Тцпдумп - Линук Цомманд - Уник наредба

НАМЕ

тцпдумп - думп траффиц на мрежи

СИНОПСИС

тцпдумп [ -адефлнНОпкРСтувкКс ] [ -ц број ]

[ -Ц филе_сизе ] [ -Ф датотека ]

[ -и интерфејс ] [ -м модул ] [ -р фајл ]

[ -с снаплен ] [ -Т тип ] [ -У корисник ] [ -в датотека ]

[ -Е алго: тајна ] [ израз ]

ОПИС

Тцпдумп одштампава заглавље пакета на мрежном интерфејсу који одговара боолеан изразу . Такође се може покренути са -в заставом, због чега се сачува пакетни податак у датотеку за каснију анализу и / или са ознаком -р , што га проузрокује читање из меморисане датотеке пакета, а не читање пакета из мрежног интерфејса. У свим случајевима, тцпдумп ће обрадити само пакете који одговарају изразу .

Тцпдумп ће, ако се не покрене са ознаком -ц , наставити са сакупљањем пакета док не буде прекинут сигналом СИГИНТ (генерисан, на примјер, уписивањем вашег прекидног знака, обично контроле-Ц) или СИГТЕРМ сигнала (обично генерираног са убиством (1) команда); ако се покреће са ознаком -ц, снимаће пакете све док не буде прекинута сигналом СИГИНТ или СИГТЕРМ или је обрађен наведени број пакета.

Када тцпдумп заврши сакупљање пакета, он ће пријавити број:

пакети `` примљени филтером '' (ово значење зависи од оперативног система на којем радите тцпдумп , а можда и од начина на који је ОС конфигурисан - ако је у командној линији одређен филтер, на неким ОС-овима се рачуна пакети без обзира да ли су упарени изразом филтрирања, а на другим оперативним системима рачунају само пакете који су упарени изразом филтера и обрађени су помоћу тцпдумп-а );

пакети `` испадани по кернелу '' (ово је број пакета који су пали, због недостатка пуферног простора, помоћу пакета за узимање пакета на оперативном систему на којем тцпдумп ради, ако ОС извештава те информације апликацијама; ако не, то ће бити пријављено као 0).

На платформама које подржавају СИГИНФО сигнал, као што је већина БСД-ова, извештава о тим бројкама када прими СИГИНФО сигнал (генерисан, на примјер, уписивањем вашег знака "статус", обично контрола-Т) и наставиће сакупљати пакете .

Читање пакета са мрежног интерфејса може захтевати да имате посебне привилегије:

Под СунОС 3.к или 4.к са НИТ или БПФ:

Морате имати приступ за читање / дев / нит или / дев / бпф * .

Под Соларисом са ДЛПИ:

Морате имати приступ за читање / писање мрежном псеудо уређају, нпр. / Дев / ле . Међутим, бар неке верзије Соларис-а то није довољно да омогући тцпдумп за снимање у промискуитетном режиму; на оним верзијама Соларис-а, морате бити роот, или тцпдумп мора бити инсталиран сетуид роот, како бисте га снимили у промискуитетном режиму. Имајте на уму да, на многим (можда и свим) интерфејсима, ако не снимате у промискуитетном режиму, нећете видети никакве одлазне пакете, тако да снимање које није обављено у промискуитетном режиму можда неће бити врло корисно.

Под ХП-УКС са ДЛПИ:

Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.

Под ИРИКС-ом с снооп:

Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.

Под Линуком:

Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.

Под Ултрик и Дигитал УНИКС / Тру64 УНИКС:

Сваки корисник може снимити мрежни саобраћај помоћу тцпдумп-а . Међутим, ниједан корисник (чак ни супер-корисник) не може ухватити у промискуитетном режиму на интерфејсу, осим ако супер-корисник није омогућио операције промискуитетног мода на том интерфејсу користећи пфцонфиг (8), а нема корисника (чак ни супер-корисник ) може снимити уницаст саобраћај примљен од или послат од стране машине на интерфејсу осим ако супер корисник није омогућио операцију копирања у свим модовима помоћу пфцонфиг-а , тако корисно снимање пакета на интерфејсу вероватно захтијева да било који промискуни мод или копија -алл-моде или оба начина рада, бити омогућени на том интерфејсу.

Под БСД:

Морате имати приступ за читање / дев / бпф * .

Читање сачуване пакетне датотеке не захтијева посебне привилегије.

ОПЦИЈЕ

-а

Покушај претворити мрежу и емитовати адресе имена.

-ц

Изађи након примања бројева пакета.

-Ц

Пре него што дате необрађени пакет у датотеку сачувања, проверите да ли је датотека тренутно већа од филе_сизе и, уколико је то случај, затворите тренутну датотеку сачувај и отворите нову. Савефилес након прве савефиле ће имати име специфицирано са -в заставом, са бројем након тога, почевши од 2 и наставља се према горе. Јединице датотеке_сизе су милионе бајтова (1.000.000 бајтова, не 1.048.576 бајтова).

-д

Испразните сакривени код за упоређивање пакета у људском читљивом облику на стандардни излаз и зауставите.

-дд

Код за упоређивање пакета за пакетирање као програмски фрагмент Ц.

-ддд

Код за упоређивање пакета за пакетирање као децимални бројеви (претходи броју).

-е

Штампајте заглавље линка везе на свакој линији за одлагање.

-Е

Користи алго: тајну за дешифровање ИПсец ЕСП пакета. Алгоритми могу бити дес-цбц , 3дес -цбц , бловфисх-цбц , рц3-цбц , цаст128-цбц , или ниједан . Подразумевано је дес-цбц . Способност дешифровања пакета је присутна само ако је тцпдумп компајлиран са омогућеном криптографијом. тајни асции текст за тајни кључ ЕСП. У овом тренутку не можемо да прихватимо произвољну бинарну вредност. Ова опција преузима РФЦ2406 ЕСП, а не РФЦ1827 ЕСП. Ова опција је само у сврху отклањања грешака, а обесхрабрена је употреба ове опције са истински 'тајним' кључем. Представљањем тајног кључа ИПсец на командну линију учините га видљивим другим, путем пс (1) и другим приликама.

-ф

Штампати 'иностране' интернет адресе бројчано, а не симболично (ова опција има за циљ да оствари озбиљну оштећења мозга на Суновом ип серверу - обично она виси заувек превођење не-локалних интернет бројева).

-Ф

Користите датотеку као улаз за израз филтра. Додатни израз дат у командној линији се занемарује.

-и

Слушајте на интерфејсу . Ако није прецизиран, тцпдумп претражује листу системских интерфејса за најмањи нумерички, конфигурисани интерфејс упаривања (искључујући лоопбацк). Везе се расклапају одабиром најранијег меча.

На Линук системима са 2.2 или новијим језгрима, аргумент за интерфејс "било које" може се користити за сакупљање пакета са свих интерфејса. Имајте на уму да снимци на "било којем" уређају неће бити у промискуитетном режиму.

-л

Направите стдоут линију. Корисно ако желите да видите податке док га снимате. На пример,
`` тцпдумп -л | тее дат '' или `тцпдумп -л> дат & таил -ф дат ''.

-м

Учитајте дефиниције СМИ МИБ модула из модула датотека. Ова опција се може користити неколико пута за учитавање неколико МИБ модула у тцпдумп .

-н

Не претварајте адресе хостова у имена. Ово се може користити да би се избегли прегледи ДНС-а.

-нн

Немојте претварати бројеве протокола и портова итд. У имена.

-Н

Не штампајте квалификације хостова имена домена. Нпр., Ако дати ову заставу, тцпдумп ће штампати `` ниц '' уместо `` ниц.ддн.мил ''.

