kopeman header header la sou chak liy pil fatra.

-E

Sèvi ak algo: sekrè pou dechifre pake ESP ESP. Algoritm yo ka des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , oswa okenn . Default la se des-cbc . Kapasite nan dechifre pake se sèlman prezan si tcpdump te konpile ak kriptografik pèmèt. sekrè tèks la ascii pou ESP kle sekrè. Nou pa ka pran valè abitrè binè nan moman sa a. Opsyon an sipoze RFC2406 ESP, pa RFC1827 ESP. Opsyon a se sèlman pou rezon debogaj, ak itilize nan opsyon sa a ak kle sekrè sekrè 'se dekouraje. Lè ou prezante kle Sekrè IPsec sou liy lòd ou fè li vizib bay lòt moun, via ps (1) ak lòt okazyon.

-f

Enprime `etranje 'adrès entènèt nimerik olye ke senbolik (opsyon sa a gen entansyon jwenn alantou domaj grav sèvo nan sèvè yp Sol la --- anjeneral li pandye pou tout tan tradui non-lokal nimewo entènèt).

-F

Sèvi ak dosye kòm opinyon pou ekspresyon filtre a. Yon ekspresyon adisyonèl bay sou liy lan bay lòd inyore.

-i

Koute sou koòdone . Si pa presize, tcpdump fouy lis la koòdone sistèm pou pi ba a resansman, configuré moute koòdone (eksepte loopback). Lyen yo kase pa chwazi matche ak nan pi bonè.

Sou Linux sistèm ak 2.2 oswa pita nwayo, yo ka yon diskisyon koòdone nan "nenpòt ki '' dwe itilize pran pake ki sòti nan tout interfaces. Remake byen ke kaptire sou aparèy la 'nenpòt' 'pa pral fè nan mòd promiscuous.

-l

Fè liy stdout buffered. Itil si ou vle wè done yo pandan y ap kaptire li. Eg,
`` tcpdump -l | tee dat '' oswa `` tcpdump -l> dat & tail -f dat ''.

-m

Chaj SMI MIB modifikasyon definisyon soti nan modil dosye. Opsyon sa a ka itilize plizyè fwa pou chaje plizyè modil MIB nan tcpdump .

-n

Pa konvèti adrès lame nan non yo. Sa a ka itilize pou fè pou evite Lookups dns.

-nn

Pa konvèti pwotokòl ak nimewo pò elatriye nan non swa.

-N

Pa enprime kalifikasyon non domèn non lame. Eg, si ou bay drapo sa a, tcpdump pral enprime `` nic '' olye pou yo `` nic.ddn.mil ''.

-O

Pa kouri optimize pake-matche kòd la. Sa a se itil sèlman si ou sispèk yon ensèk nan optimizeur la.

-p

Pa mete koòdone a nan mòd promiscuous. Remake byen ke koòdone a ta ka nan mòd promiscuous pou kèk lòt rezon; Pakonsekan, 'p' pa ka itilize kòm yon abrevyasyon pou 'etè lame {local-hw-addr} oswa difizyon etè'.

-q

Rapid (trankil?) Pwodiksyon. Ekri mwens pwotokòl enfòmasyon pou liy pwodiksyon yo pi kout.

-R

Sipoze pake ESP / AH yo dwe baze sou spesifikasyon ansyen (RFC1825 pou RFC1829). Si espesifye, tcpdump pa pral enprime jaden prevansyon rpase. Depi pa gen okenn vèsyon vèsyon pwotokòl nan ESP / AH spesifikasyon, tcpdump pa ka enferyè vèsyon an nan pwotokòl ESP / AH.

-r

Li pake soti nan dosye (ki te kreye ak -w opsyon an). Done Creole yo itilize si dosye a se `` - ''.

-S

Ekri an lèt detache absoli, olye ke relatif, nimewo TCP sekans.

-s

Snarp snaplen bytes nan done ki sòti nan chak pake olye ke default la nan 68 (ak NIT SunOS a, minimòm lan se aktyèlman 96). 68 bytes se adekwa pou IP, ICMP, tchp ak UDP men yo ka truncate enfòmasyon pwotokòl ki soti nan sèvè non ak pake NFS (gade anba a). Pake tronkonik paske nan yon snapshot limite yo endike nan pwodiksyon an ak `` [| proto ] ', kote proto se non an nan nivo pwotokòl la nan ki tronkonasyon an ki te fèt. Remake byen ke pran pi gwo Pariodo tou de ogmante kantite tan li pran nan pwosesis pake ak, efektivman, diminye kantite lajan an nan puffering tampon. Sa a ka lakòz pakè yo dwe pèdi. Ou ta dwe limite menen nan nimewo ki pi piti a ki pral pran enfòmasyon an pwotokòl ou enterese nan. Anviwònman moustik a 0 vle di itilize longè ki nesesè yo trape pake antye.

-T

Fòs pake chwazi nan " ekspresyon " yo dwe entèprete kalite a espesifye. Kounye a li te ye kalite yo se cnfp (Cisco NetFlow pwotokòl), Rpc (Remote Procedure Call), rtp (Real-Time Aplikasyon pwotokòl), rtcp (Pwotokòl kontwòl tan reyèl), snmp (Simple Network Management Protocol), ), ak wb (distribiye White Board).

-t

Pa enprime yon timestamp sou chak liy pil fatra.

-t

Ekri yon timestamp unformatted sou chak liy pil fatra.

-U

Gout privilèj rasin ak chanjman ID itilizatè a itilizatè ak ID gwoup nan gwoup la prensipal nan itilizatè .

Remak! Red Hat Linux otomatikman gout privilèj yo itilizatè `` pcap '' si pa gen anyen lòt bagay ki espesifye.

-ttt

Ekri yon delta (nan mikwo-segonn) ant liy aktyèl ak anvan yo sou chak liy pil fatra.

-tttt

Ekri an lèt detache yon timestamp nan fòma default ki te rive pa dat sou chak liy pil fatra.

-u

Enprime andikape NFS manch.

-V

(Yon ti kras pi plis) pwodiksyon vèbal. Pou egzanp, tan an ap viv, idantifikasyon, longè total ak opsyon nan yon pake IP yo enprime. Epitou pèmèt plis chèk entegrite pake tankou verifye chèk la IP ak ICMP header.

-vv

Menm plis pwodiksyon ranbousman. Pou egzanp, lòt jaden yo enprime soti nan pake reponn NFS, ak SMB pake yo konplètman dekod.

-vvv

Menm plis pwodiksyon ranbousman. Pou egzanp, telnet SB ... SE opsyon yo enprime nan plen. Avèk -X opsyon telnet yo enprime nan hex kòm byen.

-w

Ekri pakè anvan tout koreksyon yo pou ranpli olye ke analize ak enprime yo deyò. Yo ka pita enprime ak-r opsyon an. Se pwodiksyon estanda itilize si dosye a se `` - ''.

-x

Ekri chak pake (mwens header header li yo) nan hex. Pi piti nan pake a tout oswa bys mablin ap enprime. Remake byen ke sa a se pake a lyen-kouch tout antye, se konsa pou kouch lyen ki pad (egzanp Ethernet), bytes yo padding ap tou ap enprime lè pake a kouch pi wo se pi kout pase padding ki nesesè yo.

