Tcpdump - Command Command - Unix Command

NAME

tcpdump - trafaig dump air lìonra

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -ccireamh ]

[ -C file_size ] [ -F file ]

[ -i interface ] [ -m modal ] [ -r file ]

[ -s snaplen ] [ -Tineál ] [ Cleachdaiche-U ] [ -w faidhle ]

[ -E rud : dìomhair ] [ abairt ]

SGRÙDADH

Bidh Tcpdump a 'cur a -mach cinn nan pacaidean air eadar-aghaidh lìonraidh a tha a' freagairt ris an abairt boolean. Faodar a ruith leis a 'bhratach -w cuideachd , a tha ag adhbhrachadh gun glèidh e dàta na pacaid gu faidhle airson anailis nas fhaide air adhart, agus / no leis a' bhratach -r , a tha ag adhbhrachadh gun tèid a leughadh bho fhaidhle pasgan sàbhailt seach a bhith a 'leughadh phacaidean bho eadar-aghaidh lìonraidh. Anns a h-uile suidheachadh, cha tèid pacaidean a tha a 'maidseadh abairt a phròiseas le tcpdump .

Nì Tcpdump , ma tha thu a 'ruith leis a' bhratach -c , a 'leantainn le bhith a' glacadh phacaidean gus an tèid sionndadh SIGINT a bhriseadh air falbh (mar eisimpleir, le bhith a 'clò-bhualadh a' charactar agad, mar as trice smachd-C) no comharra SIGTERM (mar as trice air a ghineadh leis a ' mharbhadh (1) òrdugh); ma bhios e air a ruith leis a 'bhratach -c , gabhaidh e pacaidean gus an tèid slige SIGINT no SIGTERM a bhriseadh oirre no gun deach àireamh shònraichte de na pacaidean a phròiseas.

Nuair a bhios tcpdump a ' crìochnachadh a bhith a' glacadh phacaidean, bidh e ag aithris cunntasan de:

phacaidean `` a fhuaireadh le bhith a 'crathadh' (tha brìgh seo a 'crochadh air an OS air a bheil thu a' ruith tcpdump , agus 's dòcha air an dòigh san robh an OS air a cho-òrdanachadh - ma chaidh criathrag a shònrachadh air an loidhne àithne, air cuid de OSs tha e a' cunntadh pacaidean a dh 'aindeoin an robh an abairt criathrag air a mhaidseadh, agus air OSean eile chan eil e a' cunntadh ach pacaidean a bha air an co-fhreagairt leis an abairt criathrag agus gun deach a phròiseas le tcpdump );

pacaidean `` air tuiteam le craiceann '' (is e seo an àireamh de phacaidean a chaidh a leigeil, mar thoradh air dìth àite bufair, leis an inneal glacadh pacaid san OS air a bheil tcpdump a 'ruith, ma tha an OS ag aithris gu bheil fiosrachadh gu tagraidhean; mura h-eil, thèid aithris mar 0).

Air àrd-chabhsairean a tha a 'toirt taic don chomharra SIGINFO, mar a' chuid as motha de BSDs, cuiridh e cunntas air na cunntasan sin nuair a gheibh e comharra SIGINFO (air a ghineadh, mar eisimpleir, le bhith a 'clò-bhualadh do charactar `inbhe', mar as trice smachd-T) agus cumaidh e air adhart a 'glacadh phacaidean S an Iar-

Dh'fhaodadh gum bi pasganan leughaidh bho eadar-aghaidh lìonraidh ag iarraidh gum bi sochairean sònraichte agad:

Fo SunOS 3.x no 4.x le NIT no BPF:

Feumaidh tu ruigsinneachd a leughadh gu / dev / nit no / dev / bpf * .

Fo Solaris le DLPI:

Feumaidh tu ruigsinneachd leughaidh / sgrìobhaidh a bhith agad air inneal-lìn an lìonra, me / dev / le . Air co-dhiù cuid de na tionndaidhean de Solaris, ge-tà, chan eil seo gu leòr gus leigeil le tcpdump a ghlacadh ann am modh promiscuous; air na tionndaidhean sin de Solaris, feumaidh tu a bhith fréamach , no feumaidh tcpdump a bhith air a stàladh gus a thoirt a-steach, gus a ghlacadh ann am modh promiscuous. Thoir fa-near, air iomadh eadar-ghluasad ('s dòcha uile), mura gabh thu ann am modh promiscuous, chan fhaic thu pacaid sam bith a tha a' dol a-mach, agus mar sin chan urrainn gun gabh grèim air a dhèanamh ann am modh promiscuous.

Fo HP-UX le DLPI:

Feumaidh tu a bhith root no tcpdump a bhith air a stàladh setuid gus root a dhèanamh.

Fo IRIX le snoop:

Feumaidh tu a bhith root no tcpdump a bhith air a stàladh setuid gus root a dhèanamh.

Fo Linux:

Feumaidh tu a bhith root no tcpdump a bhith air a stàladh setuid gus root a dhèanamh.