-О

Не покрећите оптимизатор кода за усклађивање пакета. Ово је корисно само ако сумњате у грешку у оптимизатору.

-п

Не стављајте интерфејс у ​​промискуни мод. Имајте на уму да је интерфејс можда у промискуитетном режиму из неког другог разлога; Дакле, `-п 'не може се користити као скраћеница за` етхер хост {лоцал-хв-аддр} или етхер броадцаст'.

-к

Брзи (тихи?) Излаз. Штампајте мање информација о протоколу, тако да су излазне линије краће.

-Р

Претпоставимо да су пакети ЕСП / АХ засновани на старим спецификацијама (РФЦ1825 до РФЦ1829). Ако је специфицирано, тцпдумп неће штампати поље за спречавање репродукције. Пошто нема поља за протокол протокола у спецификацији ЕСП / АХ, тцпдумп не може закључити верзију ЕСП / АХ протокола.

-р

Прочитајте пакете из датотеке (који је креиран са опцијом -в). Стандардни унос се користи ако је датотека `` - ''.

-С

Штампајте апсолутне, а не релативне, бројеве ТЦП редоследа.

-с

Снарф појачава бајтове података из сваког пакета, а не подразумевано од 68 (са СунОС-овим НИТ-ом, минимум је заправо 96). 68 бајтова је адекватно за ИП, ИЦМП, ТЦП и УДП, али може скраћивати информације о протоколу из сервера имена и НФС пакета (погледајте доле). Пакети скраћени због ограниченог снимка приказани су на излазу са `` [| прото ] '', где је прото име нивоа протокола на којем се појавила скраћивање. Имајте на уму да узимање веће снимке повећава количину времена потребног за процесирање пакета и ефикасно смањује количину бафера пакета. Ово може довести до губитка пакета. Требали бисте ограничити снажење до најмањих бројева који ће заузети информације о протоколу за које сте заинтересовани. Постављање снаплен на 0 значи користити потребну дужину да бисте ухватили читаве пакете.

-Т

Пакете сила које је изабрао " израз " да би се тумачили одређени тип . Тренутно познати типови су цнфп (Цисцо НетФлов протокол), рпц (Ремоте Процедуре Цалл), ртп (Реал-Тиме Апплицатионс протокол), ртцп (Реал-Тиме Апплицатионс цонтрол протоцол), снмп (Симпле Нетворк Манагемент Протоцол) ) и вб (дистрибуирани бели боард).

-Т

Немојте штампати временску ознаку на свакој линији отпада.

-тт

Штампајте неформатирану временску ознаку на свакој линији отпада.

-У

Прилагодава привилегије роот-а и промени корисничко име ИД корисника и групе примарној групи корисника .

Белешка! Ред Хат Линук аутоматски испуста привилегије кориснику `` пцап '' ако ништа друго није специфицирано.

-ттт

Штампајте делта (у микро-секундама) између тренутне и претходне линије на свакој линији отпада.

-тттт

Одштампајте временски жиг у подразумеваном формату настављен по датуму на свакој линији за одлагање.

-у

Штампајте недодирљиве НФС ручке.

-в

(Мало више) вербосе излаза. На пример, одштампано је време за живот, идентификацију, укупну дужину и опције у ИП пакету. Такође омогућава додатне провјере интегритета пакета, као што је провјера ИП и ИЦМП хеадер цхецксум-а.

-вв

Још више гломазан излаз. На пример, додатна поља се штампају из НФС пакета одговора, а СМБ пакети су потпуно декодирани.

-ввв

Још више гломазан излаз. На пример, телнет СБ ... СЕ опције се штампају у потпуности. Уз опције -Кс телнет опције се штампају и хекс.

-в

Напишите необрађене пакете у датотеку, а не раздвајање и исписивање. Касније се могу штампати са опцијом -р. Стандардни излаз се користи ако је датотека `` - ''.

-Икс

Штампајте сваки пакет (у зависности од заглавља линка везе) у хек. Одштампаће се мањи од целог пакета или бајта за снажење . Имајте на уму да је ово цијели пакет пакета линкова, тако да за слојеве везе који пад (нпр. Етхернет), паддинг бајтови ће се такођер одштампати када је пакет вишег слоја краћи од тражене облоге.

-ИКС

Када штампате хек, исписујте асции такође. Тако ако је и -к подешен, пакет се штампа у хек / асции. Ово је веома корисно за анализу нових протокола. Чак и ако -к није подешен, неки дијелови неких пакета могу се одштампати у хек / асции.

израз

бираће који пакети ће бити одбачени. Ако се не дају изрази , сви пакети на мрежи ће бити одбачени. У супротном, само пакети за које је израз "истина" биће одбачени.

Израз се састоји од једног или више примитива. Примитиви се обично састоје од ид (имена или броја) који претходи један или више квалификатора. Постоје три различите врсте квалификатора:

тип

квалификатори кажу на коју врсту ствари се односи ид или број. Могуће врсте су хост , мрежа и порт . На пример, `хост фоо ',` нет 128.3', `порт 20 '. Ако не постоји квалификатор типа, претпоставља се хост .

дир

квалификатори одређују одређени правац преноса на и / или од ид . Могућа упутства су срц , дст , срц или дст и срц и дст . Нпр, `срц фоо ',` дст нет 128.3', `срц или дст порт фтп-дата '. Ако нема квалификатора за дир, претпоставља се срц или дст . За слојеве нултог слоја везе (тј. Протоколе типа "поинт то поинт" као што је клизање), улазни и одлазни квалификатори се могу користити за одређивање жељеног правца.

прото

квалификатори ограничавају утакмицу на одређени протокол. Могући протокови су: етхер , фдди , тр , ип , ип6 , арп , рарп , децнет , тцп и удп . На пример, `етхер срц фоо ',` арп нет 128.3', `тцп порт 21 '. Ако не постоји квалификатор протока, претпоставља се да су сви протоколи у складу са типом. Нпр., `Срц фоо 'означава` (ип или арп или рарп) срц фоо' (осим што последње није правна синтакса), `нет бар 'означава` (ип или арп или рарп) нет бар' и `порт 53 'значи `(тцп или удп) порт 53 '.

[`фдди 'је у ствари псеудоним за' етер '; парсер их третира идентично на значење "ниво везе података који се користи на одређеном мрежном интерфејсу." ФДДИ заглавља садрже Етхернет-ове изворне и одредишне адресе, а често садрже етернет-типове пакета, тако да можете филтрирати на ова поља ФДДИ баш као и са аналогним Етхернет пољима. ФДДИ заглавља такође садрже друга поља, али их не можете експлицитно назвати у изразу филтера.

Слично томе, `тр 'је псеудоним за' етер '; изјаве из претходног параграфа о ФДДИ заглављима примјењују се и на заглавље Токен Ринг.]

Поред горе наведеног, постоје и неке посебне "примитивне" кључне речи које не слиједе шаблон: гатеваи , броадцаст , мање , веће и аритметичке изразе. Све су описане у наставку.

Сложенији изрази филтера се формирају коришћењем речи и , или не и комбиновања примитива. Нпр. `Хост фоо, а не порт фтп, а не порт фтп-дата '. Да би сачували типкање, идентичне листе квалификатора се могу изоставити. На пример, `тцп дст порт фтп или фтп-дата или домен 'је потпуно исти као` тцп дст порт фтп или тцп дст порт фтп-дата или тцп дст порт домаин'.

Дозвољени примитиви су:

дст хост хост

Истина ако је поље за одредиште ИПв4 / в6 пакета хост , што може бити адреса или име.

срц хост хост

Истина је ако је изворно поље пакета ИПв4 / в6 хоста .