-X

Lè hex enpresyon, enprime ascii tou. Se konsa, si -x se tou mete, se pake a enprime nan hex / ascii. Sa a se trè sou la men pou analize nouvo pwotokòl. Menm si -x pa tou mete, kèk pati nan kèk pake ka enprime nan hex / ascii.

ekspresyon

chwazi ki pakè yo pral jete. Si yo pa bay ekspresyon , yo pral jete tout pake sou nèt la. Sinon, sèlman pake pou ki ekspresyon se 'vre' yo pral jete.

Ekspresyon an konsiste de youn oswa plis primitif. Primitiv anjeneral konpoze de yon id (non oswa nimewo) anvan pa youn oswa plis kalifye. Gen twa diferan kalite kalifikasyon:

kalite

kalifikasyon yo di ki kalite bagay id id oswa nimewo refere a. Kalite posib yo se lame , nèt ak pò . Eg, 'lame foo', `nè 128.3 ',' pò 20 '. Si pa gen okenn kalite kalifye, lame ap sipoze.

di

kalifikasyon presize yon direksyon transfè patikilye pou ale ak / oswa nan id . Esplikasyon posib yo se src , dst , src oswa dst ak src ak dst . Eg, `src foo ',` DST nèt 128.3', 'src oswa dst pò ftp-done'. Si pa gen kalifikasyon dir, src oswa dst sipoze. Pou kouch lyen 'null' (sa vle di pwen nan pwotokòl pwen tankou glise) ka kalifye entrant ak sortant yo ka itilize pou presize yon direksyon vle.

proto

kalifye limite matche ak yon pwotokòl an patikilye. Posib posib yo se: etè , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp ak UDP . Eg, 'etè src foo', `arp nèt 128.3 ',` tcp pò 21'. Si pa gen okenn kalifikasyon proto, tout pwotokòl ki konsistan avèk kalite a yo sipoze. Eg, "src foo" vle di `(ip oswa arp oswa rarp) src foo '(eksepte lèt la pa legal sentaks),` ba ba' vle di `(ip oswa arp oswa rarp) nèt bar 'ak` pò 53' vle di `(Tchp oswa UDP) pò 53 '.

[`fddi 'se aktyèlman yon alyas pou etè'; Parsè a trete yo idantikman kòm sa vle di "nivo a lyen done yo itilize sou koòdone nan rezo espesifye." Tèt FDDI gen Ethernet ki tankou sous ak adrès destinasyon, e souvan gen kalite pake Ethernet ki tankou, kidonk, ou ka filtre sou sa yo jaden FDDI menm jan ak jaden an Ethernet analoji. Tèt FDDI yo tou gen lòt jaden, men ou pa ka non yo klèman nan yon ekspresyon filtre.

Menm jan an tou, `tr 'se yon alyas pou' etè '; deklarasyon paragraf anvan an sou Tèt FDDI tou aplike nan Tèt Ring Token.]

Anplis de sa nan pi wo a, gen kèk mo kle 'primitif' ki pa swiv modèl la: pòtay , difizyon , mwens , pi gran ak ekspresyon aritmetik. Tout sa yo dekri anba a.

Plis ekspresyon filtre konplèks yo bati moute lè l sèvi avèk mo yo, epi , oswa epi yo pa konbine primitif. Eg, `lame foo epi yo pa FP pò epi yo pa pò ftp-done '. Pou sove tape, lis ki kalifye idantik yo kapab omisyon. Eg, 'tcp dst pò ftp oswa ftp-done oswa domèn' se egzakteman menm bagay la tou kòm `tcp dst pò ftp oswa tcp dst pò ftp-done oswa tcp dst pò domèn '.

Primitives alokasyon yo se:

DST lame lame

Vrè si jaden an destinasyon IPv4 / v6 nan pake a se lame , ki ka swa yon adrès oswa yon non.

chat animatè host

Vrè si jaden an sous IPv4 / v6 nan pake a se lame .

lame lame

Vre si swa IPv4 / v6 sous la oswa destinasyon nan pake a se lame . Nenpòt nan ekspresyon yo lame anwo yo ka prepende ak mo kle yo, ip , arp , rarp , oswa ip6 tankou nan:

ip lame host

ki ekivalan a:

etè proto \ ip ak lame hôte

Si lame a se yon non ak adrès IP miltip, yo pral tcheke chak adrès pou yon match.

etè dst ehost

Vre si adrès la destinasyon ethernet se ehost . Ehost ka swa yon non soti nan / elatriye / etè oswa yon nimewo (gade etè (3N) pou fòma nimerik).

etè src ehost

Vrè si adrès la sous ethernet se ehost .

etè lame ehost

Vrè si swa sous la ethernet oswa adrès destinasyon se ehost .

pòtay lame

Vrè si pake a itilize lame kòm yon passerelle. Wi, sous la ethernet oswa adrès destinasyon te òganize, men ni sous la IP ni destinasyon an IP te òganize . Akèy la dwe yon non epi yo dwe jwenn tou de pa mekanis host-name-a-IP-adrès adrès machin lan (lame non dosye, dns, NIS, elatriye) ak pa lame-a-non-a-Ethernet-adrès rezolisyon machin lan mekanis (/ elatriye / etèr, elatriye). (Yon ekspresyon ekivalan se

Ether lame ehost epi yo pa òganize lame

ki ka itilize ak swa non oswa nimewo pou lame / ehost .) Syntaks sa a pa travay nan IPv6 ki pèmèt konfigirasyon nan moman sa a.

d net nèt

Vre si adrès la destinasyon IPv4 / v6 nan pake a gen yon rezo kantite nèt . Filè ka swa yon non soti nan / etc / rezo oswa yon nimewo rezo (al gade rezo (4) pou plis detay).

Nwa net nèt

Vrè si adrès la sous IPv4 / v6 nan pake a gen yon rezo kantite nèt .

nèt nèt

Vre si swa IPv4 / v6 sous la oswa adrès destinasyon nan pake a gen yon rezo kantite nèt .

Net netmas mask nèt

Vre si adrès la IP matche ak nèt ak netmask espesifik la. Ka kalifye ak src oswa DST . Remake byen ke sentaks sa a pa valab pou IPV6 nèt .

net nèt / len

Vrè si adrès la IPv4 / v6 alimèt nèt ak yon bits netmask len lajè. Ka kalifye ak src oswa DST .

