Tcpdump - Fermandariya Linux-Fermandariya Unix

NAV

tcpdump - li ser torê torê barkirî dump

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -FF file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -U bikarhêner ] [ -w file ]

[ -E algo: secret []]

TERÎF

Tcpdump di navnîşên torê de li ser pakêtên pakêtan derxistin ku behsa axaftinê bihev dike . Ew dikare ji al-yê alî ve bisekîne , ku dibe ku ji bo pelên daneyên pelê bi paşê analîzê re, û / an ala -r -r-ê biparêze, ji ber ku pelên paqijkirinê ji pelên xwendin ji hêla veguhestinê dibe, ji navnîşa torê. Di hemî rewşan de, tenê pakêtên ku xwenîşandanek bihev dikin dê bi tcpdump pêvajoyê bêne kirin.

Tcpdump wê, eger heya -C- ê li ser ala -C- ê ve nabe, heta ku ew ji hêla SIG SIGINT ve tête veguherandin (hilberandin, ji bo nimûne, bi navekî veguhastina xwe veguhastin, bi gelemperî kontrola-C) an SIGTERM nîşan bide (bi gelemperî bi kuştinê hatiye afirandin) (1) fermandar); Heke ala ala -C-ê diçin, ew dê pirtûka xwe bigire heta ku ew ji hêla SIGINT an SIGTERM ve tête kirin an jî hejmareke pakêtên taybet diyar kirin.

Dema ku tcpdump pakêtên dagirkirî qedand, ew ê hesab dike:

pakêtên `` bi hêla fîlmê ve hatibû dîtin '(wateya vê yekê li OS-ê ku hûn tcpdump diçin û girêdayî rêya OS-ê veguherandin girêdayî ye. pakêtên bêyî ku ji hêla hêla fikra fîlterê ve digotin, û li OSESên din re tenê hesibandin ku tenê ji hêla axaftina fîlterê ve digotin û bi tcpdump pêvajoyê hatine hesibandin );

pakêtan `` bi kernel 'hate derxistin' (ev hejmara pakêtan, ku ji ber kêmbûna asta bêdengî, ji hêla pakêtiyê veguhestina mîzîtalîzmê ve di OS-ê de ku tcpdump diçin, heya ew e ku ew agahdar dike ku daxwaznameyên serîlêdanê; Eger ne, ew ê wek 0 be ragihandin).

Li ser platformên ku piştgiriya SIGINFO nîşan dide, wekî piraniya BSD, wê dê dema ku SIGNFO signal nîşan bide (mînak, ji bo nimûne, bi taybetmendiya `` stateya '`' '', 'bi awayekî kontrola-T) tê wergirtin û dê li pakêtan girtin .

Pêvên xwendinê ji navnîşa torneyê re dibe ku hûn xwediyên mêvanên taybetî hene:

Under SunOS 3.x an 4.x bi NIT an BPF:

Divê hûn gihîştina / dev / nit an / dev / bpf * re bixwînin .

Under Solaris with DLPI:

Divê hûn gihîştina amûra pseudo ya torê bixwînin / nivîsandinê, wek mînak / dev / le . Li kêmanî çend guhertoyên Sîmîlîsê, lêbelê ev ne bes e ku ji bo tcpdump li ser moda awayek berbiçav bikişînin; li ser van versiyonên Solaris, divê hûn root bin, an jî tcpdump divê sazkirina rootê, ji bo ku di moda awayek zehf de bigirin. Têbînî ku, li ser gelek kesan (belkî hemî), heke hûn hûn di rêbazê de nehêlin, hûn ê nimûne pîşeyên derveyî nabînin.

Li jêr HP-UX bi DLPI:

Divê hûn were bibin root or tcpdump must set to root root installed.

Under IRIX bi snoop:

Divê hûn were bibin root or tcpdump must set to root root installed.

Under Linux:

Divê hûn were bibin root or tcpdump must set to root root installed.

Under Ultrix and Digital UNIX / Tru64 UNIX:

Her yek bikarhêner dikare tcpdump bi trafeya torê ve bigire. Lê belê, ne bikarhêner (ne jî super-bikarhêner) dikare di modêlekê de bi awayekî zehfî ve bigire heta ku super-bikarhêner bi operasyonê-rêbazê li ser vê interface tê bikaranîn pfconfig (8), û tu bikarhêner (ne jî bikarhênerek super-bikar tîne) ) dikare têguhestina nexastê bisekîne ku ji hêla makîneyê ve hatibû veguhastin an jî bi şandina şandina sendîkayê ve neyê ku heya super-bikarhêner tevgerê kop-hem-mode-ê çalak kir ku di pfconfigê de tê bikaranîn, wusa pakêtê çêtirîn gerek hewce dike ku dibe ku ew bi hûrdest-mode operasyonên -all-mode, an jî hem modên operasyona li ser vê interfaceê veguherînin.

Under BSD:

Divê hûn gihîştina / dev / bpf * re bixwînin .

Pelana pakêtek ji nûvekirina xweya pêdivî ye ku îmkanên taybetî hewce ne.

OPTIONS

-yek

Têbigere ku navnîşan û navnîşên weşanên navnîşan bidin navnîşan.

-c

Piştî pakêtên hesabê bidestxistin.

-C

Berî ku paketek rawestî bi xilasek rawestî binivîse , ka kontrol bike file_size ji niha ve mezintir e û heger, heke, parastina heyî ya heyî vekin û ji nû ve veke. Savefile wê paşê tomarkirinê dê navê wê yê -W-ê re diyar kir, bi hejmarek piştî wê, di 2-ê de dest pê dike û paşve. Yekîneyên pelan_sûzdeh mîlyonî (bi hezarî 000 bites, ne 1048,576 bytes) ne.

-d

Dumreya pakêt-pakê-kodê sazkirî di forma xwendinê ya mirovan de bi hilberîna standard û rawestandin.

-dd

Dump packet-koda kodê wekî wekî bernameya C bernameyê.

-ddd

Dump packet-kodên kodî wekî hejmarek decimal (berê bi hejmarek).

-e

Li ser her dumpê li ser lîska lîska çap bike.

-E

Algo bikar bînin : Ji bo IPsec packên ESP'ê veşartî veşartî . Algorithms dikarin des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , an yek . Pêşnivîsa des-cbc heye . Pêdivî ye ku pakêtên dubare dike ku tenê tcpdump bi krîptografî hate saz kirin. nivîsandina ascii ji bo keya veşartî ya ESP ve veşartî. Em nikarin vê demê de nirxên biyanî bi awayekî berevajî bistînin. Hilbijêre RFC2406 ESP, ne RFC1827 ESP. Vebijêrk tenê ji bo armancên debugekirinê ye, û bikaranîna vê bijareyê bi rastî bi rastî bi rastî 'key' veşartî ye. Bi vekirina pêşkêşkirina IPsecê veşartî li ser sînorê fermana ku hûn bi xalên ps (1) û hinek hinek din jî nîşan dide.

-f

Printên derveyî "navnîşên înternetê" bêtir bi sembolî bi hejmarî hejmareke (ev bijare ye ku ji zirarê mizgefta Sun ya YP-ya gelemperî --- her hejmara navnîşên niştecîhên ne-herêmî hûrdû dike).

-F

Fîlmek ji bo expression of filter use Gotarek din jî li ser rêza fermanê hate dayîn.

-ez

Li ser interfaceê bibihîze. Heke ne diyarkirî, tcpdump lêgerîna navnîşa pergalê ya navnîşê ya ji bo hejmarên herî jêrîn, veguhertina veguherîn (bêyî loopback). Hemî mûzîkê ya herî pêşî hilbijêre.

Li ser pergalên Linuxê 2.2 an jî paşê kernelan, armancên ku `` any '' tê bikaranîn ku bikarhêneran ji hemî navokan ve bigirin. Têbînî ku amûrên li ser `` any '' hatibûn dê di moda hûrgelan de neyê kirin.

-l

Pêveka stdout vekirî ye. Ger hûn bixwazin daneyên ku li ser dagirkirina daneyên xwe bibînin. Eg,
`` tcpdump -l | te dat '' an `` tcpdump -l> dat & tail -f dat ''.

-m

Module ji pelê SMIyê ya MOD-module vebigere define . Ev bijare dikare çend caran bikar bînin ku çend modulên MIB bi tcpdump load bikin.