хост хост

Истина ако је или извор ИПв4 / в6 или одредиште пакета хост . Било који од горе наведених израза домаћина може се препунити кључним речима, ип , арп , рарп или ип6 као у:

ИП хост хост

што је еквивалентно:

етер прото \ ип и хост хост

Ако је хост име са више ИП адреса, свака адреса ће бити проверена за утакмицу.

етхер дст ехост

Истина је ако је адреса етхернет дестинације ехост . Ехост може бити или име из / етц / етерс или броја (види етерс (3Н) за нумерички формат).

етхер срц ехост

Истина ако је адреса е- поште извор ехост .

етер хост ехост

Истина ако је извор е- поште или одредишна адреса ехост .

хост гатеваи

Истина ако је пакет користио хост као гатеваи. Тј, изворни извор или циљна адреса била је хост, али ниједан ИП извор нити одредиште за ИП нису били домаћини . Домаћин мора бити име и мора се наћи и помоћу механизама за резолуцију хост-име-према-ИП адреси (датотека имена хоста, ДНС-а, НИС-а итд.) И резолуцијом хост-наме-то-Етхернет адресе механизам (/ етц / етхерс, итд.). (Еквивалентни израз је

етер хост ехост и не хост хост

који се може користити са именима или бројевима за хост / ехост .) Ова синтакса не ради у конфигурацији омогућеном ИПв6 у овом тренутку.

дст нет нет

Истина је ако ИПв4 / в6 одредишна адреса пакета има мрежни број мреже . Мрежа може бити или име из / етц / мрежа или мрежног броја (за више детаља погледајте мреже (4) ).

срц нет нет

Истина је ако ИПв4 / в6 изворна адреса пакета има мрежни број мреже .

нето нето

Истина ако је изворни ИПв4 / в6 или одредишна адреса пакета мрежни број мреже .

нет маска маска за маске

Истина ако се ИП адреса поклапа са мрежом са одређеном мрежном маском . Може бити квалификован са срц или дст . Имајте на уму да ова синтакса није важећа за ИПв6 мрежу .

нето нето / лен

Истина је ако се ИПв4 / в6 адреса поклапа са мрежом с широким бин мрежним масама. Може бити квалификован са срц или дст .

дст порт порт

Истина ако је пакет ип / тцп, ип / удп, ип6 / тцп или ип6 / удп и има вриједност одредишног порта порта . Порт може бити број или име које се користи у / етц / сервицес (види тцп (4П) и удп (4П)). Ако се користи име, проверите број порта и протокол. Ако се користи број или двосмислено име, само је број порта проверен (нпр. Дст порт 513 ће штампати и тцп / логин саобраћај и удп / који ће саобраћати, а домен порта ће штампати оба тцп / домена и удп / домен промета).

срц порт порт

Истина ако пакет има вриједност извора порта порта .

порт порт

Истина ако је изворни или одредишни порт пакета порт . Било који од горе наведених израза порта може се препоручити кључним ријечи, тцп или удп , као у:

тцп срц порт порт

који одговара само тцп пакетима чији изворни порт је порт .

мање дужине

Истина ако пакет има дужину мању од или једнаку дужини . Ово је еквивалентно:

лен <= дужина .

већа дужина

Тачно ако пакет има дужину већу од или једнаку дужини . Ово је еквивалентно:

лен> = дужина .

ИП протокол протокола

Истина ако је пакет ИП пакет (погледајте ип (4П)) протокола типа протокола . Протокол може бити број или једно од имена ицмп , ицмп6 , игмп , игрп , пим , ах , есп , вррп , удп или тцп . Имајте на уму да су идентификатори тцп , удп и ицмп такође кључне ријечи и морају бити избјегнути преко бацксласх-а (\), који је \\ у Ц-схелл-у. Имајте на уму да овај примитив не протиче ланац заглавља протокола.

протокол протокола ип6

Истина ако је пакет ИПв6 пакет протокола типа протокола . Имајте на уму да овај примитив не протиче ланац заглавља протокола.

Протокол протокола ип6

Истина ако је пакет ИПв6 пакет и садржи заглавље протокола са протоколом типа у свом ланцу заглавља протокола. На пример,

ип6 протоцхаин 6

одговара било којем ИПв6 пакету са ТЦП протоколом заглавља у ланцу заглавља протокола. Пакет може садржати, на примјер, заглавље аутентичности, заглавље рутирања или заглавље опције "хоп-би-хоп", између заглавља ИПв6 и ТЦП заглавља. БПФ код који емитира овај примитив је сложен и не може бити оптимизиран помоћу БПФ оптимизацијског кода у тцпдумп-у , тако да ово може бити нешто споро.

ип протоцхаин протокол

Еквивалентан протоколу протоцхаин ип6 , али ово је за ИПв4.

етер емитује

Истина ако је пакет етхернет преносни пакет. Кључна реч етра је необавезна.

ип емитује

Истина ако је пакет ИП пакетни пакет. Он проверава и конвенције о свим нулама и свим онима које емитују, и потражује локалну маску подмреже.

етер мултицаст

Истина ако је пакет етхернет мултицаст пакет. Кључна реч етра је необавезна. Ово је скраћеница за ` етхер [0] & 1! = 0 '.

ип мултицаст

Истина ако је пакет мултицаст пакет ИП.

ип6 мултицаст

Истина ако је пакет ИПв6 мултицаст пакет.

етер прото протокол

Истина ако је пакет етер тип протокола . Протокол може бити број или једно од имена ип , ип6 , арп , рарп , аталк , аарп , децнет , сца , лат , мопдл , мопрц , исо , стп , ипк или нетбеуи . Обратите пажњу на то да су ти идентификатори такође кључне ријечи и морају се избјећи помоћу пошиљака (\).

[У случају ФДДИ (нпр. ` Ард фдди протоцол арп ') и Токен Ринг ( нпр.` Тр протоцол арп '), за већину тих протокола, идентификација протокола долази из хеадер-а (Логиц Линк Цонтрол) (ЛЛЦ) 802.2, која обично је слојевит на врху ФДДИ или Токен Ринг заглавља.

Када се филтрира за већину идентификатора протокола на ФДДИ или Токен Ринг, тцпдумп проверава само поље за ИД протокола ЛЛЦ заглавља у тзв. СНАП формату са Идентификатором Организационе Јединице (ОУИ) од 0к000000, за инкапсулирани Етхернет; не проверава да ли је пакет у СНАП формату са ОУИ од 0к000000.

Изузеци су исо , за које провјерава поља ДСАП (Дестинатион Сервице Аццесс Поинт) и ССАП (Соурце Сервице Аццесс Поинт) поља ЛЛЦ заглавља, стп и нетбеуи , гдје провјерава ДСАП наслова ЛЛЦ и аталк , гдје је проверава пакет пакета СНАП са ОУИ од 0к080007 и Апплеталк етипе.

У случају Етхернет-а, тцпдумп проверава поље Етхернет типа за већину тих протокола; изузеци су исо , сап и нетбеуи , за које провјерава оквир 802.3, а затим провјерава ЛЛЦ заглавље као и за ФДДИ и Токен Ринг, аталк , гдје провјерава и Апплеталк етипе у етернет оквиру и за Пакет СНАП-формата као и за ФДДИ и Токен Ринг, аарп , где провјерава Апплеталк АРП етипе или у Етхернет оквиру или 802.2 СНАП оквиру са ОУИ од 0к000000, и ипк , гдје провјерава ИПКС етипе у Етхернет рам, ИПКС ДСАП у ЛЛЦ заглављу, 802.3 без енкапсулације ИП хеадера ИПКС-а и ИПКС етапе у СНАП оквирима.]

децнет срц хост

Истина ако је изворна адреса ДЕЦНЕТ хоста , која може бити адреса формулара `` 10.123 '' или име хоста ДЕЦНЕТ. [ДЕЦНЕТ подршка за хост име је доступна само на Ултрик системима који су конфигурисани да покрећу ДЕЦНЕТ.]