DST Port pò

Vrè si pake a se ip / tcp, IP / UDP, ip6 / tcp oswa ip6 / UDP epi li gen yon pò pò destinasyon pò . Pò a kapab yon nimewo oswa yon non ki itilize nan / etc / sèvis (al gade TCP (4P) ak UDP (4P)). Si yo itilize yon non, tou de nimewo pò a ak pwotokòl yo tcheke. Si yo itilize yon nimewo oswa non Limit, se sèlman nimewo pò a tcheke (egzanp, DST pò 513 pral enprime tou de tchp / login trafik ak udp / ki trafik, ak pò domèn pral enprime tou de tchp / domèn ak udp / domèn trafik).

pò Port pò

Vrè si pake a gen yon valè pò sous pò .

pò pò

Vrè si swa pò a sous oswa destinasyon nan pake a se pò . Nenpòt nan ekspresyon pò yo pi wo yo ka prepende ak mo kle yo, tcp oswa UDP , tankou nan:

tcp src pò pò

ki matche sèlman pakè tcp ki gen sous pò se pò .

mwens longè

Vrè si pake a gen yon longè mwens ke oswa egal a longè . Sa a se ekivalan a:

len <= longè .

pi gwo longè

Vrè si pake a gen yon longè pi gran pase oswa egal a longè . Sa a se ekivalan a:

len> = longè .

ip pwotokòl pwotokòl

Vrè si pake a se yon pake IP (gade IP (4P)) nan pwotokòl kalite pwotokòl . Pwotokòl kapab yon nimewo oswa youn nan non icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , oswa tcp . Remake byen ke idantifyan tcp , udp , ak icmp yo tou mo kle epi yo dwe chape soti via backslash (\), ki se \\ nan C-koki an. Remake byen ke sa a primitif pa kouri dèyè chèn lan header pwotokòl.

ip6 pwotokòl pwotokòl

Vrè si pake a se yon pake IPV6 nan pwotokòl kalite pwotokòl . Remake byen ke sa a primitif pa kouri dèyè chèn lan header pwotokòl.

ip6 pwotokòl pwotèksyon

Vrè si pake a se IPv6 pake, e li gen header pwotokòl ak pwotokòl kalite nan chèn pwotokòl header li yo. Pa egzanp,

ip6 protochain 6

alimèt nenpòt ki pake IPv6 ak tchp pwotokòl header nan chèn lan header pwotokòl. Pake a ka gen ladan, pou egzanp, header otantifikasyon, header routage, oswa hop-pa-hop opsyon header, ant header IPv6 ak tchp header. Kòd la BPF ki emèt pa primitif sa a se konplèks epi yo pa ka optimize pa Kòd optimize BPF nan tcpdump , kidonk sa ka yon ti jan ralanti.

ip pwotokòl ip

Ekivalan a pwotokòl pwotèksyon ip6 , men sa a se pou IPv4.

etè difize

Vrè si pake a se yon pake difizyon ethernet. Ether keyword la si ou vle.

ip emisyon

Vrè si pake a se yon pake difizyon IP. Li tcheke pou tou de tout-zero yo ak tout-yo konvansyon emisyon, ak sanble moute mask lokal subnet.

etik multikast

Vrè si pake a se yon pake multikast ethernet. Ether keyword la si ou vle. Sa a se steno pou etè [0] & 1! = 0 '.

ip multicast

Vrè si pake a se yon pake multikast IP.

ipc multicast

Vrè si pake a se yon pake multikast IPv6.

etè pwotokòl pwotokòl

Vrè si pake a se nan pwotokòl kalite etè. Pwotokòl kapab yon nimewo oswa yon sèl nan non ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , izo , stp , ipx , oswa netbeui . Remak sa yo idantifyan yo tou mo kle epi yo dwe chape soti via backslash (\).

[Nan ka FDDI (egzanp, ' fddi protocol ARP ') ak Ring Token (egzanp, ' tr pwotokòl ARP '), pou pifò nan pwotokòl sa yo, idantifikasyon an pwotokòl soti nan 802.2 Logical Link Control (LLC) header, ki se anjeneral kouch sou tèt FDDI la oswa Token Ring header.

Lè filtraj pou pifò idantifikatè pwotokòl sou FDDI oswa zanno Ring, chèk tcpdump sèlman jaden an pwotokòl ID nan yon header LLC nan sa yo rele fòma SNAP ak yon Idantifikatè Inite Òganizasyon (OUI) nan 0x000000, pou en Ethernet; li pa tcheke si pake a se nan fòma SNAP ak yon OUI nan 0x000000.

Eksepsyon yo se ISO , pou ki li tcheke DSAP (Destinasyon Sèvis Aksè Point) ak SSAP (Sous Sèvis Aksè) jaden nan header header la, stp ak netbeui , kote li tcheke DSAP a nan header LLC a, ak atalk , kote li chèk pou yon pake SNAP-fòma ak yon OUI nan 0x080007 ak etip a Appletalk.

Nan ka Ethernet, tcpdump tcheke jaden an kalite Ethernet pou pifò nan pwotokòl sa yo; eksepsyon yo se ISO , sap , ak netbeui , pou ki li tcheke pou yon ankadreman 802.3 ak Lè sa a, chèk header header la kòm li fè sa pou FDDI ak zòtèy Ring, atalk , kote li tcheke tou de pou etiplikè a Appletalk nan yon ankadreman Ethernet ak pou yon SNAP-fòma pake jan li fè sa pou FDDI ak Token Ring, aarp , kote li tcheke pou etikèt la Appletalk ARP nan swa yon ankadreman Ethernet oswa yon 802.2 SNAP ankadreman ak yon OUI nan 0x000000, ak ipx , kote li tcheke pou etype la IPX nan yon ankadreman Ethernet, DSAP a IPX nan header LLC la, 802.3 la ki pa gen okenn ankasan header LLC nan IPX, ak etip la IPX nan yon ankadreman SNAP.]

Decnet src host

Vre si adrès la sous DECNET se lame , ki ka yon adrès fòm la `` 10.123 '', oswa yon non lame DECNET. [Sipò non DECNET lame a disponib sèlman sou sistèm Ultrix ki configuré pou kouri DECNET.]

Decnet dst lame

Vre si adrès destinasyon DECNET lan òganize .

desnete host lame

Vre si swa sous la DECNET oswa adrès destinasyon se lame .

ip , ip6 , arp , rarp , atalk , aarp , decnet , izo , stp , ipx , netbeui

Abbreviations pou:

etè pwoto p

kote p se youn nan pwotokòl ki anwo yo.

lat , moprc , mopdl

Abbreviations pou:

etè pwoto p

kote p se youn nan pwotokòl ki anwo yo. Remake byen ke tcpdump pa kounye a konnen ki jan yo analize sa yo pwotokòl.

vlan [vlan_id]

Vrè si pake a se yon pake IEEE 802.1Q VLAN. Si [vlan_id] se espesifye, se sèlman vre se pake a gen vlan_id la espesifye. Remake byen ke mo kle a vlan rankontre nan ekspresyon chanje chanjman yo dekodaj pou rès la nan ekspresyon sou sipozisyon an ki pake a se yon pake VLAN.

tcp , udp , icmp

Abbreviations pou:

ip proto p oswa ip6 proto p

kote p se youn nan pwotokòl ki anwo yo.

Pwotokòl pwotokòl iso

Vrè si pake a se yon pake OSI nan pwotokòl kalite pwotokòl . Pwotokòl la kapab yon nimewo oswa youn nan non yo clnp , esis , oswa isis .

clnp , sa a, se

Abbreviations pou:

iso proto p

kote p se youn nan pwotokòl ki anwo yo. Remake byen ke tcpdump fè yon travay enkonplè nan analyse pwotokòl sa yo.

ekspr relop ekspr

Vrè si relasyon an kenbe, kote relop se youn nan>, <,> =, <=, =,! =, Ak ekspr se yon ekspresyon aritmetik ki konpoze de konte nonb antye relatif (eksprime nan estanda C sentaks), operatè yo nòmal binè [ , -, *, /, &, |], yon operatè longè, ak espesyal aksè pake done. Pou jwenn aksè nan done anndan pake a, sèvi ak sentaks sa yo:

pwoto [ ekspr : gwosè ]

Proto se youn nan etè, fddi, tr, ppp, glise, lyen, ip, arp, rarp, tcp, UDP, icmp oswa ip6 , ak endike kouch pwotokòl la pou operasyon endèks la. ( etè, fddi, tr, ppp, glise ak lyen tout al gade nan kouch nan lyen.) Remake byen ke tcp, UDP ak lòt kalite pwotokòl anwo-kouch sèlman aplike nan IPv4, pa IPV6 (sa a ap fiks nan lavni an). Kontrèman a byte, relatif nan kouch la pwotokòl endike, yo bay nan ekspr . Gwosè se opsyonèl epi endike kantite bytes nan jaden an nan enterè; li ka swa youn, de, oswa kat, ak défaut nan yon sèl. Operatè a longè, ki endike nan mo kle a, bay longè pake a.