-n

Nêvnameyên navnîşan bi navnîşan nekin. Ev dikare bikar bînin ku ji bo DNS-ê çavkaniyan biparêzin.

-nn

Ji bo navên din jî protokola û hejmara portên din biguherînin.

-N

Navekî navnîşên navnîşên navnîşên navnîşên mêvanê çap nakin. Eg, eger hûn vê ala bidin, paşê tcpdump dê li `` nic.ddn.mil '' nîvek print `` nic ''.

-O

Pêveka kodê-ê-ê-ê-ê-ê-êkerê naxwazin. Ev tenê tenê eger hûn di bargêrkerê de bugê guman bikin.

-p

Nehfeya navnîşê de bi awayekî zelal nekin. Têbigirin ku dibe ku veguherîna modela hûrgelê ji bo hinek sedemên din be; Ji ber vê yekê, `-p 'nayê bikaranîn ku ji bo` ether-host-local-hw-addr} an jî weşana weşanê ye'.

-q

Quick (bêdeng?) Hilberîn. Agahiyên kêm protokola çap bike, da ku hinek bêdengên piçûk be.

-R

Daxuyaniyên ESP / AH dipejirînin ku bi taybetî di navnîşa kevin de (RFC1825 heta RFC1829) be. Heke diyar kirin, tcpdump dê nehêleya pêşlêkirina pêşdibistanê çap bike. Ji ber ku pêdivî ye ku di navnîşana ESP / AH de belgeya protokyonê tune ye , tcpdump nikare vîdyoyê ya ESP / AH dabeşîne.

-r

Pelên ji pelê bixwînin (ku bi rêveberiya -w-ê hatiye afirandin). Heke standard `'-' 'ye.

-S

Çapî çap bike, ne ji hêla nêzîk, TCP-ê hejmarê.

-s

Snarf snaplen ji hêla data ji her paketê ve bêtir bi default ya 68 (bi bi NOS-ya SunOS-re, herî kêm 96 rast e). 68 bytes ji bo IP, ICMP, TCP û UDP tête bes e, lê dibe ku agahiyên protokola ji nav server û NFS navekî agahdar bike (binêrin binêrin). Ji pevçûnan ji ber ku qonaxek sînorkirî ya sînor ve girêdayî ye ku di hilberê de bi `` [| proto ] '', ku proto navê navê asta protokola ku têketina betalkirinê ye. Têbînî ku snapshots bigihînin herdu hemî dema ku pakêtên pêvajoyan digire û bi awayekî xurt dike, biseketina pakêtê kêm dike. Ev dibe ku ji pakêtan winda bibin. Hûn divê bi hejmarên herî biçûk re sînor bikin ku hûn agahdariya li ser pêwendiya ku hûn bikişînin ser xweş bikin.

-T

Packetsên hêza bi " expression " ve hilbijartin ji bo nimûne nimûne . Niha cureyên navdar ên cnfp (protokola Sisco-NetFlow), rpc (Pro-Protokola Telefonê), rtp (protokola Demokrasiya Real-Time-dem), rtcp (Protokola Control Control -Demokrasiya Real-Time Applications), snmp (Protokola Rêveberiya Saziya Simple Network), vat (Tool Tool ), û wb (Boardê Spî) belav kirin.

-t

Li ser her dumpê timestampê bişînin.

-tt

Li ser her dump-an-a-a-timastamp-unformatted çap bike.

-U

Xwerûyên root root derxistin û nasnameya bikarhênerên ji bo bikarhêner û nasnameya grûpê ji bo grûpa bingehîn ya bikarhêner .

Not! Red Hat Linux bixweberî îmkanên ku bikar ne tiştek din diyar e ku bikarhêner `` pcap 'bisekîne.

-ttt

Li delal û duyemîn li ser her dumpê di delta de (dahatîkên piçûkan) çap bike.

-tttt

Pêveka timestampê di pelê standardê de çap bike ku li ser her dumpê di roja duyemîn de derbas kirin.

-u

Nêçalakî NFS veşartin.

-v

(Bêtir zûtirîn) hilbijêre verbose. Ji bo nimûne, dema ku bijîn, nasname, tevahî dirêj û alternatîfên di pakêtek IP-ê de hat çap kirin. Her weha kontrolkirina pakêtên integrasyonê yên din ên wekî kontrolkirina IP û ICMP yê kontrolê.

-vv

Even more output output output. Ji bo nimûne, zeviyên din jî ji pakêtên NFS ve têne nivîsandin, û pakêtên SMB bi temamî têne şandin.

-vvv

Even more output output output. Ji bo nimûne, telnet SB ... sebijarkên SE-ê di tevahî de çap kirin. Vebijêrkên -X- Telnetên di hexê de têne çap kirin.

-w

Ji parsing û veşartinê ji pelên hilberên hilbijêran binivîse. Ew paşê dikarin bi -r bijartina bi -r ve bêne çap kirin. Hêviya standard standard tê bikaranîn eger pelê `` - '' ye.

-x

Her paketek çap bike (di bin hexa asta wê devera lînkeyê de). Hin biçûk ya pakêtê an jî tevlihevkirina wêneyan dê bêne çap kirin. Têbînî ku ev paketek tevahî girêdanê ye, da ku ji bo girêdanên girêdana ku pads (mînakek etnetet), pîvanên hêsantir dê hêja çap kirin dema ku pakêtê pirtûka bilindtir ji pêdivî ye.

-X

Dema ku hexên çapkirinê, print ascii print. Bi vî awayî -X- ê jî hat diyarkirin, paketek di hex / ascii de hat çapkirin. Ev ji bo protokolên nû ve analîzek pir girîng e. Even if -x jî ne diyar kir, hinek parçeyên hinek pakêt dikarin di hex / ascii de çap kirin.

îfade

hilbijêre kîjan pakêtan bêne derxistin. Heke ku gotar nayê dayîn, hemî pakêtên li ser netê têne avêtin. Wekî din, tenê pakêtên ku ji bo gotinê 'rastîn' e, dê bê veşartin.

Gotar yek ji hêla kevneşopî ye. Primatîfên bi gelemperî id (nav û nimûne) pêk anî ku ji hêla yek an bêtir kifşkeran ve têne çêkirin. Sê sê cûreyên cuda hene:

awa

Kifşker dibêjin ka kîjan tiştê ku navê navnîşan an jî nimûne nîşan dide. Hin cureyên mêvandar , net û portê hene . Eg, `host foo ',` net 128.3', `port 20 '. Heke nimûnerê kalîteyê tune, mêvandar tête kirin.

dir

Kifşkerên şîfreyek veguherînek taybetî diyar bikin û / an jî ji id . Rêberên pêşniyar hene ku src , dst , src an dst û src û dst . Eg, `src foo ',` dst net 128.3', `src or dst port ftp-data '. Heke kîtekek dir heye, src or dst wergirtiye. Ji bo girêdanên 'null' (wekî der barê protokolê yên wekî slip) werin qeydên hundur û derheqê dikarin werin bikaranîn ku rêberek hewce ne diyar bikin.

proto

kalîteyên kêlîkan bi protokola taybet re sînor bikin. Possible protos are: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp û udp . Eg, `ether src foo ',` arp net 128.3', `port 21 '. Heke ku praktîfê nayê pêdivî ye, hemî protokolên bi temamî têne fêm kirin. Eg, `src foo 'tê wateya` `ip an jî arp an jî rarp) Ji bilî çavkaniya net net' û 'port 53' tê wateya 'fooqê ne qanûnî ne', bê wateya 'net net' tê wateya` (ip an arp or rarp) 'û `port 53' `(tcp or udp) port 53 '.

[`fddi 'bi rastî bi navê` ether' e; parser ew bi awayekî wekhevî tê wateya wateya `` asta lînkeya daneya navnîşê li ser interfacea torê ya bikar anîn bikaranîn. '' Sernavên FDDI di navnîşana çavkaniyê û navnîşên etnîkî de, û bi pir caran cureyên etnîkî-like, hene, da ku hûn li ser van deverên FDDI Wekî wekî bi zeviyên etnîkî yên bi analogî re. Headers of the FDDI jî di nav deverên din hene, lê hûn nikarin wan bişkojka fîlterek navekî navekî navnîşan navekî.

Bi vî awayî, 'tr' wekî 'ether' e; Gotarên borî yên derbarê Ferhênerên FDDI yên berê de jî serî li Token Ringê jî bikar bînin.]