децнет дст хост

Истина ако је одредишна адреса ДЕЦНЕТ-а домаћин .

домаћин хост домаћина

Истина је да ли је извор изворне или одредишне адресе ДЕЦНЕТ домаћин .

ип , ип6 , арп , рарп , аталк , аарп , децнет , исо , стп , ипк , нетбеуи

Скраћенице за:

етер прото п

где је п један од горе наведених протокола.

лат , мопрц , мопдл

Скраћенице за:

етер прото п

где је п један од горе наведених протокола. Имајте на уму да тцпдумп тренутно не зна како да разрађује ове протоколе.

влан [влан_ид]

Истина ако је пакет ИЕЕЕ 802.1К ВЛАН пакет. Ако је [влан_ид] прецизиран, једино је тачно да је пакет означио влан_ид . Имајте на уму да је прва кључна ријеч вланова која се среће у изразу мијења одступања декодирања за остатак израза под претпоставком да је пакет ВЛАН пакет.

тцп , удп , ицмп

Скраћенице за:

ип прото п или ип6 прото п

где је п један од горе наведених протокола.

исо прото протокол

Истина ако је пакет ОСИ пакет протокола типа протокола . Протокол може бити број или једно од имена цлнп , есис или исис .

цлнп , есис , исис

Скраћенице за:

исо прото п

где је п један од горе наведених протокола. Имајте на уму да тцпдумп чини некомплетан посао раздвајања ових протокола.

екпр релоп екпр

Истина ако је релација држана , где је релоп један од>, <,> =, <=, = ,! =, И екпр је аритметичка експресија састављена од интегралних константи (изражених у стандардној синтакси Ц), нормални бинарни оператори [+ , -, *, /, &, |], оператора дужине и посебних приступних пакета података. Да бисте приступили подацима унутар пакета, користите следећу синтаксу:

прото [ израз : величина ]

Прото је један од етара, фдди, тр, ппп, слип, линк, ип, арп, рарп, тцп, удп, ицмп или ип6 и означава слој протокола за операцију индекса. ( етхер, фдди, тр, ппп, слип и линк сви се односе на слој везе.) Имајте на уму да се тцп, удп и други типови протокола горњег нивоа односе само на ИПв4, а не на ИПв6 (то ће бити поправљено у будућности). Изравнавање бајтова, у односу на назначени слој протокола, даје се израч . Величина је необавезна и означава број бајтова у пољу интереса; то може бити један, два или четири, а подразумевано је једно. Оператор дужине, означен кључем лен , даје дужину пакета.

На пример, ` етер [0] и 1! = 0 'ухвати све мултицаст саобраћај. Израз ` ип [0] & 0кф! = 5 'ухвати све ИП пакете са опцијама. Израз ` ип [6: 2] & 0к1ффф = 0 'ухвати само нефрагментиране датаграме и фраг нула фрагментираних датаграма. Ова провера се имплицитно примењује на операције тцп и удп индекса. На примјер, тцп [0] увијек значи први бајт ТЦП заглавља , а никада не значи први бајт интервентног фрагмента.

Неке сметње и вредности поља могу се изразити као имена а не као нумеричке вредности. На располагању су слиједећа одступања поља заглавља протокола: ицмптипе (поље ИЦМП типа), ицмпцоде (поље ИЦМП кода) и тцпфлагс (поље ТЦП заставе).

На располагању су следеће ИЦМП типове поља: ицмп-ецхорепли , ицмп-унреацх , ицмп-соурцекуенцх , ицмп-редирецт , ицмп-ецхо , ицмп-роутерадверт , ицмп-роутерсолицит , ицмп-тимкцеед , ицмп-парампроб , ицмп-тстамп , ицмп -тстампрепли , ицмп-ирек , ицмп-ирекрепли , ицмп-маскрек , ицмп-маскрепли .

На располагању су следеће вредности поља ТЦП заставице: тцп-фин , тцп-син , тцп-рст , тцп-пусх , тцп-пусх , тцп-ацк , тцп-ург .

Примитиви се могу комбиновати помоћу:

Скривени скуп примитива и оператора (заграде су посебне за Схелл и морају бити избачене).

Негација (` ! 'Или` не ').

Конкатенација (` && 'или` и ').

Алтернација (` || 'или` или ').

Негација има највиши приоритет. Алтернација и конценатација имају једнак приоритет и придружио се лево на десно. Имајте на уму да су експлицитне и токене, а не јукстапозиције, сада потребне за конценатацију.

Ако је идентификатор дат без кључне речи, претпоставља се најновија кључна реч. На пример,

не домаћин вс и аце

је кратак за

не домаћин вс домаћин аце

с којим се не треба мешати

не (хост вс или аце)

Аргументи експресије могу се пренијети на тцпдумп или као један појединачни аргумент или као вишеструки аргумент, у зависности од тога који је погоднији. Уопштено говорећи, ако израз садржи Схелл метацхарацтерс, то је лакше пренијети као један цитирани аргумент. Вишеструки аргументи су повезани са размацима пре него што буду разрађени.

ПРИМЕРИ

Да бисте одштампали све пакете који долазе или излазе из заласка сунца :

тцпдумп хост сундовн

Да бисте одштампали саобраћај између хелија и било врућих или аце :

тцпдумп хост хелиос и \ (хот или аце \)

Да бисте одштампали све ИП пакете између аса и било којег хоста осим хелија :

тцпдумп ип хост аце а не хелиос

Да бисте одштампали сав саобраћај између локалних домаћина и домаћина у Беркелеи-у:

тцпдумп нет уцб-етхер

Да бисте исписали све фтп саобраћаја преко интернет гатеваи- а : (обратите пажњу на то да је израз цитиран како би се спречило да се схелл (погрешно) тумачи заграде):

тцпдумп 'гатеваи снуп и (порт фтп или фтп-дата)'

Да бисте одштампали саобраћај који није извор нити је био намењен локалним домаћинима (ако се налазите на другу мрежу, ове ствари никада не би требало да буду у вашој локалној мрежи).

тцпдумп ип, а не нетнетнет

Да бисте одштампали почетни и крајњи пакети (СИН и ФИН пакети) сваког ТЦП разговора који укључује не-локални хост.

тцпдумп 'тцп [тцпфлагс] & (тцп-син | тцп-фин)! = 0 а не срц и дст нет лоцалнет '

За штампање ИП пакета дужих од 576 бајтова послатих кроз мрежни пролаз :

тцпдумп 'гатеваи снуп и ип [2: 2]> 576'

Да бисте одштампали ИП или мултицаст пакете који нису послати путем етхернет емитовања или мултицаст:

тцпдумп 'етхер [0] & 1 = 0 и ип [16]> = 224'

Да бисте одштампали све ИЦМП пакете који нису ехо захтјеви / одговори (нпр. Не пинг пакети):

тцпдумп 'ицмп [ицмптипе]! = ицмп-ецхо и ицмп [ицмптипе]! = ицмп-ецхорепли'

ИЗЛАЗНИ ФОРМАТ

Излаз тцпдумп је зависио од протокола. Слиједи кратак опис и примјери већине формата.

Линк Левел Хеадерс

Ако је дата "-е" опција, хеадер левел линк се одштампа. На етхернетовима се штампају изворна и одредишна адреса, протокол и дужина пакета.

У ФДДИ мрежама, опција "-е" узрокује тцпдумп да одштампа поље контроле рампе, изворне и одредишне адресе и дужину пакета. Нормални пакети (као што су они који садрже ИП датаграмове) су пакети са "асинц" са приоритетном вриједношћу између 0 и 7, на примјер, асинц4 . претпоставља се да пакети садрже пакет 802.2 Логицал Линк Цонтрол (ЛЛЦ), а ЛЛЦ хеадер се штампа ако није датаграм ИСО или такозвани СНАП пакет.