Pou egzanp, etè [0] & 1! = 0 'kaptire tout trafik multicast. Ekspresyon ` ip [0] & 0xf! = 5 'kaptire tout pake IP ak opsyon. Ekspresyon ` ip [6: 2] & 0x1fff = 0 'kaptire sèlman diktif unfragmented ak zewo frag nan datagram fragmenté. Sa a se chèk implicitly aplike nan operasyon yo tèk ak udp endèks. Pou egzanp, tcp [0] toujou vle di byte an premye nan header nan tchp, epi pa janm vle di premye fwa a nan yon fragman entèvni.

Gen kèk offsets ak valè jaden yo ka eksprime kòm non olye ke kòm valè nimerik. Pwosè sa yo pwopokasyon header header yo disponib: icptype (jaden kalite ICMP), icmpcode (ICMP kòd jaden), ak tcpflags (TCP drapo jaden).

Kalite valè ICMP sa yo disponib: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redireksyon , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Dosye valè tchp jaden sa yo disponib: tcp-fin , tcp-syn , tcp-rst , tcp-pouse , tcp-pouse , tcp-ack , tcp-mande .

Primitiv yo ka konbine lè l sèvi avèk:

Yon gwoup parantèz primitif ak operatè yo (parantèz yo espesyal pou Shell a epi yo dwe chape).

Negasyon (` ! 'Oswa` pa ').

Konkatenasyon (` && ' oswa` ak ').

Altènatif (` || 'oswa` oswa ').

Negasyon gen pi wo priyorite. Altènasyon ak konkatenasyon gen menm priyorite ak asosye kite sou bò dwat. Remake byen ke eksplisit ak marqueur, pa juxtaposition, yo kounye a se egzije pou konketasyon.

Si yo bay yon idantifyan san yo pa yon mo kle, se mo kle ki pi resan an sipoze. Pa egzanp,

pa lame vs ak ace

se kout pou

pa lame vs ak lame ace

ki pa ta dwe konfonn ak

pa (lame vs oswa ace)

Ekspresyon agiman yo ka pase tcpdump kòm swa yon sèl agiman oswa kòm agiman miltip, kèlkeswa sa ki pi fasil. Anjeneral, si ekspresyon an gen Metacharacters Shell, li pi fasil pase li kòm yon sèl, agiman ki site. Agiman miltip yo anbrase ak espas anvan yo te analysé.

EGZANP

Pou enprime tout pakèt rive nan oswa kite solèy kouche :

tchèd solèy tcpdump

Pou enprime trafik ant helios ak swa cho oswa ace :

tkpdump lame eyo ak \ (cho oswa ace \)

Pou enprime tout pake IP ant ace ak nenpòt lame eksepte helios :

tcpdump ip lame ace epi yo pa helios

Pou enprime tout trafik ant gen tout pouvwa a ak tout pouvwa a nan Berkeley:

tcpdump net ucb-etè

Pou enprime tout trafik FP a atravè entènèt pòtay snup : (note ke ekspresyon an te site pou anpeche koki a soti nan (mis-) entèprete parantèz yo):

tkpdump 'pòtay snup ak (ft ft oswa ftp-done)'

Pou enprime trafik ni souse nan ni destine pou gen tout pouvwa lokal yo (si ou pòtay nan yon lòt privye, bagay sa a pa ta dwe janm fè l 'sou nèt lokal ou).

tcpdump ip epi pa localnet net

Pou enprime pake yo kòmanse ak fen (pake yo SYN ak FIN) nan chak konvèsasyon tchp ki enplike nan yon lame ki pa lokal yo.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 epi yo pa src ak DST net localnet '

Pou enprime pake IP ki pi long pase 576 bytes ki te voye nan pòtay snup :

tcpdump 'pòtay snup ak ip [2: 2]> 576'

Pou enprime IP difizyon oswa multikast pake ki pa te voye via difizyon Ethernet oswa multikast:

'etè tcpdump' [0] & 1 = 0 ak ip [16]> = 224 '

Pou enprime tout ICMP pake ki pa eko demann / replies (sètadi, pa ping ping):

icmp [icmptype]! = icmp-eko ak icmp [icmptype]! = icmp-echoreply '

FÒM OUTPÒ

Pwodiksyon tcpdump se pwotokòl depandan. Sa ki anba la a bay yon deskripsyon kout ak egzanp pi fò nan fòma yo.

Tèt nivo Link

Si yo bay '-e' opsyon an, header nan nivo lyen enprime soti. Sou ethernets, sous la ak adrès destinasyon, pwotokòl, ak longè pake yo enprime.

Sou rezo FDDI, '-e' opsyon a lakòz tcpdump enprime jaden an 'ankadreman kontwòl', adrès yo sous ak destinasyon, ak longè a pake. (Jaden an "ankadreman kontwòl" gouvène entèpretasyon nan rès pake a.Nòmal pake (tankou sa yo ki gen datagram IP) yo se `async 'pake, ak yon valè priyorite ant 0 ak 7, pou egzanp,' async4 '. pake yo sipoze genyen yon 802.2 lojik Link kontwòl (LLC) pake; se header header a enprime si se pa yon dyagram ISO oswa yon pake SNAP sa yo rele.

Sou rezo Ring Token, opsyon '-e' ki lakòz tcpdump pou enprime 'aksè kontwòl' ak jaden kontwòl ankadreman ', adrès yo sous ak destinasyon, ak longè a pake. Kòm sou rezo FDDI, pakè yo sipoze genyen yon pake LLC. Kèlkeswa si wi ou non opsyon '-e' la espesifye oswa ou pa, enfòmasyon an routage sous enprime pou pake sous-kour.

(NB: deskripsyon ki annapre yo abòde abitye avèk algorithm konpresyon SLIP ki dekri nan RFC-1144.)

Sou lyen SLIP, yon endikatè direksyon ("mwen" pou antre, "O" pou sortant), kalite pake, ak enfòmasyon konpresyon yo enprime soti. Kalite pake a enprime an premye. Twa kalite yo ip , utcp , ak ctcp . Pa gen okenn lyen lyen plis enprime pou pake ip . Pou pake TCP, se idantite koneksyon an enprime apre kalite la. Si se pake a konprese, se kode li yo kode li enprime soti. Ka yo espesyal yo enprime soti tankou * S + n ak * SA + n , kote n se kantite lajan an ki ki nimewo a sekans (oswa nimewo sekans ak ack) te chanje. Si se pa yon ka espesyal, zewo oswa plis chanjman yo enprime. Yon chanjman ki endike pa U (ijan konsèy), W (fenèt), A (ack), S (sekans nimewo), ak mwen (ID pake), ki te swiv pa yon delta (+ n oswa -n), oswa yon nouvo valè (= n). Finalman, kantite done ki nan pake ak konprese longè header yo enprime.