Ji bilî jor, jimarek taybetmendiyên 'primitive' hene ku ne nimûne peyivin: gateway , belavkirin , kêm , belav û arîtmetîk. Hemû van jêrîn têne gotin.

Zelalên zelal ên bêtir zelal ên ku bi karanîna peyvan û , an jî ne jî nebin ku bi kevneşopî pêk tên. Eg, `foo host û ne portê ftp û ne portê ftp-data '. Ji bo parastina tomarbûnê, lîsteya kalîteya wekhev dikare bête kirin. Eg, `tcp dst port ftp or ftp-data or domain 'eynî wek` tcp dst port ft ft an an tcp dst port ftp-data an tcp dst port domain' e.

Pêwîstvanên berbiçav in:

dst hosta

Tiştek heke heya IPv4 / v6 qada destûra pakêtê mêvandar e , ku dibe yan jî navnîşek an navê.

mêvandana mêvandar

Rast heger IPv4 / v6 çavkaniya çavkaniya pakêtê mêvandar e .

mêvandar

Rast e ku heke IPv4 / v6 çavkaniyek an destûra pakêtê mêvandar e . Heke ji gotinên mêvandar ên jor dikarin bi peyvên ip , ip , arp , rarp , an jî ip6 bi pêşniyarkirî be

ip hostel

kîjan eynî ye:

ether proto \ ip û hosta mêvanê

Heke navnîşê bi navnîşana IP-ê gelek nameyek heye, her adres dê ji bo mêvîkek tê kontrolkirin.

ehost dst ehost

Rast heger navnîşa navnîşê ya ethernet ehost e . Ehost dibe ku navê wî / et / etheran an hejmareke (ji bo nimûne nimûne (nîvanên 3N) bibînin.

ether ehost

Rast heger navnîşa çavkaniya ethernet ehost e .

ehostê yekemîn

Rast heger heya heya ethernetê çavkaniya çavkaniyê an navnîşê navnîş ehost e .

malpera gateway

Rast heke paketek wek gaziyek yekser tê bikaranîn. Ie, navnîşa ethernetê an navnîşa navnîşê mêvandar bû, lê ne na çavkaniya IP-ne û xanî tête mêvandar bû . Hosta divê navê wî bin û hem jî ji hêla rêbazên mêvandar-nav-to-IP-pergala çareseriyê (pelê navnîşê pelê, DNS, NIS, etc.) hem jî ji hêla pergala mêvandar-navê-to-Ethernet-ê veşêre mekanîzmîzmê (/ / etîker, etc.). (Gotarek wekhev e

mêvera ether ehost û ne mêvandar

kîjan navên nav û hejmara navnîşên mêvandar / ehostê bikar bînin .) Ev syntax li vê demê veguherîna IPv6-veguherî nayê xebitandin.

net net dst

Rast e ku heke IPv4 / v6 ya navnîşa destnîşaniyê ya navnîşê ya hejmara torê ya neteweyî ye . Net yan jî navên / etc / torên an jî hejmara toran be ( navnîşan ji bo torên (4) bibînin.

netew net net

Rast e ku heke IPv4 / v6 çavkaniya çavkaniya çavkaniya çavkaniyek hejmareke torê heye.

net net

Rast e ku heke IPv4 / v6 çavkaniya navnîşa navnîşê ya paketê heye hejmara torê ye.

Net-net- net- netwerk

Tiştek heke IP-ê IP-ê bi netmask- specific neteweyek digire . Bila bi çavkaniyê an src û dst . Têbînî ku ev syntax ji bo IPv6 net nayê derbas kirin.

net net / len

Rast heger IPv4 / v6 navnîşên netewî bi netmask len wide wide wide net . Bila bi çavkaniyê an src û dst .

port porta dst

Rast heke paketiya ip / tcp, ip / udp, ip6 / tcp an jî ip6 / udp e û pargala portê ye . Port dikare hejmarek an navnîşek di / etc / xizmetê bikar anîn (( tcp (4P) û udp (4P) bibînin. Heke navê bikar anîn, her du hejmara port û protokola têne kontrol kirin. Heke hejmarek an navnîşek nebaş tê bikaranîn, tenê hejmarê portê tête kirin (mînak, dst portê 1313 dê hemî tcp / travnayê tête çapkirin û udp / kîjan rêwîtiyê, û pargîdeya portê dê her tcp / domain û rêwîtiyê / udp / domain print çap bikin).

port portê

Rast heke paketek pargala porta çavkaniya portê heye .

port portê

Tiştek heger heya heya çavkaniyê an qonaxa dûr a pakêtê ye. Her yek ji navnîşên portê yên jorîn dikarin bi bişkojkên, tcp an jî udp re pêşniyaz kirin, wekî ku di:

tcp src port port

ku tenê tenê tcp tcp digel ku porta çavkaniya portê ye.

dirêjtirîn

Rast heke paketek bi dirêjtir an jî wekheviya dirêj e . Ev yek e:

len <= dirêj .

dirêjtirîn

Rast heke paketek dirêjtirîn an jî wekhevî dirêjtir e . Ev yek e:

len> = dirêj .

protokola ip proto

Rast heke paketek IP paket e ( ip (4P) bibîne ya protokola protokola protokola . Protokol dikare hejmarek an navên navmalî , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , an tcp dibe . Têbînî ku nasnameyên tcp , udp , û icmp jî jî tê gotin in û ew bi rêya backslash (\), ku ji \\ li C-shell e. Têbînî ku ev primitive ev yek zencîla protokolê nebe.

protokola ip6 prototo

Rast heke paketek IPv6 paketek protokola cureyê protokola ye . Têbînî ku ev primitive ev yek zencîla protokolê nebe.

protokola ip6 prototo

Rast heke pakêtê IPv6 paket e, û serokê protokola protokola protokola bi protokola protokola heterê protokolê ye. Bo nimûne,

ip6 protochain 6

her IPv6 pakêt bi serokê protokola protokola bi protokola TCP-ê bi hev re digire. Pêkûpêk dikare, wekî nimûne, sernivîsa serastkirinê, serokê rêvegirtinê, an hîm-hop-by-hop, di navbera IPv6 û serokê TCP de dibe. Koda BPF ji aliyê vê primitive veguhest e û bi hêla hêla hêla BPF-ê rekêşkerê bi tcpdump re çêtirîn e, nikare bêtir çêkirin.

protokola ip protochain

Wekhevî ji protokola protochain ip6 , lê ev ji bo IPv4 e.

ether kirin

Rast heke paketê pakêtek belavkirina ethernet e. Peyvek ether alternatîf e.

ip broadcast

Rast heke paketek pakêtek IP-ê ye. Ew ji bo hemî zeroy û hemî hemî peymanên weşanê belav dikin, û di nav deverên navneteweyî yên herêmî de dibînin.

ether pirrjimar

Rast e ku paketek pakêtek multicast ê ethernet e. Peyvek ether alternatîf e. Ji bo ` ether [0] & 1! = 0 'ji bo ev eşkere ye.

ip multicast

Rast heke paketê pakêtek IP-ê multicast e.

ip6 multicast

Rast heke paketek IPv6 pakêtek multicast e.

protokola ether proto

Rast heke pakêtê protokola etherî ye. Protokola hejmara an yek ji navên ip , ip6 , arp , rarp , atalk , aarp , demnet , sca , lat , mopdl , moprc , iso , stp , ipx , yan netbeui dikare bibe . Têbigere ku ev nasnameyên weha jî hene û divê bi rêya backslash (\) vekişin.

[Ji ber ku FDDI (mînak, protokola fddi ') û Token Ring (mînak, ` prot protocol arp '), ji bo piraniya van protokolan, ji protokola nasnameyê ji nav 802.2, serokê Lektoriya Kontrola Logic (LLC) tê, tê Bi gelemperî li ser FDDI an jî serokê Token Ringê ve girêdayî ye.

Dema ku ji bo FDDI an jî Token Ringê ve tête kirin, tenê kontrolkirina nasnameya protokolê ya LL-LLC an jî di bin navê SNAP-ê de ji hêla yekbûyî ya nasnameya rêxistinê (OUI) ya 0x000000, ji bo ethernet vekirî ye; ev naxwaze ka paketek di SNAP-ê de bi OUI ya 0x000000 e ye.