На мрежама Токен Ринг, опција '-е' доводи тцпдумп да одштампа поља контроле приступа и поља контроле, изворне и одредишне адресе и дужину пакета. Као на ФДДИ мрежама, претпоставља се да пакети садрже ЛЛЦ пакет. Без обзира да ли је опција '-е' специфицирана или не, изворне информације о усмеравању се штампају за изворне усмерене пакете.

(Напомена: Следећи опис претпоставља фамилијарност са алгоритмом СЛИП компресије описаном у РФЦ-1144.)

На СЛИП линковима се штампа индикатор правца ("И" за улаз, "О" за одлазне), тип пакета и информације о компресији. Врста пакета се штампа прво. Три типа су ип , утцп и цтцп . Нису одштампане додатне информације о вези за ИП пакете. За ТЦП пакете, идентификатор везе се штампа следећи тип. Ако је пакет компримован, његово кодирано заглавље се одштампа. Посебни случајеви се штампају као * С + н и * СА + н , где је н количина којом се променио редни број (или редни број и ацк). Ако то није посебан случај, штампаће се нула или више промјена. Промена је означена са У (ургентним показивачем), В (прозор), А (ацк), С (број секвенце) и И (ИД пакета), затим делта (+ н или -н) или нова вриједност (= н). На крају, штампа се количина података у пакету и дужини компримованог заглавља.

На пример, следећа линија показује ТЦП пакет који има исход са командом, са имплицитним идентификатором везе; ацк се променио за 6, број секвенце за 49, а ИД пакета за 6; постоје 3 бајта података и 6 бајта компримованог заглавља:

О цтцп * А + 6 С + 49 И + 6 3 (6)

АРП / РАРП пакети

Арп / рарп излаз приказује врсту захтева и његове аргументе. Формат је намијењен да буде самопомоћан. Ево кратког узорка узетог од почетка ` рлогин` од хост ртсг до хоста цсам :

арп вхо-хас цсам каже ртсг арп одговор цсам је-на ЦСАМ

Прва линија каже да је ртсг послао арп пакет који тражи етхернет адресу интернет цсам-а. Цсам одговара с адресом етхернет (у овом примеру, етхернет адресе су у капицама и интернет адресе у малом случају).

Ово би изгледало мање редундантно ако смо урадили тцпдумп -н :

арп вхо-хас 128.3.254.6 телл 128.3.254.68 арп одговор 128.3.254.6 је на 02: 07: 01: 00: 01: ц4

Ако смо урадили тцпдумп-е , биће видљив податак да се први пакет емитује, а други је поинт-то-поинт:

РТСГ Броадцаст 0806 64: арп који има цсам речи ртсг ЦСАМ РТСГ 0806 64: арп одговор цсам је-на ЦСАМ

За први пакет у коме се каже да је изворни извор електронске поште РТСГ, одредиште је етхернет броадцаст адреса, поље типа је садржано хек 0806 (тип ЕТХЕР_АРП), а укупна дужина је 64 бајта.

ТЦП пакети

(Напомена: Следећи опис подразумева познавање ТЦП протокола описаног у РФЦ-793. Ако нисте упознати са протоколом, ни овај опис нити тцпдумп вам неће бити од велике користи.)

Општи формат тцп протокола је:

срц> дст: застава дата-секно ацк прозор хитне опције

Срц и дст су изворне и одредишне ИП адресе и портови. Заставе су нека комбинација С (СИН), Ф (ФИН), П (ПУСХ) или Р (РСТ) или једне `. ' (без застава). Дата-секно описује део простора секвенце који покрива дата у овом пакету (погледајте пример испод). Ацк је редослед број следећих података који очекују други правац на овој вези. Прозор је број бајтова пријемног пуфера који је доступан у другом правцу на тој вези. Ург указује да у пакету постоје "хитни" подаци. Опције су тцп опције које се налазе у угловним заградама (нпр. <Мсс 1024>).

Срц, дст и заставе су увек присутни. Друга поља зависе од садржаја заглавља ТЦП протокола пакета и излазе се само ако је то потребно.

Ево почетног дела рлогина од хост ртсг до хоста цсам .

ртсг.1023> цсам.логин: С 768512: 768512 (0) вин 4096 <мсс 1024> цсам.логин> ртсг.1023: С 947648: 947648 (0) ацк 768513 вин 4096 <мсс 1024> ртсг.1023> цсам. Пријавите се: . ацк 1 вин 4096 ртсг.1023> цсам.логин: П 1: 2 (1) ацк 1 вин 4096 цсам.логин> ртсг.1023:. ацк 2 вин 4096 ртсг.1023> цсам.логин: П 2:21 (19) ацк 1 вин 4096 цсам.логин> ртсг.1023: П 1: 2 (1) ацк 21 вин 4077 цсам.логин> ртсг.1023: П 2: 3 (1) ацк 21 вин 4077 ург 1 цсам.логин> ртсг.1023: П 3: 4 (1) ацк 21 вин 4077 ург 1

Прва линија каже да је тцп порт 1023 на ртсг послао пакет за пријављивање портова на цсам. С означава да је постављена СИН заставица. Број редоследа пакета био је 768512 и није садржавао податке. (Ознака је `прва: последња (нбитес) 'што значи' бројеви секвенце најчешће до, али не укључујући последње што је нбитес бајтова корисничких података '.) Није било прагова , а доступни прозор је био 4096 бајтова и било је опција величине мак-сегмент-а која захтева мсс-у од 1024 бајта.

Цсам одговара са сличним пакетом, осим што укључује праве пигги ацк за ртсг СИН. Ртсг затим ацкс цсам СИН. Тхе `. ' значи да нису постављене заставице. Пакет није садржао податке, тако да не постоји број редоследа података. Имајте на уму да је ак секвенца низак мали број (1). Први пут тцпдумп види тцп `цонверсатион ', он одштампава број секвенце из пакета. На следећим пакетима разговора, штампа се разлика између броја секвенце пакета и овог почетног броја секвенце. То значи да се бројеви редоследа после првог могу тумачити као релативне бајтове позиције у току преноса података (са првим бајтом података у сваком смеру који је `1 '). `-С 'ће превазићи ову функцију, узрокујући да се оригинални бројеви излазе.

На 6. редоследу, ртсг шаље цсам 19 бајтова података (бајтова 2 до 20 у ртсг -> цсам страни разговора). Застава ПУСХ је постављена у пакет. На седмој линији, цсам каже да су примљени подаци послани од ртсг до, али не укључујући бајт 21. Већина ових података очито седи у баферу сокова, пошто је прозор за примање цсам-а добио мање од 19 бајтова. Цсам такође шаље један бајт података у ртсг у овом пакету. На 8. и 9. редоследу, цсам шаље два бита хитних, потискује податке у ртсг.

Ако је снимак био довољно мали да тцпдумп није снимио пун ТЦП заглавље, он тумачи што више заглавља колико може, а затим извештава `` [| тцп ] '' да би се назначио да се остатак не може тумачити. Ако заглавље садржи лажну опцију (једна са дужином која је или премала или изнад краја заглавља), тцпдумп извештава о томе као `` [ лоше опт ] '' и не интерпретира даље опције (пошто је немогуће рећи где почињу). Ако дужина заглавља указује на опције су присутне, али дужина ИП адресе није довољно дуга да би опције биле заправо тамо, тцпдумп ће то пријавити као `` [ лошу хдр дужину ] ''.

Снимање ТЦП пакета са одређеним комбинацијама заставица (СИН-АЦК, УРГ-АЦК, итд.)