Pou egzanp, liy ki anba la a montre yon sortant pokè TCP konprese, ak yon idantifyan koneksyon enplisit; Ack a chanje pa 6, nimewo a sekans pa 49, ak ID nan pake pa 6; gen 3 bytes nan done ak 6 bytes nan konprese header:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP Pake

Arp / rarp pwodiksyon montre ki kalite demann ak agiman li yo. Fòma a gen entansyon poukont li eksplikasyon. Isit la se yon echantiyon kout pran nan kòmansman an nan yon 'rlogin' soti nan lame rtsg lame csam :

arp ki-gen csam di rtsg arp reply csam se-nan CSAM

Liy nan premye di ke rtsg voye yon pake arp mande pou adrès la ethernet nan csam lame entènèt. Csam reponn ak adrès Ethernet li yo (nan egzanp sa a, adrès Ethernet yo nan bouchon ak adrès entènèt nan pi ba ka).

Sa a ta gade mwens redondants si nou te fè tcpdump -n :

arp ki-gen 128.3.254.6 di 128.3.254.68 arp reply 128.3.254.6 se-a 02: 07: 01: 00: 01: c4

Si nou te fè tcpdump -e , lefèt ke se premye pake a emisyon ak dezyèm lan se pwen-a-pwen ta dwe vizib:

RTSG difizyon 0806 64: arp ki-gen csam di rtsg CSAM RTSG 0806 64: arp reply csam se-nan CSAM

Pou pake an premye sa a di adrès eternet sous la se RTSG, destinasyon an se adrès difizyon ethernet a, jaden an kalite ki gen hex 0806 (kalite ETHER_ARP) ak longè total la te 64 bytes.

Pake TCP

(NB: deskripsyon ki annapre yo sipoze abitye avèk pwotokòl TCP ki dekri nan RFC 793. Si ou pa abitye ak pwotokòl la, ni deskripsyon sa a ni tcpdump pral itil anpil.)

Fòma an jeneral nan yon liy pwotokòl tcp se:

src> dst: drapo done-seqno ack fenèt ijan opsyon

Src ak DST se adrès sous ak adrès destinasyon ak pò yo. Drapo yo se kèk konbinezon de S (SYN), F (FIN), P (PUSH) oswa R (RST) oswa yon sèl `. ' (pa drapo). Done-seqno dekri pòsyon nan espas sekans kouvri pa done ki nan pake sa a (al gade egzanp anba a). Ack se nimewo sekans nan done kap vini yo espere lòt direksyon an sou koneksyon sa a. Fenèt se kantite bytes pou resevwa espas pezib ki disponib lòt direksyon an sou koneksyon sa a. Urg endike gen 'ijan' done nan pake a. Opsyon yo se opsyon tcp ki fèmen nan parantèz angle (egzanp, ).

Src, DST ak drapo yo toujou prezan. Jaden yo lòt depann sou sa ki nan tchp pwotokòl header pake a epi yo pwodiksyon sèlman si sa apwopriye.

Isit la se pòsyon nan ouvèti ki nan yon rlogin soti nan lame rtsg lame csam .

rtsg.1023> csam.login: S 768512: 768512 (0) genyen 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 genyen 4096 rtsg.1023> csam. ouvri sesyon an: . Ack 1 genyen 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 genyen 4096 csam.login> rtsg.1023:. Ack 2 genyen 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 genyen 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 genyen 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 genyen 4077 mande 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

Liy nan premye di ke TCP pò 1023 sou rtsg voye yon pake nan pò login sou csam. S a endike ke yo te drapo a SYN mete. Nimewo sekans pake a te 768512 epi li pa gen okenn done. (Notasyon an se `premye: dènye (nbytes) 'ki vle di` nimewo sekans premye jiska men ki pa gen ladan dènye ki se nbytes bytes nan done itilizatè'.) Pa te gen okenn Ack piggy-te apiye, ki disponib fenèt yo te resevwa 4096 bytes ak te gen yon opsyon max-segman-gwosè mande yon mss nan 1024 bytes.

Csam reponn ak yon pake ki sanble eksepte li gen ladan yon Ack piggy-te apiye pou SYN rtsg a. Rtsg Lè sa a, SYN csam a. '`. vle di pa gen okenn drapo yo te mete. Pake a pa gen okenn done konsa pa gen okenn nimewo sekans done. Remake byen ke nimewo a sekans ack se yon ti nonb antye (1). Premye fwa tcpdump wè yon tchp `konvèsasyon ', li simagri nimewo sekans ki soti nan pake a. Sou pake ki vin apre nan konvèsasyon an, diferans ki genyen ant sekans aktyèl pake a ak nimewo sekans inisyal sa a enprime. Sa vle di ke nimewo sekans apre premye a kapab entèprete kòm pozisyon relatif lajè nan kouran done konvèsasyon an (avèk premye done byte chak direksyon ke yo te '1'). `-S 'ap pase sou desizyon sa a, sa ki lakòz nimewo sekans orijinal la yo dwe pwodiksyon.

Sou liy lan 6th, rtsg voye csam 19 bytes nan done (bytes 2 jiska 20 nan rtsg -> csam bò nan konvèsasyon an). Se drapo a PUSH mete nan pake a. Sou liy lan 7yèm, csam di li te resevwa done voye pa rtsg jiska men pa ki gen ladan byte 21. Pifò nan done sa a aparamman chita nan tanpon la priz depi fenèt resevwa csam a te vinn 19 bytes ki pi piti. Csam tou voye yon sèl byte nan done rtsg nan pake sa a. Sou liy yo 8yèm ak 9yèm, csam voye de bytes nan ijan, pouse done rtsg.

Si snapshot a te ti ase ke tcpdump pa t 'pran header tchp a plen, li entèprete kòm anpil nan header a jan li kapab ak Lè sa a, rapò `` [| tcp ] '' pou endike rès la pa ka entèprete. Si header la gen yon opsyon fos (youn ak yon longè ki swa twò piti oswa pi lwen pase nan fen header la), tcpdump rapò li kòm `` [ move opt ] '' epi li pa entèprete nenpòt opsyon pi lwen (depi li enposib di kote yo kòmanse). Si longè a header endike opsyon yo prezan, men longè a datogram IP se pa lontan ase pou opsyon yo aktyèlman ap la, tcpdump rapò li kòm `` [ move longè hdr ] ''.

Kaptire pake TCP ak konbinezon drapo an patikilye (SYN-ACK, URG-ACK, elatriye)

Gen 8 Bits nan seksyon Bits kontwòl nan tchp header la:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Ann sipoze ke nou vle gade pakè yo itilize nan etabli yon koneksyon tchp. Sonje TCP itilize yon pwotokòl negosyasyon 3-fason lè li inisyalize yon nouvo koneksyon; sekans lan koneksyon ak konsiderasyon Bits yo kontwòl tchp se

1) Moun kap rele voye SYN

2) Moun k ap resevwa a reponn ak SYN, ACK

3) Moun kap rele ACK

Koulye a, nou enterese nan kaptire pake ki gen sèlman seri a ti sen (Etap 1). Remake byen ke nou pa vle pake soti nan etap 2 (SYN-ACK), jis yon plenn premye SYN. Ki sa nou bezwen se yon ekspresyon filtre kòrèk pou tcpdump .