Ji bilî astengên Îo , ji bo ku ew dora DSAP (Pêwîstiya Girtîgeha Xizmetkirina Destûra) û SSAP (qada Reza Xweseriya Çavkaniya Xweser) ya LL- LLC, stp û netbeui , li ku derê DSAP yê serokê LLC tê kontrol dike û li ser ku li Ji bo OUI ya 0x080007 û Appletalk etype.

Di rewşeke Ethernet de, tcpdump ji bo piraniya wan protokolên qada etnîteyê kontrol dike; Ji bilî astengên iso , sap û netbeui ne , ji bo ku ew ji bo 802.3-ê çarçoveya kontrol dike û paşê LLC ê yê kontrol dike, wekî ew ji bo FDDI û Token Ring, li , ku ew ji bo çarçoveya Ethernet û her du appletalk-etype kontrol dike û kontrol dike. Pêveka SNAP-forma ku ji bo FDDI û Token Ring, pevçûnê ye , ku ew ji hêla Appletalk ARP etype ve tê kontrol dike di çarçoveya ethernetê an 802.2-ê SNAP-ê de bi OUI yê 0x000000, û ipx , li ku ew ji bo IPX etype kontrol dike çarçoveya etnetek, IPX DSAP di çarçoveya LLC a LLC de, 802.3 bi serokê encamêkirina IPXê, û IPX etype di çarçoveya SNAPê de.

decnet src host

Rast e ku heke çavkaniya DECNET mêvandar e , dibe ku navnîşa forma `` 10.123 '' an navê navenda DECNET. [Piştgiriya navenda DECNET tenê li ser sîstemên Ultrix yên ku ji bo DECNET veguherandin tê de hene.]

dst host dst

Erê heke hejmara navnîşên DECNET mêvandar e .

mêvnavê malnetê

Rast e ku heke çavkaniya an DECNET-an jî navnîşê navnîşê mêvandar e .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Ji bo

ether proto p

ku p yek ji protokolên jorîn e.

lat , moprc , mopdl

Ji bo

ether proto p

ku p yek ji protokolên jorîn e. Têbînî ku tcpdump nikare dizanin ka ev protoks çawa nehêle.

vlan [vlan_id]

Rast e ku paketek IEEE 802.1Q VLAN packet e. Heke [vlan_id] diyar kirin, tenê rast e ku paketek vlan_id heye . Têbigirin ku pêşniyarên yekem yên vakslêdanê di têkoşînê de tête guhertin, ji bo îfadeya berbiçav ya li ser wateya ku paketek VLAN paket e.

tcp , udp , icmp

Ji bo

ip proto p an ip6 proto p

ku p yek ji protokolên jorîn e.

protokola iso proto

Rast e ku paketeya pakistana OSI ya protokola protokola cureyê ye. Protokola dikare hejmarek an yek ji navên clnp , esis an anis .

clnp , esis , isis

Ji bo

iso proto p

ku p yek ji protokolên jorîn e. Têbigihîne ku tcpdump karê van protokolên parsing a karûbarên neheq e.

expr relpr expr

Tiştek hebe ku têkiliyek heye, li ser ku girêdayî ye yek e, <,> =, <=, = ,! =, Û expr aşkerekî arithmetîk e ku ji bêdengên hundir tête çêkirî ye ( xweseriya C standarda vekirî), operatorên biyanî yên normal [+ , -, *, /, &, |], operatorê dirêj, û pakêtên daneyên taybetî yên taybet. Ji bo daneyên hundir di pakêtê de bigihîjin, sîteyê jêrîn bikar bînin:

wiki proto [ expr : size ]

Proto yek ji ether, fddi, tr, ppp, slip, girêdan, ip, arp, rarp, tcp, udp, icmp an ip6 e , û ji bo operasyona pisporê protokola nîşan dide. ( ether, fddi, tr, pip, girêdan û hemî girêdan bi tevahî girêdana lîska xwe binivîse.) Têbînî ku tcp, udp û protokolên din ên kevne-top tenê bi IPv4 re neynînin, IPv6 (ev di pêşerojê de dê bêne bicîh kirin). Ji alîyê qutikê, bi nêzîkî prototoyê ve girêdayî ye, bi expr . Mezinek alternatîf e û hejmara hetesê li qada qezencê nîşan dide; Ew yek yek, du, an jî çar, û rêkûpêk yek ji hev. Operatorê dirêj, ku ji hêla lînka têketinê ve nîşan dide, dirêjahiya pakêtê dide.

Ji bo nimûne, ` ether [0] & 1! = 0 'tevgereke tevguhestina multicast bikişîne. Gotara ` ip [0] & 0xf! = 5 'vebijarkên hemî IP-ê bi bijartan bistînin. Gotara ` ip [6: 2] & 0x1fff = 0 'tenê datagramên nefragramî û sifir ji datagramsên parçeyên xwar. Ev kontrol li ser operasyonên tcp û udp tê bikaranîn. Ji bo nimûne, tcp [0] her tim ji alîyê yekemîn byte ya sernivîsa TCP ve tê wateya, û qet ne ji hêla pêşî yê alîyê ji alîyê parçeyek veguhestinê ve tê wateya.

Hinek nirxên xerîb û nirxên zeviyê dikarin ji nav nirxên hejmarên navên navnîşan nîşan bidin. Belavoka protokola jêrerê qada jêrîn hene: icmptype ( axaftina ICMP), icmpcode (zeviya ICMP), û tcpflags ( deverên TCP-TCP).

Nirxên zevî yên jêrîn ên jêrîn heye: icmp-echoreply , icmp-sourcequench , icmp- redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Li alîgirên TCP-ê yên nirxên herêmî hene: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Primatîf dikarin bikar bînin:

Koma grûbek yekîneyên kevneşopî û operator (parêzên taybetî ji bo Şelê ne û neçar dibin).

Nîqaş (` ! 'An' not ').

Concatenation (` && 'yan` û ').

Alternatîf (` || 'an` an ').

Daxuyaniya herî baş e. Alternatîf û konserasyonê mûçek wekhev e û milê çepê ye. Têbînî ku zelal û tûksiyonê ne, juxtapasyonê, niha hewce ne ji bo konserasyonê.

Heke nasnameyek bêyî lêbigere dayîn, lêgerînek herî dawî ye. Bo nimûne,

Vê mêvandar û mêvandar nabe

ji bo kurt e

vs mêvandar û hostel tune

ku ne bi tevlihev be

ne (mazaxelek an ance)

Argokên zelalkirin dikarin bi xeletiyek yek an jî wekî armancên pir, heger ku hêsantir e. Bi gelemperî, heke îfadeya şêlên metachotî hene, ew hêsantir e ku ew yek ji armancên quartî derbas dibe. Pirsgirêkan pir caran armancên ku li pêşî veşartin têne peyda kirin.

EXAMPLES

Ji bo hemî pakêtên ku diçin an veşartinê veşartin an jî ji gundê xwe veşartin :

bazara tcpdump

Ji bo ku ji hêla helîos ve an veguhestinê ve an veşartî ve ye:

tcpdump host helios û \ (hot or ace \)

Ji bo hemû pakêtên IP-ê di navbera yek û her hostê de bilî helios çap bikin :

tcpdump ip host ace û ne helîos

Ji bo Berkeleyê di nav hemû mêvandar û mêvandanên navnîşan de hemû tomar printe:

tcpdump net ucb-ether

Ji bo ku hûn ji hêla şewitandinê (mis-) ji dînokên şirove dike) ji bo veguhastina tevahiya ftp travantiyê bi rêya navnîşa înternetê ya çapkirinê :

tcpdump 'gateway snup û (port ftp or ftp-data)'

Ji bo ku nexşeya çapkirinê ne ji hêla nexşeyên herêmî (heke hûn gaziyek ji netewek din ve ye, ev tişt divê tu neteweya xwe ya herêmî) nabe.

tcpdump ip û net local net

Ji bo pakêtên destpêkê û paşî çap bikin (pakêtên SYN û FIN) ji bo her TCP-ê ku di hostehek niştecîh de ne.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 û ne rast û neteweya net local net '

Ji bo ku pelên IP-ê ji 576 bytes ve ji hêla veguhestina deriyê veşartî veşêre :

tcpdump 'deriyê snap û ip [2: 2]> 576'

Ji bo pakêtên IP-an jî pelên multicast çap bikin ku ne bi rêya weşana ethernetê nehatiye şandin.

tcpdump 'ether [0] & 1 = 0 û ip [16]> = 224'

Ji bo hemî pakêtên ICMP veşartin ku daxwazên / bersivên nerazî nakin (eynî, pakêtên pîngê ne):

tcpdump 'icmp [icmptype]! = icmp-echo û icmp [icmptype]! = icmp-echoreply'

BERSÎVÊN FORMAT

Hilberîna tcpdump girêdayî protokolê ye. Di binê jêrîn û mînakên piraniya forman de dide.