Постоји 8 бита у одељку контролних бита ТЦП заглавља:

ЦВР | ЕЦЕ | УРГ | АЦК | ПСХ | РСТ | СИН | ФИН

Претпоставимо да желимо гледати пакете који се користе за успостављање ТЦП везе. Подсјетимо да ТЦП користи тросистемски протокол руковања када иницијализује нову везу; секвенца везе у односу на контролне битове ТЦП је

1) Цаллер шаље СИН

2) Прималац одговара са СИН, АЦК

3) Цаллер шаље АЦК

Сада смо заинтересовани за хватање пакета који имају само СИН бит сет (Корак 1). Имајте на уму да не желимо пакете из корака 2 (СИН-АЦК), само обичан почетни СИН. Оно што нам је потребно је тачан филтер израз за тцпдумп .

Позовите структуру ТЦП заглавља без опција:

0 15 31 ----------------------------------------------- ------------------ | изворни порт | дестинатион порт | -------------------------------------------------- --------------- | редни број | -------------------------------------------------- --------------- | број потврде | -------------------------------------------------- --------------- | ХЛ | рсвд | Ц | Е | У | А | П | Р | С | Ф | величина прозора | -------------------------------------------------- --------------- | ТЦП цхецксум | хитни показивач | -------------------------------------------------- ---------------

ТЦП заглавље обично држи 20 оцтета података, осим ако нису присутне опције. Прва линија графикона садржи октете 0 - 3, друга линија показује октете 4 - 7 итд.

Почевши од броја 0, релевантни ТЦП контролни битови садржани су у октету 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | ХЛ | рсвд | Ц | Е | У | А | П | Р | С | Ф | величина прозора | ---------------- | --------------- | --------------- | - --------------- | | 13. октет | | |

Хајде да погледамо октет бр. 13:

| | | --------------- | | Ц | Е | У | А | П | Р | С | Ф | | --------------- | | 7 5 3 0 |

Ово су ТЦП контролни битови за које смо заинтересовани. Ми смо нумерирали битове у овом октету од 0 до 7, десно на лево, тако да је ПСХ бит бит 3, док је УРГ бит број 5.

Подсјетимо да желимо заробити пакете само с СИН сетом. Да видимо шта се дешава са октетом 13, ако ТЦАГ датаграм стигне са СИН битом постављеним у његовом заглављу:

| Ц | Е | У | А | П | Р | С | Ф | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Ако погледамо део контроле, видимо да је подешен само битни број 1 (СИН).

Под претпоставком да је октет број 13 8-битни непотписани интегер у поруџбини бајтова мреже, бинарна вредност овог октета је

00000010

и његово децимално представљање је

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Скоро смо готови, јер сада знамо да ако је само СИН подешен, вриједност 13. октета у ТЦП заглављу, када се тумачи као 8-битни непотписани цијели број у бајтном редоследу мреже, мора бити тачно 2.

Овај однос се може изразити као

тцп [13] == 2

Овај израз можемо користити као филтер за тцпдумп да би гледали пакете који имају само СИН скуп:

тцпдумп -и кл0 тцп [13] == 2

Израз каже: "Нека 13. октет ТЦП датаграма има децималну вредност 2", што је управо оно што желимо.

Сада, претпоставимо да требамо заробити СИН пакете, али нам није брига да ли је АЦК или неки други ТЦП контролни бит постављен у исто вријеме. Да видимо шта се дешава са октетом 13 када долази ТЦП датаграм са СИН-АЦК скупом:

| Ц | Е | У | А | П | Р | С | Ф | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Сада су битови 1 и 4 постављени у 13. октет. Бинарна вредност октета 13 је

00010010

што преведе на децимално

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 = 18

Сада не можемо само користити тцп [13] == 18 у изразу тцпдумп филтера, јер би то одабрао само оне пакете који имају СИН-АЦК скуп, али не и оне са само СИН сетом. Запамтите да нам није брига да ли је АЦК или било који други контролни бит подешен све док је СИН подешен.

Да бисмо постигли свој циљ, морамо логично и бинарну вриједност октета 13 с неким другим вриједностима за очување СИН бита. Знамо да желимо да СИН буде постављен у сваком случају, тако да ћемо логички И вриједност у 13. октету са бинарном вриједношћу СИН-а:

00010010 СИН-АЦК 00000010 СИН АНД 00000010 (желимо СИН) И 00000010 (желимо СИН) -------- -------- = 00000010 = 00000010

Видимо да ова операција АНД даје исти резултат без обзира да ли је постављен АЦК или други ТЦП контролни бит. Децимална репрезентација вредности АНД као и резултат ове операције је 2 (бинарна 00000010), тако да знамо да за пакете са СИН постављеном сљедећи однос мора бити истинит:

((вредност октета 13) И (2)) == (2)

Ово нас упућује на израз тцпдумп филтер

тцпдумп -и кл0 'тцп [13] & 2 == 2'

Имајте на уму да у изразу користите појединачне цитате или косу са сказом да бисте сакрили специјални знак АНД ('&') из љуске.

УДП Пакети

УДП формат је илустрован овим пакетом рвхо:

ацтиниде.вхо> броадцаст.вхо: удп 84

Ово каже да је лука која је на домаћем актиниду послала удп датаграм за пријенос који је у домаћинству емитован , Интернет броадцаст аддресс. Пакет садржи 84 бајта корисничких података.

Неке УДП услуге су препознате (од изворног или одредишног порта) и одштампане информације о протоколу вишег нивоа. Конкретно, захтеви за сервис домена (РФЦ-1034/1035) и Сун РПЦ позиви (РФЦ-1050) за НФС.

Захтеви УДП Име Сервера

(Напомена: Следећи опис подразумева познавање протокола Домаин Сервицеа описаног у РФЦ-1035. Ако нисте упознати са протоколом, изгледаће се да је сљедећи опис написан у грчком језику.)

Захтеви сервера за име су форматирани као

срц> дст: ид оп? флагс ктипе кцласс име (лен) х2ополо.1538> хелиос.домаин: 3+ А? уцбвак.беркелеи.еду. (37)

Хост х2ополо је тражио сервер домена на хелиосу за адресни запис (ктипе = А) повезан са именом уцбвак.беркелеи.еду. ИД упита је био `3 '. `+ 'Означава жељену заборку за рекурзију . Дужина упита била је 37 бајтова, не укључујући заглавља УДП и ИП протокола. Операција упита је била нормална, Куери , тако да је оп поље испуштено. Ако је оп било шта друго, биће исписано између `3 'и` +'. Слично томе, кцласс је био нормалан, Ц_ИН и изостављен. Сваки други кцласс би се штампао одмах након 'А'.

Неколико аномалија се проверава и може довести до додатних поља затворених у угластим заградама: Ако упит садржи одговор, записник о ауторитету или додатни део записа, анцоунт , нсцоунт или арцоунт се штампају као `[ н а] ',` [ н н ] 'или `[ н ау]' где је н одговарајуће бројање. Ако су неки битови одговора постављени (АА, РА или рцоде) или било који од "мора бити нула" битови су постављени у бајта два и три, одштампан је "[б2 & 3 = к ]", гдје је к вриједност хекса заглавље два и три бајта.

УДП Наме Сервер Респонсес

Одговори сервера за име су форматирани као

срц> дст: ид оп рцоде флагови а / н / ау тип класе података (лен) хелиос.домаин> х2ополо.1538: 3 3/3/7 А 128.32.137.3 (273) хелиос.домаин> х2ополо.1537: 2 НКСДомаин * 0/1/0 (97)

У првом примеру, хелиос одговара на упитни број 3 из х2ополо-а са 3 записа одговора, 3 имена сервера и 7 додатних записа. Први одговор је тип А (адреса), а њени подаци су интернет адреса 128.32.137.3. Укупна величина одговора била је 273 бајта, изузев УДП и ИП заглавља. Оп (упит) и одговорни одговор (НоЕррор) су изостављени, као и класа (Ц_ИН) записа А.