Rapèl estrikti nan yon header tchp san opsyon:

0 15 31 ----------------------------------------------- ------------------ | sous pò | destinasyon pò | -------------------------------------------------- --------------- | sekans nimewo | -------------------------------------------------- --------------- | rekonesans nimewo | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | gwosè fenèt | -------------------------------------------------- --------------- | Tchèk TCP | ijan ​​konsèy | -------------------------------------------------- ---------------

Yon header tchp anjeneral kenbe 20 oktèt done, sof si opsyon yo prezan. Liy premye nan graf la gen octets 0 - 3, dezyèm lan montre octets 4 - 7 elatriye.

Kòmanse konte ak 0, Bits yo ki enpòtan TCP yo genyen nan yo nan octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | gwosè fenèt | ---------------- | --------------- | --------------- | - --------------- | | 13 oktèt | | |

Se pou nou gen yon gade pi pre nan octet pa gen okenn. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Sa yo se Bits yo kontwòl TCP nou enterese nan. Nou gen konte Bits yo nan octet sa a soti nan 0 a 7, dwa a kite, se konsa PSH bit la se ti kantite 3, pandan y ap ti jan nan URG se nimewo 5.

Sonje byen ke nou vle pran pake ak sèlman mete SYN. Ann wè sa k ap pase octet 13 si yon taktik TCP rive ak ti bit SYN ki fikse nan header li yo:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

Gade nan seksyon an Bits kontwòl nou wè ke se sèlman ti jan nimewo 1 (SYN) mete.

Sipoze ke nimewo octet 13 se yon nonb antye ki nonb 8-ti jan nan lòd rezo byte, valè a binè nan octet sa a se

00000010

ak reprezantasyon desimal li yo se

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Nou prèske fè, paske kounye a nou konnen ke si se sèlman SYN mete, valè a octet a 13th nan header tchp la, lè entèprete kòm yon nonb antye ki nonb 8-ti jan nan rezo lòd rezo, yo dwe egzakteman 2.

Relasyon sa a ka eksprime kòm

tcp [13] == 2

Nou ka itilize ekspresyon sa a kòm filtè a pou tcpdump yo nan lòd yo gade pake ki gen sèlman SYN mete:

tcpdump -i xl0 tcp [13] == 2

Ekspresyon an di "se pou octet a 13th nan yon taktik tchp gen valè a desimal 2", ki se egzakteman sa nou vle.

Koulye a, se pou yo asime ke nou bezwen pran SYN pake, men nou pa pran swen si ACK oswa nenpòt lòt ti jan kontwòl TCP mete nan menm tan an. Ann wè sa k ap pase a octet 13 lè yon taktik TCP ak SYN-ACK ansanm rive:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

Koulye a, Bits 1 ak 4 yo mete nan octet a 13th. Valè a binè nan octet 13 se

00010010

ki tradui a desimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Koulye a, nou pa ka jis itilize 'tcp [13] == 18' nan ekspresyon filtre tcpdump , paske sa ta ka chwazi sèlman sa yo pake ki gen SYN-ACK mete, men se pa moun ki gen sèlman SYN mete. Sonje ke nou pa pran swen si ACK oswa nenpòt ki lòt ti jan kontwòl mete osi lontan ke SYN se mete.

Yo nan lòd reyalize objektif nou an, nou bezwen lojikman ak valè a binè nan octet 13 ak kèk lòt valè prezève bit a SYN. Nou konnen ke nou vle SYN yo dwe mete nan nenpòt ka, se konsa nou pral lojikman ak valè a nan octet a 13th ak valè a binè nan yon SYN:

00010010 SYN-ACK 00000010 SYN AK 00000010 (nou vle SYN) ak 00000010 (nou vle SYN) -------- -------- = 00000010 = 00000010

Nou wè ke sa a ak operasyon delivre rezilta a menm kèlkeswa si ACK oswa yon lòt ti jan kontwòl tchp mete. Reprezantasyon nan desimal nan valè a AK ak rezilta nan operasyon sa a se 2 (binè 00000010), pou nou konnen ke pou pakè ak SYN mete relasyon sa a dwe kenbe vre:

((valè octet 13) AK (2)) == (2)

Sa a montre nou nan ekspresyon filtre tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Remake byen ke ou ta dwe itilize quotes sèl oswa yon backslash nan ekspresyon a kache AK la ('&') karaktè espesyal nan koki an.

UDP Pake

UDP fòma se ilistre pa pake rwou sa a:

actinide.who> broadcast.who: udp 84

Sa a di ke pò ki sou aktinide lame voye yon dyagram UDP nan pò ki sou emisyon emisyon , adrès entènèt emisyon an. Pake a genyen 84 bytes nan done itilizatè.

Gen kèk sèvis UDP yo rekonèt (ki soti nan nimewo sous la oswa destinasyon pò a) ak enfòmasyon ki pi wo a pwotokòl enprime. An patikilye, Domèn Non demann sèvis (RFC-1034/1035) ak Sun RPC apèl (RFC-1050) nan NFS.

UDP Non demann sèvè

(NB: deskripsyon ki anba la a konfime abitye avèk pwotokòl Sèvis Domèn ki dekri nan RFC-1035. Si ou pa abitye ak pwotokòl la, deskripsyon ki annapre la ap parèt ekri nan grèk.)

Demann sèvè non yo fòma kòm

src> dst: id op? drapo qtype qclass non (len) h2opolo.1538> helios.domain: 3 + A? ucbvax.berkeley.edu. (37)

Akèy h2opolo mande sèvè a domèn sou helios pou yon dosye adrès (qtype = A) ki asosye avèk non ucbvax.berkeley.edu a. ID nan rechèch te `3 '. '+' A endike ranfòse vle drapo a mete. Longè a rechèch te 37 bytes, ki pa enkli tit UDP ak IP pwotokòl yo. Operasyon an rechèch te yon sèl nòmal, Query , se konsa jaden an op te abandone. Si Op la te nenpòt lòt bagay, li ta enprime ant '3 a' ak '+ la'. Menm jan an tou, qclass a te yon sèl nòmal, C_IN , ak omisyon. Nenpòt lòt qclass ta dwe enprime imedyatman apre 'A' la.

Yon anomali kèk yo tcheke epi yo ka lakòz yon jaden siplemantè ki fèmen nan parantèz kare: Si yon demann ki gen yon repons, dosye otorite oswa seksyon dosye adisyonèl, ancount , nscount , oswa arcount yo enprime kòm `[ n a ] ',' [ n n ] 'oswa `[ n au]' kote n se konte ki apwopriye a. Si youn nan Bits yo repons yo mete (AA, RA oswa kòd) oswa nenpòt nan 'yo dwe zewo' Bits yo mete nan bytes de ak twa, "[b2 & 3 = x ] 'se enprime, kote x se valè a hexe header bytes de ak twa.