Header Link Link

Gava ku '-e' vebijê hatiye dayîn, heya navnîşa navnîşa lîsansa çapkirî hatiye nivîsandin. Li ser ethernets, navnîşên çavkaniyê û navnîşên giyayî, protokolê, û pakêtek vekirî têne çap kirin.

Li ser torên FDDI, '-e' vebijêre sedema tcpdumpê li qada `frame control ', ji navnîşên çavkaniyê û navnîşan û dirêjahiya pakêtê bike. (Zeviya kontrola 'çarçoveya kontrola' ya pirtûka kontrolê ya dinê dide rêvebirin. (Pelên normal) yên wekî IP datagramsê `` async ', bi nirxa pêşîn di navbera 0 û 7 de ye;' wek mînak, ` async4 '. pakêtan têne hesibandin ku di navnîşana 802.2 pakêtê Lokalîkî ya Lokalîkî (LLC); lîdera LLC ya çapkirî ye ku heke datagram an ISO ne an naveroka SNAP-ê ye.

Li ser torên Ringenê, '-e' vebijêre sedema tcpdump ji bo 'kontrola' û 'dezgehên kontrolkirina' çarçoveyê, navnîşên çavkaniyê û navnîşên gavê çap bikin. Li ser torên FDDI, pakêtan têne hesibandin ku di pakêtek LLC de hene. Bêguman ji ka '-e' vebijarte ne diyar e an na, agahdariya rêveçûna çavkaniyê ji bo çavkaniyên çavkaniyên rêwîtiyê çap kirin.

(NB: Daxuyaniya jêrîn bi nasnameya algorithmê re bi RFC-1144 re hate danûstandin.

Li ser girêdanên SLIP, nîşanî nîşanî (`` I ', ji bo' `O '',), pileya paket, û agahdariya komputer têne çap kirin. Yekem pirtûka yekem çapkirî ye. Ev sê cûreyên ip , utcp , û ctcp in . Ji bo pelên ip packeyên bêtir agahdariyê veşartî ne. Ji bo pakêtên TCP-ê, nasnameya peywendîdar-ê di binê cureyê de çap kirin. Heke pakêt pêgirtî ye, heya encodeya wê ya çapkirî hatiye nivîsandin. Pirsên taybetî yên wekî * S + n û * SA + n , li nê ku nirxê jimara nimûne (an hejmara hejmar û anck) hate guhertin. Heke ku ev mijarek taybetî ne, hejmar an jî guhertinên din têne çap kirin. Guhertina guherînek ji hêla U (poşterek zûtirîn), W (window), A (ack), S (nîqaşa nirx), û I (ID ya paket), piştî dûre delta (+ n an-n), an nirxek nû ye (= n). Di dawiyê de, hejmara daneyên di pakêtê û dirêjahiya sernivîsa çapkirî têne çap kirin.

Ji bo nimûne, rêza jêrîn nîşan dide ku TCP packetek tundûtûjî tê nîşandan, bi nasnameya têkildarî tête; hejê 6, guhertoya numreya 49-an, û nasnameya paketê bi 6; 3 bîteyên dane û 6 bytes of header:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pirtûka ARP / RARP

Arp / rarp hilbijêre nîşa daxwaz û daxwazên wê nîşan dide. Daxuyan e ku armanceke xweser be. Va ye ku nimûneyeke kurt e ku ji destpêka rlogin 've ji mêvandanên rtsg ve tê çêkirin ku csam be ser :

arp ku-csam got rtsg arp bersivê csam e-at-a-CSAM

Rêza yekemîn dibêje ku rtsg paketek arp şandiye ku ji bo navnîşa ethernet ya csamên înternetê bipirse. Csam bersivên xwe yên navnîşana ethernetê bersiv bikin (di nav vê nimûneyê de, navnîşanên ethernetên di navnîşên jêrîn de navnîşan û navnîşên înternet in.)

Vê gavê tcpdump -n :

Arp-yê 128.3.254.6 dibêje 128.3.254.68 bersiva arp 128.3.254.6-ê 02: 07: 01: 00: 01: c4

Heke ku em tcpdump -e kiribû , rastiya ku yekemîn pakêtê weşandin û duyemîn e-hejmarê xuya dibe

RTSG Broadcast 0806 64: arp kes-has csam say rtsg CSAM RTSG 0806 64: Sersala bersivê csam e-CSAM

Ji bo pakêta yekemîn ev dibêje dibêje navnîşana çavkaniya ethernet RTSG e, hedefa navnîşana weşanê ya ethernet e, qada cure hex 0806 (ETHER_ARP-type) û dirêjahiya tevahî 64 bytes bû.

TCP Packets

(NB: Daxuyaniya jêrîn bi protokola TCP-ê di RFC-793 de behsa nasnameyê tête naskirin. Heke hûn ne bi protokola nasnameyê ne, ne jî ev şirove ne, ne tcpdump dê ji we re gelek karanîna bikar bînin.)

Forma giştî ya rêza protokola tcp e:

Çavkanî> dst: Vebijêrkên daneyên data-seqno-ack-hûrsazên lezgîn hene

Src û dst di navnîşanên IP û navnîşên IP û çavkaniyê de ne. Cûre hin hinek hevrêzên S (SYN), F (FIN), P (PUSH) an R (RST) an tenê yek `. ' (ala ala). Data-seqno beşdarî parçeyek dîplomatîk ji hêla daneyên vê paketê ve ve girêdayî ye (mînakek jêrîn bibînin). Ack hejmara nirxê ya ku li ser vê girêdanê de hêvî dikir hejmara dinê ye. Vêvek hejmara bîteyên bazirganiyê li cîhê din ve girêdayî ye. Urg diyar dike ku di danûstandinên daneyên 'lezgîn' heye. Vebijêrkên bijarteyên tcp di nav kulikan de girêdayî ye (mînak, ).

Src, dst û alên xwe herdem herin. Zeviyên din li ser naveroka pelê ya protokola TCP-ê protokola girêdayî ye û tenê heke eger hilbijêre.

Va ye ye parçeyeke vekirî ya rlogin ji mêvandanên rtsgê re csam be .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. têketinê: ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (1) 1ck 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urgent 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urgent 1

Yekemîn yekem dibêje ku tcp portê 1023 li rtsgê pirtirkareka portê li ser csam şandin. S ê nîşan dide ku ala SYN hate saz kirin. Numreya pakêtê 768512 bû û ew dane tune. (Têgihîştî `yekem e: last (nbytes) 'ku tê wateya' hejmara pêşnavên pêşîn heya pêşîn , lê heya dawî ya ku nbytes ji hêla daneyên daneyên bikarhêner e '). Vebijêrkeke herî mezintir hebû ku ji daxwaza mss ji 1024 bytes.

Csam bersivên bi heman rengê bersivên din, bila bila ku ji bo sîgorta kûçik-piştgirtî ji bo rtsgê rtsg. Piştre RTSg wê SYN-ê ya csam dike. `. ' Ne wateya ala nexşandin. Paketek tu danûstandin nîne, da ku hejmara hejmara nirxê tune ye. Têbigirin ku hejmara nirxek hejmarek piçûk e-anteger e (1). Yekem cara tcpdump tcp `gotûbêj 'dibîne, hejmara numreya parsê ji pakêtê veşêre. Li ser pakêtên paşê yên danûstandinê, cudahiyê di navbera nimûnerê paketeya heyî û hejmara pêşniyara destpêkê çap kirin. Ev tê wateya ku hejmara pêşniyarên pêşîn dikare pêşîn bi helwestên aloz ên di hilberîna daneyên danûstandinê de (tête agahdariya yekem bi her alî `1 'ye). `-S 'dê vê taybetmendiyê bikişîne, dibe ku hejmara nimûneyên bingehîn yên hilberê hilberînin.