У другом примеру, хелиос одговара на упит 2 са кодом одговора непостојећег домена (НКСДомаин) без одговора, једног сервера имена и без записа ауторитета. `* 'Означава да је ауторитетни бит одговора постављен. Пошто није било одговора, ниједан тип, класа или подаци нису одштампани.

Други знакови знакова који се могу појавити су `- '(рекурзија доступна, РА, није постављена) и` |' (скраћена порука, ТЦ, сет). Ако одељак "питање" не садржи тачно један унос, одштампа се "[ н к]".

Имајте на уму да су захтеви за име сервера и одговори углавном велики, а подразумевана стрпљивост од 68 бајтова можда не може довољно да памти пакет за штампање. Користите ознаку -с да бисте повећали снагу ако желите да озбиљно испитате саобраћај сервера имена. ` -с 128 'добро ради за мене.

СМБ / ЦИФС декодирање

тцпдумп сада укључује прилично обимно СМБ / ЦИФС / НБТ декодирање за податке о УДП / 137, УДП / 138 и ТЦП / 139. Такође је извршено и неко примитивно декодирање ИПКС и НетБЕУИ СМБ података.

Подразумевано је извршена прилично минимална декодирања, са много детаљнијим дешифровањем ако се користи -в. Будите упозорени да са једним СМБ пакетом можете преузети страницу или више, тако да само користите -в ако заиста желите све детаље о крви.

Ако декодирате СМБ сесије који садрже уницоде стрингове, можда ћете желети да поставите варијаблу окружења УСЕ_УНИЦОДЕ на 1. Патцх за аутоматско откривање уницоде срца би био добродошао.

За информације о форматима СМБ пакета ио томе шта све те области значе видети ввв.цифс.орг или пуб / самба / спецс / директориј на вашој омиљеној локацији самба.орг. СМБ закрпе су написали Андрев Тридгелл (тридге@самба.орг).

НФС захтеви и одговори

Сун НФС (Нетворк Филе Систем) захтеви и одговори се штампају као:

срц.кид> дст.нфс: лен оп аргс срц.нфс> дст.кид: одговори стат одговора на резултате сусхи.6709> врл.нфс: 112 реадлинк фх 21,24 / 10,73165 врл.нфс> сусхи.6709: одговор ок 40 реадлинк "../вар" сусхи.201б> врл.нфс: 144 лоокуп фх 9,74 / 4096,6878 "кцолорс" врл.нфс> сусхи.201б: одговори ОК 128 лоокуп фх 9,74 / 4134,3150

У првој линији, хост сусхи шаље трансакцију са ИД-ом 6709 до врл (обратите пажњу да је број који следи срц хост ид ИД трансакције, а не изворни порт). Захтев је износио 112 бајта, искључујући УДП и ИП заглавља. Операција је била читач веза (читање симболичке везе) на дршци датотека ( фх ) 21,24 / 10,731657119. (Ако је један срећан, као у овом случају, дршка датотеке може се тумачити као главни, мањи број уређаја, праћено бројем инода и генерацијским бројем.) Врл одговара "ок" са садржајем везе.

У трећој линији, сусхи тражи Врл да потражи име ` кцолорс` у директоријуму 9,74 / 4096,6878. Имајте на уму да штампани подаци зависе од типа операције. Формат је намијењен да буде самопомоћан ако се прочита заједно са спецификацијом протокола НФС.

Ако је дат знак -в (вербосе), додатне информације се штампају. На пример:

сусхи.1372а> врл.нфс: 148 прочитај фх 21,11 / 12,195 8192 бајтова @ 24576 врл.нфс> сусхи.1372а: одговори ок 1472 прочитати РЕГ 100664 идс 417/0 сз 29388

(-в такођер штампа поља ТТЛ, ИД, дужину и фрагментацију ИП наслова, који су изостављени из овог примера.) У првој линији, суши пита ВЛЛ да прочита 8192 бајта из датотеке 21,11 / 12,195, на бајтовом оффсету 24576. Врл одговара `ок '; пакет приказан на другој линији је први фрагмент одговора и стога је дугачак само 1472 бајта (остали бајти ће се пратити у наредним фрагментима, али ови фрагменти немају НФС или чак УДП заглавља и зато се можда неће штампати, зависно од коришћеног израза филтера). Пошто се даје знак -в, уносе се неки од атрибута датотеке (који се враћају поред података о фајлу): тип датотеке ("РЕГ", за редовну датотеку), режим датотеке (у окталном), уид и гид, и величина датотеке.

Ако је ознака -в дати више од једном, штампаће се још више детаља.

Имајте на уму да су захтјеви НФС-а веома велики, а велики део детаља неће бити одштампан, осим ако се повећава снажна снага . Покушајте да користите ` -с 192 'да бисте гледали НФС саобраћај.

Пакети одговора НФС-а не експлицитно идентификују РПЦ операцију. Уместо тога, тцпдумп прати "најновије" захтеве и одговара њима одговору помоћу ИД трансакције. Ако одговор не прати одговарајући захтев, можда не може бити истоветан.

Захтјеви и одговори АФС-а

Трансарц АФС (Андрев Филе Систем) захтеви и одговори се штампају као:

срц.спорт> дст.дпорт: рк пакетни тип срц.спорт> дст.дпорт: рк пакетни тип сервиса позвати назив позива аргс срц.спорт> дст.дпорт: рк пакетни тип сервиса одговара назив позива аргвис елвис. 7001> пике.афсфс: рк дата фс преименовати старо фид 536876964/1/1 ".невсрц.нев" нови фид 536876964/1/1 ".невсрц" пике.афсфс> елвис.7001: рк дата фс одговори преименуј

У првој линији, домаћин Елвис шаље РКС пакет на штука. Ово је РКС дата пакет за фс (филесервер) услугу, и представља почетак позива РПЦ-а. Позив РПЦ-а био је преименован, са старим директоријумским ИД-ом од 536876964/1/1 и старим именом `.невсрц.нев ', и новим директоријумским ИД-ом од 536876964/1/1 и новим именом`. невсрц '. Шток домаћина одговара одговору РПЦ-у позиву преименовања (који је био успешан, јер је то био пакет података, а не пакет за прекид).

Уопштено говорећи, сви АФС РПЦ-ови се декодирају барем по имену РПЦ позива. Већина АФС РПЦ-а има бар неке од декодираних аргумената (обично само "занимљиви" аргументи, за одређену дефиницију занимљивог).

Формат је намењен самопроизвођењу, али вероватно неће бити корисно особама које нису упознате са радом АФС-а и РКС-а.

Ако је двапут дата -в (вербосе) застава дата, штампа се потврда пакета и додатне информације о заглављу, као што су ИД позива РКС, број позива, број секвенце, серијски број и ознаке пакета РКС.

Ако се двапут даје ознака -в, одштампају се додатне информације, као што су ИД позива РКС, серијски број и ознаке пакета РКС. МТУ информације о преговорима се такође штампају од РКС ацк пакета.

Ако се за три пута дода ознака -в, одштампају се сигурносни индекс и сервисни ИД.

Кодови грешака су одштампани за прекид пакета, са изузетком Убик беацон пакета (зато што су абортивни пакети коришћени за означавање да гласају за Убик протокол).

Имајте на уму да су АФС захтјеви веома велики и многи од аргумената неће бити одштампани, осим ако се повећање снажи . Покушајте да користите ` -с 256 'да бисте гледали АФС саобраћај.