Repons sèvè UDP Non

Repons sèvè Non yo fòma kòm

src> dst: id sou rcode flags yon / n / au kalite klas done (len) helios.domain> h2opolo.1538: 3 3/3/7 Yon 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Nan premye egzanp lan, helios reponn a idantite id 3 soti nan h2opolo ak 3 dosye repons, 3 dosye sèvè non ak 7 dosye adisyonèl. Premye dosye repons lan se tip A (adrès) ak done li yo se adrès entènèt 128.32.137.3. Gwosè total de repons lan te 273 bytes, eksepte UDP ak IP Tèt. Op (Query) ak kòd repons (NoError) te abandone, menm jan se klas la (C_IN) nan dosye A.

Nan dezyèm lan egzanp, helios reponn a sijè 2 ak yon kòd repons ki pa-inexistant domèn (NXDomain) ki pa gen okenn repons, yon sèvè non ak pa gen dosye otorite. '*' A endike ke ti repons otantifikasyon an te mete. Depi pa t 'gen repons, pa gen okenn kalite, klas oswa done yo te enprime.

Lòt karaktè drapo ki ta ka parèt yo se - - '(rkoursyon ki disponib, RA, pa mete) ak `|' (tronkonik mesaj, TC, mete). Si seksyon `kesyon 'pa gen egzakteman yon antre,' [q] 'ap enprime.

Remake byen ke demann sèvè non ak repons yo gen tandans yo dwe gwo ak mele nan default nan 68 bytes pa pouvwa pran ase nan pake a enprime. Sèvi ak drapo - a pou ogmante mitra a si ou bezwen seryezman mennen ankèt sou trafik sèvè non. ` 128 'te travay byen pou mwen.

SMB / CIFS dekodaj

tcpdump kounye a gen ladan jistis vaste SMB / CIFS / NBT dekodaj pou done sou UDP / 137, UDP / 138 ak TCP / 139. Gen kèk dekodaj primitif nan IPX ak NetBEUI SMB done tou fè.

Pa default se yon dekode jistis minimal fè, ak yon dekode pi plis detay fè si -v yo itilize. Ou dwe avèti ke ak -va sèl pake SMB ka pran yon paj oswa plis, se konsa sèlman itilize -v si ou reyèlman vle tout detay yo gory.

Si ou se dekodaj SMB sesyon ki gen strik Unicode Lè sa a, ou ka vle mete USE_UNICODE varyab anviwònman an nan 1. Yon patch nan oto-detekte srings unicode ta dwe akeyi.

Pou enfòmasyon sou fòma pake SMB ak sa ki tout te jaden vle di wè www.cifs.org oswa PUB / samba / karakteristik / anyè sou sit la pi renmen samba.org ou. Plak SMB yo te ekri pa Andre Tridgell (tridge@samba.org).

NFS Demann ak Replies

Solèy NFS (Rezo File System) demann ak repons yo enprime tankou:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op rezilta sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10,73165 wrl.nfs> sushi.6709: reply ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096,6878 "xcolors" wrl.nfs> sushi.201b: reply ok 128 lookup fh 9,74 / 4134.3150

Nan liy nan premye, sushi lame voye yon tranzaksyon ak id 6709 a wrl (note ke nimewo a apre lame a src se yon idantite tranzaksyon, pa pò a sous). Demand lan te 112 bytes, eksepte tit UDP ak IP yo. Operasyon an se te yon readlink (li lyen senbolik) sou manch dosye ( fh ) 21,24 / 10.731657119. (Si yon moun gen chans, tankou nan ka sa a, ka manyen dosye a dwe entèprete kòm yon pi gwo, pèfòmans nimewo pèminè , ki te swiv pa nimewo a inode ak nimewo jenerasyon.) Wrl reponn 'ok' ak sa ki nan lyen an.

Nan liy lan twazyèm, susi mande wrl nan Lookup non ' xcolors yo ' nan dosye anyè 9,74 / 4096.6878. Remake byen ke done yo enprime depann sou kalite a operasyon. Fòma a gen entansyon pou tèt li eksplikasyon si li an konjonksyon avèk yon spesifik pwotokòl NFS.

Si yo bay -v (vèb) drapo a, yo enprime plis enfòmasyon. Pa egzanp:

sushi.1372a> wrl.nfs: 148 li fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: reply ok 1472 li REG 100664 ids 417/0 sz 29388

(-v tou anprent IP TTL header, ID, longè, ak jaden fwagmantasyon, ki te omisyon nan egzanp sa a.) Nan premye liy lan, susi mande wrl li 8192 bytes soti nan dosye 21,11 / 12.195, nan byte konpanse 24576. Wrl replies `ok '; pake a yo montre sou dezyèm lan se fragman an premye nan repons lan, yo e pakonsekan se sèlman 1472 bytes depi lontan (lòt bytes yo pral swiv nan fragman ki vin apre, men sa yo fragman pa gen NFS oswa menm UDP Tèt yo ak sa yo pa ka enprime, depann sou ekspresyon nan filtre itilize). Paske se -v drapo a bay, kèk nan atribi yo dosye (ki yo te retounen nan adisyon a done yo dosye) yo enprime: kalite a dosye (`` REG '', pou dosye regilye), mòd nan dosye (nan oktal) uid la ak gid, ak gwosè a dosye.

Si se -v drapo a bay plis pase yon fwa, menm plis detay yo enprime.

Remake byen ke demann NFS yo trè gwo epi anpil nan detay a pa pral enprime sof si se mozayik ogmante. Eseye itilize ` -s 192 'pou gade NFS trafik.

NFS repons pake pa explicitman idantifye operasyon an RPC. Olye de sa, tcpdump kenbe tras nan demann 'resan' ', ak matche yo nan replies yo lè l sèvi avèk ID a tranzaksyon. Si yon repons pa suiv demann lan korespondan, li pa ta ka parese.

AFS Demann ak Replies

Transarc AFS (Andrew File System) demann ak repons yo enprime tankou:

src.sport> dst.dport: rx pake-type src.sport> dst.dport: rx pake-kalite sèvis rele rele-non args src.sport> dst.dport: rx pake-kalite sèvis reply call-name args elvis. 7001> pike.afsfs: rx done fs rele rename fin vye granmoun fid 536876964/1/1 ".newsrc.new" nouvo fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx done fs reply rename

Nan premye liy lan, Elvis lame a voye yon pake RX pou chalè. Sa a te yon pake done RX fs (filè yo) sèvis, e se kòmansman yon apèl RPC. RPC rele a se yon nonmen, ak fin vye granmoun dosye a dosye id nan 536876964/1/1 ak yon fichye fin vye granmoun nan `.newsrc.new ', ak yon nouvo dosye dosye anyè nan 536876964/1/1 ak yon nouvo fichye nan`. newsrc '. Pike a lame reponn ak yon repons RPC rele nan non (ki te reyisi, paske li te yon pake done epi yo pa yon pake abò).

An jeneral, tout RPCs AFS yo dekode omwen pa non rele RPC. Pifò AFP RPC yo gen omwen kèk nan agiman yo dekode (jeneralman sèlman 'agiman yo enteresan', pou kèk definisyon ki enteresan).

Fòma a gen entansyon pou li dekri tèt li, men li pwobableman pa itil pou moun ki pa abitye avèk fonksyon AFS ak RX.

Si -v (vèb) drapo yo bay de fwa, pake rekonesans ak plis enfòmasyon header enprime, tankou ID nan RX rele, nimewo rele, nimewo sekans, nimewo seri, ak drapo yo pake RX.