Li ser 6-ê, rtsg ji hêla 19 bîteyên danûstendinê (bi hêla 2-20 de di rtsg -> csam alî ya axaftinê) bişîne. Ala PUSH di pakêtê de hatiye avakirin. Di rêza 7emîn de, csam dibêje ku ew ji hêla rtsgê ve hatî şandin, lê ne bi hêla 21ê de ne. Csam jî di çarçoveya vê pakêtê de ji alîyê daneyên daneyên xwe ve bişîne. Li ser rêzên 8th û 9th, csam du bi hêsanên zûtir bişînin, daneyên danûstandinê bi rtsg bişînin.

Heke snapshot piçûk piçûk bû ku tcpdump hema TCP-ê tije tije nekir, ew pir bi serokê sereke wekî ku ew dikare bike û rapor dike ku `` [| tcp ] '' 'da ku nîşan bide ku mayî nabe werin şîrovekirin. Heke hebê pişkek bogus heye (yek bi dirêjtir e ku ew piçûk piçûk an bêtir ji sernavê ye), tcpdump behsa wekî `` [ bad opt ] '' re rapor dike û neyên alternatîf nake ku (ji ber ku ev yek nebêjin ku ew dest pê dike). Heke pîvanê sereke nîşan dide hebe, lê dirêjahiya IP-datagram IP-ê ji bo bijareyên ku bi rastî hebin heye, tcpdump wê wekî `` [ bad hdr length ] '' rapor dike.

Coturing TCP packages with combinations of special flag (SYN-ACK, URG-ACK, etc.)

Li beşa bacê ya TCP-ê di 8-bîtên kontrola kontrolê de hene:

CWR | ECE | URG | ACK | PSH | RST | SYN | PER

Bila bisekinin ku em dixwazin ku pakêtên ku di sazkirina TCP-ê de were bikaranîn bikar anîn temaşe bikin. Dema ku TCP bi pêwendiyek nû ve destnîşan dike protokola 3-rêyek karanîna kar dike; girêdayî girêdayî girêdanê bi têkildariya TCP kontrolê ye

1) Caller SYN bişîne

2) Xêrxwazê ​​bi SYN, ACK re bersiv dide

3) Caller ACK bişîne

Niha em hewceyên ku pakêtên dagirkirî dixwazin ku tenê tenê sîstema SYN heye (Step 1). Têbigirin ku em ji pakêtên 2'emîn (SYN-ACK) ji naxwazin, tenê SYN-a yekem e. Çi ku hewcedariya me hewceyê ji bo tcpdump-aşkereya rastek e .

Dema ku sazkirina TCP header bêyî bijartî bibînin:

0 15 31 ----------------------------------------------- ------------------ | çavkaniya portê | portê qeydkirî | -------------------------------------------------- --------------- | nimûne | -------------------------------------------------- --------------- | hejmaran | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | pelê paceyê | -------------------------------------------------- --------------- | TCP checksum | pozîsyona lezgîn | -------------------------------------------------- ---------------

Hêkerek TCP-ê bi gelemperî 20 oktasên daneyên dane, heta ku bijarte hene. Yekemîn rêza krafiyê di nav deverên 0-3-ê de, xetên duyemîn octên 4 - 7 jî nîşan dide.

Vekirina destpêkirina 0 bi nirxandinê, bendên kontrola TCP-ê têkildar in octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | pelê paceyê | ---------------- | --------------- | --------------- | - --------------- | | 13th octet | | |

Let's look at the octet no closer close. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Ev yek ji bîteyên TCP-ê yên ku em dixwazin bisekinin. Em ji vê octet ji 0 heta 7, rastê çepê, hejmareke PSH bit hejmarek 3, lê gava URG bit hejmar 5 e.

Bawer dikin ku em dixwazin pakêtên tenê bi SYN-ê vekin. Bila bibînin ka çiqas octet 13 dê dibe ku eger Datagram Dîtagram bi serokê wê ve bitikîne SY-ê di desthilata xwe de pêk tê:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Li beşa bîteyên kontrola me digerin ku em dibînin ku tenê hema hejmara 1 (SYN) tê avakirin.

Bawerkirina ku hejmara octet 13 anî di nav torê ya byteger de 8-bit neqeydkirî neheq e ye, nirxê binirxê vê octet e

00000010

û nimûne dora wê ye

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Em nêzîkî kirin, ji ber ku em dizanin ku tenê tenê SYN tête dayîn, nirxa 13th oktît di serokê TCPê de, dema ku di nav nukleerê 8-bit de neheqên nukleer ên li alîyê torê bi alî vekirî ye, divê heya 2.

Ev têkiliyek dikare wekî xuya dibe

tcp [13] == 2

Em dikarin vê expressionê wekî filterê ji bo tcpdump bikar bînin ku ji bo pakêtên ku bi tenê tenê SYN saz dikin temaşe bikin:

tcpdump -i xl0 tcp [13] == 2

Di gotina xwe de dibêje "bila 13th octet ya datagramek TCP-ê xwedî nirxa nirxa 2 heye", ku bi rastî em çi dixwazin.

Niha, em bisekinin ku em hewce be ku pakêtên SYN girtin, lê em naxwazin eger ACK an jî çend kesek TCP kontrolê bitikîne di heman demê de. Bila bibînin ka çima octet 13 çi dibe dema ku Datagram bi TC-ACK ve hatibû nivîsîn:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Niha bîteyên 1 û 4 de di otonê 13'an de têne çêkirin. Nirxa berbi octet 13 e

00010010

kîjan bi danîmarka tê wergerandin

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Niha em nikarin tenê 'tcp [13] == 18' di navnîşa firoştina tcpdumpê de bikar bînin, ji ber ku wê tenê tenê pakêtên ku ji bo SYN-ACK ve heye, lê ne tenê tenê bi SYN set. Bawer dikin ku em nexwendin eger ACK an jî kontrola din be ku heta ku SYN hatiye damezirandin pêk tê de pêk tê.

Ji bo ku armanca me bigihîjin armancê me, divê hewceyek pisporî û bi binirxandina binek octet 13 bi hin nirxên din yên ji bo parastina SYN bit. Em dizanin ku em dixwazin SYN ku di her rewşê de bêne çêkirin, da ku em ê bi mentîkalî û nirxa wê di 13-ê octet bi bi binirxandina binaryê ya SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (em SYN dixwazin) û 00000010 (em dixwazin SYN) -------- -------- = 00000010 = 00000010

Em dibînin ku ev û operasyonê heman encam dide ku bêyî ku ACK an jî kontrola TCP-yê din bitikîne. Demokrasî ya nirxa nirx û encama vê operasyonê 2 (binary 00000010) ye, hingê em dizanin ku pakêtên SYN-ê bi peywendiya jêr peyda dike divê rast be:

((Nirxa octet 13) AND (2)) == (2)

Ev ji me re gotina expression ya tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Têbigere ku hûn bikar bînin ku hûn di nav expressionê yek ('&') taybetmendiyê ji şelê ve vekin.

Packets UDP

Pirtûka UDP ji hêla packetê ve hatiye diyar kirin:

actinide.who> broadcast.who: udp 84

Ev dibêje ku portê ku li ser çalakvanê mêvandar a udp datagram şandiye ku ji bo ku weşana weşana hostelê, navnîşana Înternetê ragihand. Packet ji 84 dûrên daneyên daneyên bikarhêner hene.

Hinek xizmetên UDP têne naskirin (ji navnîşana çavkaniyê an portê ya destûra) û agahdariya bilind ya protokola çapkirî. Bi taybetî, Serdana daxwaznameyên navnîşên navîn (RFC-1034/1035) û RPC ya Sun (RFC-1050) ji NFS re.

Navê Pêşniyarên UDP Navê UDP

(NB: Daxuyaniya jêrîn bi nasnameya protokola Servîsa Domain ya RFC-1035 ve tête qebûlkirin. Heke hûn ne bi protokola nasnameyê ne, dê pirtûka jêrîn dê li greek nivîsîn.)

Navê daxwaznameyên navnîşan têne formkirin

src> dst: id op? alên qtype qclass name (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Host h2opolo ji serverê ser helios ji bo navnîşana navnîşan (qtype = A) bi ucbvax.berkeley.edu re girêdayî ye. Qeydkirina pirs `3 'bû. `+ 'Nîşan dide ku ala daxwazê ​​daxwaza vala vekirî ye. Pirsgirêka dirêjî 37 baytan bû, ne navnîşên sereke UDP û protokola IP. Pirsgirêka lêpirsînê normal bû yek, Query , da ku wiya qada opsiyonê vekir. Heke ku opa tiştek din bû, wê di navbera `3 'û` +' çap kirin. Bi vî awayî, qclass bû yek yek, C_IN û veşartî. Dema ku qclassek din dê ji `` A 'dê veguhestine.