Пакети одговора АФС-а не експлицитно идентификују РПЦ операцију. Уместо тога, тцпдумп прати "најновије" захтеве и одговара их одговорима користећи број позива и сервисни ИД. Ако одговор не прати одговарајући захтев, можда не може бити истоветан.

КИП Апплеталк (ДДП у УДП)

Апплеталк ДДП пакети енкапсулирани у УДП датаграмима су декапсулирани и одбачени као ДДП пакети (тј. Све информације УДП заглавља се одбацују). Датотека /етц/аталк.намес се користи за превођење бројева апплеталк нета и чворова у имена. Линије у овој датотеци имају облик

име бројева 1.254 етер 16.1 ицсд-нет 1.254.110 аце

Прве две линије дају имена мрежних апликација. Трећа линија даје име одређеног домаћина (хост се разликује од мреже преко 3. октета у броју - мрежни број мора имати два октета, а број домаћина мора имати три октета.) Број и име треба да буду одвојени по простору (празнине или табови). Датотека /етц/аталк.намес може садржавати празне линије или линије коментара (линије почињу са `# ').

Адреса Апплеталк-а се штампа у облику:

нет.хост.порт 144.1.209.2> ицсд-нет.112.220 оффице.2> ицсд-нет.112.220 јссмаг.149.235> ицсд-нет.2

(Ако /етц/аталк.намес не постоји или не садржи унос за неки хост / нет број аплета, адресе се штампају у нумеричком облику.) У првом примеру, НБП (ДДП порт 2) на нету 144.1 чвор 209 шаље на оно што слуша на порту 220 нето ицсд чвора 112. Друга линија је иста, осим што је познато пуно име изворног чвора (`оффице '). Трећа линија је слање са порт 235 на нето јссмаг чвор 149 за емитовање на ицсд-нет НБП порту (обратите пажњу на то да је адреса (255) која се преноси назначила мрежним именом без броја домаћина - због тога је то добра идеја да чувају имена чворова и нето имена различита у /етц/аталк.намес).

НБП (протокол за везивање имена) и пакети АТП (Апплеталк трансакцијски протокол) садрже њихов садржај. Други протоколи само запале назив протокола (или број ако се не региструје име за протокол) и величина пакета.

НБП пакети су форматирани као следећи примери:

ицсд-нет.112.220> јссмаг.2: нбп-лкуп 190: "=: ЛасерВритер @ *" јссмаг.209.2> ицсд-нет.112.220: нбп-одговор 190: "РМ1140: ЛасерВритер @ *" 250 тецхпит.2> ицсд -нет.112.220: нбп-ответ 190: "тецхпит: ЛасерВритер @ *" 186

Прва линија је захтев за тражење имена за ласерске писце послатих од стране нет ицсд хоста 112 и емитованог на нет јссмаг. Нбп ид за претрагу је 190. Друга линија показује одговор за овај захтев (обратите пажњу да има исти ИД) од хоста јссмаг.209 говорећи да има ресурс извор ласера ​​назван "РМ1140" регистрован на порту 250. Трећи линија је још један одговор на исти захтев у којем се наводи да хост тецхпит има "тецхпит" ласерски писач на порту 186.

Форматирање пакета АТП- а показује следећи пример:

јссмаг.209.165> хелиос.132: атп-рек 12266 <0-7> 0кае030001 хелиос.132> јссмаг.209.165: атп-респ 12266: 0 (512) 0кае040000 хелиос.132> јссмаг.209.165: атп-респ 12266: 1 (512) 0кае040000 хелиос.132> јссмаг.209.165: атп-респ 12266: 2 (512) 0кае040000 хелиос.132> јссмаг.209.165: атп-респ 12266: 3 (512) 0кае040000 хелиос.132> јссмаг.209.165: респ 12266: 4 (512) 0кае040000 хелиос.132> јссмаг.209.165: атп-респ 12266: 5 (512) 0кае040000 хелиос.132> јссмаг.209.165: атп-респ 12266: 6 (512) 0кае040000 хелиос.132> јссмаг. 209.165: атп-респ * 12266: 7 (512) 0кае040000 јссмаг.209.165> хелиос.132: атп-рек 12266 <3,5> 0кае030001 хелиос.132> јссмаг.209.165: атп-респ 12266: 3 (512) 0кае040000 хелиос .132> јссмаг.209.165: атп-респ 12266: 5 (512) 0кае040000 јссмаг.209.165> хелиос.132: атп-рел 12266 <0-7> 0кае030001 јссмаг.209.133> хелиос.132: атп-рек * 12267 <0 -7> 0кае030002

Јссмаг.209 иницира трансакцију ИД 12266 са хелиосом домаћина тако што захтева до 8 пакета («<0-7> '). Број хекса на крају линије је вриједност поља 'усердата' у захтјеву.

Хелиос одговара са 8 512-бајтних пакета. `: Цифра 'која следи ИД трансакције даје број секвенце пакета у трансакцији, а број у паренима је количина података у пакету, искључујући заглавље атп. `* 'На пакету 7 означава да је подешен ЕОМ бит.

Јссмаг.209 затражи да се пакети 3 и 5 поново преносе. Хелиос их понавља онда јссмаг.209 ослобађа трансакцију. Коначно, јссмаг.209 покреће следећи захтев. `* 'На захтеву означава да КСО (` тачно једном') није постављен.

ИП фрагментација

Фрагментирани Интернет датаграмови се штампају као

(фраг ид : сизе @ оффсет +) (фраг ид : сизе @ оффсет )

(Први облик указује на то да има више фрагмената. Други показује да је ово последњи фрагмент.)

Ид је ид фрагмента. Величина је величина фрагмента (у бајтовима) искључујући ИП заглавље. Офсет је оффсет овог фрагмента (у бајтовима) у оригиналном датаграму.

Информације о фрагменту излазе за сваки фрагмент. Први фрагмент садржи заглавље протокола вишег нивоа, а информације о фрагментима се штампају након информација о протоколу. Фрагменти након првог не садрже заглавље протокола вишег нивоа, а информације о фрагментима се штампају након изворне и одредишне адресе. На пример, овде је део фтп-а од аризона.еду до лбл-ртсг.арпа преко ЦСНЕТ везе која изгледа да не ради са 576 бајт датаграмовима:

аризона.фтп-дата> ртсг.1170:. 1024: 1332 (308) ацк 1 вин 4096 (фраг 595а: 328 @ 0 +) аризона> ртсг: (фраг 595а: 204 @ 328) ртсг.1170> аризона.фтп-дата:. 1536 вин 2560

Овде треба навести неколико ствари: Прво, адресе у другој линији не укључују бројеве портова. То је зато што су информације о ТЦП протоколу све у првом фрагменту и немамо представу о броју портова или редоследа када штампамо касније фрагменте. Друго, информације о тцп секвенци у првој линији штампане су као да је било 308 бајтова корисничких података када је, у ствари, 512 бајтова (308 у првом фрагменту и 204 у другом). Ако тражите рупе у простору секвенце или покушавате да подударате с пакетом, ово вас може преварити.

Пакет са ИП-ом не означава заробљену ознаку (ДФ) .

Временска ознака

Подразумевано, свим излазним линијама претходи временски знак. Временска ознака је тренутни временски период у облику

хх: мм: сс.фрац

и је тачан као и часовник кернела. Временска ознака одражава време када је језгро први пут видио пакет. Није учињен покушај да се узме у обзир временски размак између када је етхернет интерфејс уклонио пакет из жице и када је језгро сервисирао прекид новог пакета.

ТАКОЂЕ ВИДЕТИ

саобраћај (1Ц), нит (4П), бпф (4), пцап (3)

Важно: Користите команду човјека ( % човјек ) да бисте видели како се на вашем рачунару користи команда.