Si se -v drapo a bay de fwa, se plis enfòmasyon enprime, tankou ID RX rele, nimewo seri, ak drapo pake RX yo. Enfòmasyon sou negosyasyon MTU tou enprime nan pakèt RX a.

Si se -v drapo a bay twa fwa, endèks la sekirite ak sèvis id yo enprime.

Kòd erè yo enprime pou pake abò, ak eksepsyon de pake Beacon Ubik (paske pake abò yo te itilize pou siyifye yon vòt Wi pou Ubik pwotokòl la).

Remake byen ke demann AFS yo trè gwo, epi anpil nan agiman yo pap anprentè sof si se mozayik ogmante. Eseye itilize ` -s 256 'pou gade AFS trafik.

AFS repons pakè pa explicitman idantifye operasyon RPC a. Olye de sa, tcpdump kenbe tras nan demann 'resan' ', ak matche yo nan replies yo lè l sèvi avèk nimewo a rele ak ID sèvis. Si yon repons pa suiv demann lan korespondan, li pa ta ka parese.

Kip Appletalk (DDP nan UDP)

Appletalk DDP pake enkli nan UDP datagram yo de-enklizyon ak jete kòm DDP pake (sètadi, se tout UDP enfòmasyon an header abandone). Fichye /etc/atalk.names yo itilize pou tradwi nonb nèt ak ne ne pou non. Liy nan dosye sa a gen fòm nan

nimewo non 1.254 etè 16.1 icsd-net 1.254.110 ace

De premye liy yo bay non yo nan rezo appletalk. Liy la twazyèm bay non an nan yon lame an patikilye (yon lame distenge soti nan yon privye pa octet nan 3yèm nan nimewo a - yon nimewo nè dwe gen de oktèt ak yon nimewo lame dwe gen twa oktèt.) Nimewo a ak non yo ta dwe separe pa whitespace (vid oswa onglè). Fichye /etc/atalk.names yo ka gen liy vid oswa liy kòmantè (liy kòmanse avèk yon `# ').

Adrès apletalk yo enprime nan fòm lan:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Si /etc/atalk.names pa egziste oswa pa gen yon antre pou kèk lame / nimewo nòmal appletalk, adrès yo enprime nan fòm nimerik.) Nan premye egzanp lan, NBP (DDP pò 2) sou net 144.1 node 209 ap voye bay kèlkeswa sa ki koute nan pò 220 nan nid nicsd 112. Liy nan dezyèm se menm eksepte se non konplè nan ne nan sous li te ye (`biwo '). Liy nan twazyèm se yon voye soti nan pò 235 sou ne jssmag node 149 emisyon sou pò a icsd-nèt NBP (note ke adrès la emisyon (255) se endike pa yon non nèt ki pa gen okenn nimewo lame - pou rezon sa a li nan yon bon lide pou kenbe non ne ak non nèt distenk nan /etc/atalk.names).

NBP (non obligatwa pwotokòl) ak ATP (Appletalk tranzaksyon pwotokòl) pakè gen sa yo entèprete. Pwotokòl Lòt jis jete non an pwotokòl (oswa nimewo si pa gen okenn non anrejistre pou pwotokòl la) ak gwosè pakè.

NBP pake yo fòma tankou egzanp sa yo:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Liy premye a se yon demann Passage non pou lazè voye pa lame Net 112 ak emisyon sou jssmag nè. ID np la pou Passage a se 190. Dezyèm liy lan montre yon repons pou demann sa a (sonje ke li gen id id) soti nan lame jssmag.209 li di ke li gen yon resous lazè yo te rele "RM1140" anrejistre sou pò 250. Twazyèm lan liy se yon lòt repons a demann lan menm ki di lame techpit gen lazèwriter "techpit" anrejistre sou pò 186.

ATP pake fòma se demontre pa egzanp sa a:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- Reponn 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 -7> 0xae030002

Jssmag.209 inisye idantik 12266 tranzaksyon ak ewo lame pa mande jiska 8 pake ('<0-7>'). Nimewo a ègzekutabl nan fen liy lan se valè a nan jaden an 'userdata' nan demann lan.

Helios reponn ak 8 512-byte pake. ': Chif' sa yo idantite tranzaksyon an bay nimewo sekans pake a nan tranzaksyon an ak nimewo a nan parens se kantite lajan an nan done nan pake a, eksepte header nan atp. '*' Nan pake 7 endike ke ti moso nan EOM te mete.

Jssmag.209 Lè sa a, mande ke pake 3 & 5 dwe retransmèt. Helios resend yo Lè sa a, jssmag.209 degaje tranzaksyon an. Finalman, jssmag.209 inisye demann kap vini an. '*' Sou demann lan endike ke XO ('egzakteman yon fwa') pa te mete.

IP Fragmentation

Fichye entènèt fragman yo enprime kòm

(Fraz id : gwosè @ konpanse +) ( ID frag : gwosè @ konpanse )

(Fòm nan premye endike gen plis fragman. Dezyèm lan endike sa a se fragman ki sot pase a.)

Id se ID nan fragman. Gwosè se gwosè a fragman (nan bytes) eksepte header nan IP. Offset se konpansasyon fragman sa a (nan bytes) nan dyagram orijinal la.

Enfòmasyon nan fragman se pwodiksyon pou chak fragman. Fragman an premye gen nivo ki pi wo nivo pwotokòl la ak enfòmasyon an frag se enprime apre enfòmasyon an pwotokòl. Fragman apre premye a pa gen okenn header nivo pwotokòl ki pi wo epi enfòmasyon an frag se enprime apre adrès yo sous ak destinasyon. Pou egzanp, isit la se yon pati nan yon ftp soti nan arizona.edu nan lbl-rtsg.arpa sou yon koneksyon CSNET ki pa parèt yo okipe 576 byte datagram:

arizona.ftp-done> rtsg.1170:. 1024: 1332 (308) ack 1 genyen 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-done:. Ack 1536 genyen 2560

Gen yon koup nan bagay sa yo sonje isit la: Premyèman, adrès nan liy lan 2nd pa gen ladan nimewo pò. Sa a se paske enfòmasyon an pwotokòl tchp se tout nan fragman an premye e nou pa gen okenn lide ki pò yo oswa nimewo sekans yo lè nou enprime fragman yo pita. Dezyèmman, se enfòmasyon sekans tcp nan premye liy enprime tankou si te gen 308 bytes nan done itilizatè lè, an reyalite, gen 512 bytes (308 nan premye fraj la ak 204 nan dezyèm lan). Si ou ap chèche pou twou nan espas sekans lan oswa ap eseye matche ak moute ak pake, sa a ka moun fou ou.

Yon pake ak IP a pa fèy drapo fragman make ak yon fin (DF) .

Timestamps

Pa default, tout liy pwodiksyon yo anvan pa yon timestamp. Timestamp a se tan revèy aktyèl la nan fòm lan

hh: mm: ss.frac

epi se kòm egzat kòm revèy Kernel la. Timestamp la reflete tan an premye a te wè pake a. Pa gen okenn tantativ te fè nan kont pou lag la tan ant lè koòdone nan ethernet retire pake a soti nan fil la ak lè nwayo a serviced 'pake nouvo' pake a.

GADE TOU

trafik (1C), nit (4P), bpf (4), pcap (3)

Enpòtan: Sèvi ak kòmandman an moun ( moun ) yo wè ki jan yon lòd yo itilize sou òdinatè patikilye ou.