Gelek anomalîtan têne kontrol kirin û dibe ku di kursên li qada çandî de encam bikin: Heke pirsek bersiv heye, beşa rayedarên destûra an qeydên din ên din, ancount , nscount , yan arcount wek `[ n a] ',` [ n n ] 'an ` n ' a '' ku n hejmarek rastîn e. Heke yek ji bendeyên bersîva têne damezrandin (AA, RA or Rcode) an yek ji 'bêdeng e ku şertên sîvîl be, divê di bin sîteyan de du û sê de, bi [b2 & 3 = x ]' têne nivîsandin, ku x xêxa hexê ye header bytes du û sê.

Response Names Server UDP

Bersivên navnîşên navnîşan têne formkirin

src> dst: id-rcode ala a / n / au helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Di nimûnemek yekem de, helios bersiva id id 3 ji h2opolo bi 3 reqeydên bersivên 3, navnîşên navnîşên 3 nav û navnîşên din yên bersiv dide. Bersivê yekem bersiva yek e (adres) û daneyên wê di navnîşa 128.32.137.3 de. Bi tevahî bersîva bersivê 273 bites bû, ji bilî serê serê UDP û IP. Vê (Query) û kodê bersivê (NoError) were derxistin, wek ku çîna (C_IN) ya qeydkirî bû.

Di nimûneya duyemîn de, helios bersiva 2 re bersivê kodê ya damezrandina ne-existent (NXDomain) bi bersivê navek, navnîşek navnîşek navnîş û navendek navek. `* 'Nîşan dide ku bersivên rastîn ên rastîn hate çêkirin. Ji ber ku bersîv nehatin, no-no, class û daneyên çapkirî hatine kirin.

Lîsteyên ala yên din ên ku bêne xuya kirin `- '(peyda dibe, RA, ne diyar kirin) û` |' (Peyama şaşkirî, TC, set). Heke beşa `question 'ne bi navnîşek yek e,` [ n q]' hat çap kirin.

Têbînî ku navnîşên daxwaznameyê û bersivên navnîşê pir mezin in û wêneya nermalavê ya 68-êtes dikarin nikarin pakêtek pir pakêt bikin ku çap bikin. Dema ku hûn hewce ne ku navnîşa gerîla ya navnîşan bikin lêkolîn bikin. ` -s 128 'ji min re ji min re kar kir.

SMB / CIFS decoding

Tcpdump niha di daneyên UDP / 137, UDP / 138 û TCP / 139 de daneyên danûstendina SMB / CIFS / NBT pir zêde. Hin kêşeyên kevneşopî yên daneyên IPX û NetBEUI daneyên SMB-ê jî pêk tê.

Bi veguherînek yekane qutiyeke herî kêm a bi awayekî çêkirî ye, bi çiqas karanîna bêhtir dokumentek berfireh berfirehtir. Bê hişyar kirin ku bi pakêtek SMB-ê tenê yek rûpela an jî bêtir bigirin, ji ber vê yekê tenê bikar tîne -v eger hûn bi rastî hûn agahiyên hemî dixwazin.

Heke hûn rûniştinên SMB-ê yên ku di nav strateya unicode de têne qeydkirin, hûn dikarin bixwazin ku di navbera UNE_UNICODE-ê devera hawirdorê ava bike. 1. Patch ji bo şevên unicode-ê welate be.

Ji bo agahdariyên li serîbarên SMB pakêt û çi tiştên ku hûn tê wateyê bibînin www.cifs.org an jî pub / samba / specs / rêberê li ser samba.org mirror site of your favorite. Patchên SMB ji aliyê Andrew Tridgell (tridge@samba.org) ve hate nivîsandin.

NFS Daxwaz û Bersîv

Sun NFS (Sîstema Pergala pelê ya Nîşan) daxwaz û bersiv têne çapkirin wekî

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op results sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 fêrbûna fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: reply ok 128 lookup fh 9,74 / 4134.3150

Di rêza yekem de, sîgortê bi id 6709 bi xezebek veguhestinê bişîne (hejmareke hejmara mêvandar ya çavkaniya jêrîn id, ku ne pargala çavkaniyê) ye. Di daxwaza daxwaznameyê de UDP û IP-ê de daxwaza 112 bytes bû. Operasyona peldanka pelê ( fh ) 21,24 / 10.731657119 li ser pirtûkxaneyê bû (girêdana sembolîk xwendin). (Heke yek kêfxweş e, wekî di vê rewşê de, pelê pelê dikare wekî hejmarek mezin, hejmara hejmareke piçûk ya piçûk, paşê hejmara hundir û hejmara nifşan tê şîrovekirin .) Li bersiva naveroka girêdanê.

Di rêza sisiyan de, sushi wrl dipeyivin ku navê ' xcolors ' li pelê 9,74 / 4096.6878 pelan bibînin. Têbînî ku daneyên çapkirî de li ser operasyonê girêdayî ye. Pêwîste armance ye ku eger xweya bi protokola NFS protokane bixwîne ku tête xwe diyar e.

Heke al-z (verbose) ala tê dayîn, agahdariyên din hat çap kirin. Bo nimûne:

sushi.1372a> wrl.nfs: 148 fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v jî heya serê IP-yê TTL, ID, dirêj, û parçekirin, ku ji vê nimûneyê vekişandine veşartî dike.) Di rêza yekem de, sushi ji bo 8192 bytes ji pelê 21,11 / 12.195, li aloz 24576. Wrl replies `ok '; pakêtek li ser rêza duyem eşkere ye, û ji ber vê yekê tenê 1472 bîteyên yekbûyî ye (hingê din bytes di paşê de parçe dikin, lê ev parçe tune ne NFS an jî heta hejmara UDP ne û nebe ku ne çapkirin, li ser bingeha danûstendinê tê bikaranîn). Ji ber ala -v -v ji alîyê pelê vekirî ye (ku ji hêla daneyên dokumentê ve hatîye veguhestin) hatiye nivîsandin: pelê pelê (`` REG '', ji bo pelê rasterast), pergalê pelê (oktal) uid û gid, û mezinahiya pelê.

Heke al-flag alî bêtir dayîn dayîn, bêtir agahdarî hatine çap kirin.

Têbînî ku NFS daxwazan pir pir mezin e û pir ji berfirehtir wê dê çap nakin heta ku snaplen zêde dibe. Ji bo ` -s 192 'bikar biceribînin ku ji bo trafê NFS bibînin.

NFS bersivên bersivên neyînî bi operasyona RPC nas nakin. Li ser vê yekê, tcpdump di navnîşana `` dawî ya '' de digire, û wan bersivên bi nasnameya veguhestinê bi hev re digotin. Ger bersiva bersiva pêvajoya peywendiyê nabînin, lê dibe ku ew ne parsable be.

AFS Daxwaz û Bersîv

Transarc AFS (Sîstema Pergala pelê ya Andrew-ê) daxwaz û bersiv têne çapkirin wekî

src.sport> dst.dport: rx packet-type src.sport> dst.dport: Rx - kiret -nav- navnîşên rx-navnîşa call-name argssport> dst.dport: rx packet-type-service args elvis. 7001> pike.afsfs: navnîşa rxê daneyên navnîşên rxê kevin fid 536876964/1/1/1 ".newsrc.new" nû fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs reply rename

Di rêza yekem de, elvisê mêvanê RX packet bi pike bişîne. Ev pelê RX bû ku ji xizmetên fs (fileerver) re bû, û destpêka radyoya RPC e. Dîsa RPC bi navê pelê kevin yê 536876964/1/1 û pelê kevnê `.newsrc.new ', û peldanka nû ya 536876964/1/1/1 û pelê nû ya` nû ye. newsrc '. Pike pike bersiva navê RPC bersiva navekî navîn (ji serkeftî bû, ji ber ku ew pakêtek daneyên dane bû û ne paketek abort bû).

Bi gelemperî, hemî AFS RPC bi navê herî kêm bi navê bi navê RPC têne avêtin. Gelek AFS RPC xwedî kêmtir argarên (bi gelemperî tenê armancên `balkêş ', ji bo hinekî nirxên balkêş).

Daxuyan e ku armancekî xweser be, lê dibe ku ew ji bo mirovên ku ne bi karên AFS û RX bi nasnameyên nezanîn in.

Heke -v (verbose) ala du caran hatîye dayîn, agahdariyên pejirandin û agahdariya sernavê din vekirî hatiye nivîsandin, wek nimreya RX, numreya telefonê, hejmara nirx, serialê, û ala rxên RX.

Heke ala -v ala du-day tê dayîn, agahdariyên din hat çap kirin, wekî nimreya RX, serjimara serial, û ala RX packet. Agahiya danûstendinê ya MTU jî ji pakêtên RX ack ve hat çap kirin.

Heke al-flag alî sê caran hat dayîn, şerta ewlehiyê û id idê çap kirin.

Kodên çewtiyê ji bo pakêtên abort têne çap kirin, ji bilî pakêtên Ubik beacon vekirî (ji ber ku pakêtên abort tê bikaranîn ji hêla protokola Ubik ve tê vekirî tê bikaranîn).

Têbînî ku daxwazên AFS gelekî mezin e û gelek argarên wê ne çap kirin, heta ku snaplen zêde dibe. Ji bo ` -s 256 'bikar biceribînin ku ji bo trafê AFS bibînin.

AFS bersivên bersivên bi eşkereyî re operasyona RPC nas nakin. Li ser vê yekê, tcpdump bi rêvegirtina `` dawî '' digire, û bi wan re bersivên bi navnîşên telefonê û navnîşên telefonê digotin. Ger bersiva bersiva pêvajoya peywendiyê nabînin, lê dibe ku ew ne parsable be.

KIP Appletalk (DDP ya UDP)

Appletalk DDP di encama datagramsên UDP de dabeşkirî têne veguhestin û wekî pakêtên DDP-ê wekam, agahdariya hemî agahdariya UDP bêkêmkirin). Pelê /etc/atalk.names tê bikaranîn ku bi appletalk net û nodên navên navên xwe wergerandin. Lînkên vê pelê heye

Numreya navîn 1.254 ether 16.1 icsd-net 1.254.110 ace

Di du rêzên yekem de navê navên appletalk bidin. Di rêza sêyemîn de navê navnîşek taybetî ye (navnîşek ji alîyê sê octet di nav hejmara hejmarek de ye, hejmareke neteweyî divê hebûn û hejmara navîn divê sê oktûyan. bi whitespace (nexşandin an jî tabs). Pelê / /etc/atalk.names pelên lênêrîn an lênêrînên şirove hene ( lînka bi destpêkê `# ').

Navnîşên Appletalk di formê de têne nivîsandin:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Heke ku /etc/atalk.names nîne an naveroka hin appletalk-host / net-net, navnîşan di forma nimûneyê de çap kirin.) Nimûne ya yekemîn, NBP (DDP port 2) li net 144.1. node 209 ji her tiştê ku li ser portê de 220 guhdariya net icsd 112 re nayê şandin. Ji bila heman rêza heman heman e, navnîşa tevahiya naveyê ya naveyê tê zanîn (`office '). Rêza sêyemîn ji portê 235 li net jssmag node 149 bişîne ji bo portêya Nix-net-nbp (ji bîr nekin ku navnîşa weşanê (255) bi navnîşek neteweyek bi navnîşên netewî re nîşan dide, ji ber ku ev fikra baş e ji bo /etc/atalk.names navên navên navên navîn û navên cuda binihêrin).

NBP (navê protokola binding name) û ATP (protokola veguherînê ya Appletalkê) materyalên wan şirove kirin. Pro protocols tenê navê protokola (an hejmar heger na navê nameya protokola ji bo protokola qeydkirî ye) û sîteya pakêtê derxistin.

Packetên NBP wekî nimûneyên jêrîn têne çêkirin:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=:: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-bersiv 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-bersiv 190: "techpit: LaserWriter @ *" 186

Pêwîsta yekemîn e ku navê daxwaza lêgerînê ya navnîşa laserwriters ji hêla mix ixd-net 112 ve şandin û li ser jssmag belav dikin. Nîşana nbp ji bo temaşeya nifşê 190 e. Rêza duyemîn ji bo vê daxwaza bersivê dide (nîqaş e ku ew heman identî heye) ji mêvandar jssmag.209 dibêjin ku ew çavkaniya laserwriter bi navê "RM1140" li portê 250 qeydkirî ye. Pirsgirêka din jî heman daxwazî ​​ye ku daxuyaniya mêvandar techpît xwedî laserwriter "techpit" li portê 186 qeydkirî ye.

Formatting of ATP packet bi jêr nimûne tê nîşandan:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 ji 8-pakêtan (ji `<0-7> ') daxwaza daxwaza danezana id 12266 bi hostel helios dest pê dike. Hejmara hexê di dawiya rêzê de nirxê wateya `userdata 'li ser daxwaza ye.

Helios bersivên 8 512-byte bersiv dide. `` Hejmar 'piştî peywendiya danûstandinê ya navnîşa pakêtê veguhestinê di nav veguhestinê de dide û hejmara parçeyên hejmara daneyên di paketê de ye, ji bila atp header e. Di packet 7 de `* 'nîşan dide ku EOM bitek çêkir.

Jssmag.209 hingê piştrast dike ku 3 û 5 pakêtan vekişandin. Helios dîsa wan hiştin û paşê jssmag. 930 veguhestina xwe belav dike. Di dawiyê de, jssmag.209 daxwazek din pêşî dike. Li ser daxwaza `* 'nîşan dide ku XO (` yek careke din') nehatiye avakirin.

IP Fragmentation

Datagramsên Fragmented Internet têne çap kirin

( id- frag : size @ offset +) (frag id : size @ offset )

(Forma yekemîn nîşan dide ku li wir gelek parçe hene. Duyemîn nîşan dide ku ev parçe dawîn e.)

Id id-frag fragment e. Mezinahiya pelê piçûk e (di çarçoveya) ji bila IP header e. Offset di datagramê de (kûte) di vê dagirkerê de parçe ye.

Agahî belavkirina hilberek her parçe ye. Di parçeya pêşîn de piştî parçeya yekem a protokola bilind ya protokî û agahdariya piçê piştî şiroveya protokola çapkirî ye. Paşên paşîn piştî yekemîn pêşî protokola asta bilind a naverokê û agahdariya çavkaniyê û destnîşaniyê piştî agahdariya fragê hat çap kirin. Ji bo nimûne, ew parçeyek an ftp ji arizona.edu ji lbl-rtsg.arpa ve girêdayî CSNET têkildar e ku nabe ku li datagramên 576 byte nadeve kirin:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (595a bit: 328 @ 0+) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. heck 1536 win 2560

Hinek tişt hene ku ji vir re binivîse: Pêwîst, di nav rêza duyem de hejmara navnîşên portê hene. Ji ber ku protokola TCP-ê di her yekem parçeyek de hemî ye, em nizanin ka kîjan port û pêşniyara hejmara ku paşê paşê veşartî ye. Ya duyemîn, agahdariya tcp di yekem rêza çapkirî de wekî ku hejmara 308 bîteyên daneyên bikarhêner bûn dema, di rastiyê de 512 bît hene (308 di yekem yeka û 204 di duyemîn de). Heke hûn li ser pisîka bisekinin an hewldanên ku bi pakêtan re bigirin, lê digerin, hûn dikarin bêaqil bikin.

Pêkûpêk bi IP-ê nayê parçe parçe navekî veguherîn (DF) .

Timestamps

Bi rêkûpêk, hemî hilberên hilberê ji hêla timestampê ve têne kirin. Timestampê demjimêra demjimêra demê ye

hh: mm: ss.frac

û wek qursa kernel rast e. Timestampê dema ku kernel cara yekem dîtî pakêtê nîşan dide. Ne hewce ne ku ji bo dema ku dema ethernetê veguhestina pelê ji razê jê vegotin û dema kernel 'new packet' xizmetê bistîne, hewl didin hesab kirin.

BİXWÎNE

(1C), nit (4P), bpf (4), pcap (3)

Girîng: Mirovekî meriv ( % mêr ) bikar bînin ku hûn çawa dibînin ku emrê çawa di komputerê de tê bikaranîn.