Fo Ultrix agus Digiteach UNIX / Tru64 UNIX:

Faodaidh neach-cleachdaidh sam bith trafaig lìonra a ghlacadh le tcpdump . Ge-tà, chan urrainn do neach-cleachdaidh sam bith (chan e eadhon an neach-cleachdaidh super) a ghlacadh ann am modh promiscuous air eadar-aghaidh mura h-eil an neach-cleachdaidh air comas a thoirt do ghnìomhachd modh promiscuous air an eadar-aghaidh sin le pfconfig (8), agus chan eil cleachdaiche ann (chan e eadhon an neach-cleachdaidh super ) a 'glacadh trafaic neo-chinnteach a fhuaras no a chuir an inneal air eadar-aghaidh mura h-eil an neach-cleachdaidh air a bhith comasach air obrachadh lethbhreac-a-mach air an eadar-aghaidh sin a' cleachdadh pfconfig , mar sin tha e feumail gum bi glacadh phacaid feumail air eadar-aghaidh air an aon dòigh no lethbhreac obrach-modh-obrach, no an dà mhodh obrach, a bhith air an comasachadh air an eadar-aghaidh sin.

Fo BSD:

Feumaidh tu ruigsinneachd a leughadh gu / dev / bpf * .

Chan fheum sochairean sònraichte a bhith a 'leughadh faidhle pacaid shàbhalaidh.

OBAIR

-a

Feuch ri rèiteachadh lìonra agus seòlaidhean craolaidh gu ainmean.

-c

Leig às às dèidh dhut pasgan cunntadh fhaighinn.

-C

Mus sgrìobh thu pacaid amh gu sàbhaladh, faigh a-mach a bheil am faidhle an-dràsta nas motha na file_size agus, ma tha, dùin an sàbhaladh làithreach agus fosgail fear ùr. Bidh an t-ainm air a shònrachadh leis a 'bhratach -w às dèidh a' chiad shàbhalaidhean, le àireamh às a dhèidh, a 'tòiseachadh aig 2 agus a' leantainn suas. Is e na h-aonadan de file_size milleanan de bytes (1,000,000 bytes, chan e 1,048,576 bytes).

-d

Cuir stad air a 'chòd pacaid co-dhèanta ann an cruth a ghabhas leughadh le daoine gu toradh coitcheann agus stad.

-dd

Còd co-fhreagarrach pacaid mar criomag prògram C.

-dd

Còd co-fhreagarrach pacaidean mar àireamhan deicheil (roimhe sin cunntadh).

-e

Clò-bhuail an ceann-ceangail ìre-ceangail air gach loidhne dump.

-E

Cleachd rud : dìomhair airson pacaidean IPsec ESP a dhubhadh às. Is dòcha gum bi algorithms des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , no gin . Is e am bunait des-cbc . Chan eil an comas pacaidean a dhubhadh às ach an-dràsta ma chaidh tcpdump a chur ri chèile le comas criptography. dìomhair an teacs ascii airson iuchair dìomhair ESP. Chan urrainn dhuinn luach dannsa neo-eisimeileach a ghabhail aig an àm seo. Tha an roghainn a 'gabhail ris RFC2406 ESP, chan e RFC1827 ESP. Chan eil an roghainn ach airson adhbharan dearbhaidh, agus tha an roghainn seo le iuchair fìor 'dìomhair' air a bhrosnachadh. Le bhith a 'toirt seachad iuchair IPsec dìomhair gu loidhne-àithne bidh thu ga dhèanamh follaiseach do dhaoine eile, tro ps (1) agus tachartasan eile.

-f

Cuir seòlaidhean eadar-lìon 'foreign' a-steach gu h-àraid seach gu samhlachail (tha an roghainn seo airson cron a dhèanamh air droch dhroch eanchainn ann am frithealaiche an t-Sùin - mar as trice bidh e a 'crochadh a-mach eadar-theangachaidhean àireamhan eadar-lìn nach eil ionadail).

-F

Cleachd am faidhle mar chuideachadh airson an abairt criathrag. Thathar a 'toirt seachad aire a bharrachd air a thoirt seachad air an loidhne àithne.

-i

Èist air eadar-aghaidh . Mura h-eil mì- shònrachadh , bidh tcpdump a ' lorg liosta eadar-aghaidh an t-siostaim airson an eadar-aghaidh as ìsle a tha air a dhealbhadh gu h-àireamhaichte (ach a-mhàin loopback). Thèid ceangail a bhriseadh le bhith a 'taghadh a' gheama as tràithe.

Air siostaman Linux le 2.2 no kernels nas sine, faodar argamaid eadar - aghaidh de `` any '' a chleachdadh gus pasganan a ghlacadh bho gach eadar-aghaidh. Thoir an aire nach dèanar glacadh air inneal `sam bith 'ann am modh promiscuous.

-l

Dèan lèirmheas air loidhne stdout. Feumail ma tha thu airson an dàta fhaicinn fhad 'sa tha thu ga ghlacadh. Me,
`` tcpdump -l | tee dat '' no `` tcpdump -l> dat & tail -f dat ''.

-m

Clàraich mion-mhìneachadh modal SMI MIB bho mhodal faidhle. Faodar an roghainn seo a chleachdadh grunn thursan gus grunn mhodalan MIB a luchdachadh gu tcpdump .

-n

Na atharraich seòlaidhean aoigheachd gu ainmean. Faodar seo a chleachdadh airson coimhead DNS a sheachnadh.

-nn

Na atharraich àireamhan protocol agus puirt msaa gu ainmean an dàrna cuid.

-N

Na cuir a-steach teisteanas ainmean àrainn de dh'ainmean aoigheachd. Mar eisimpleir, ma bheir thu am bratach seo, cuiridh tcpdump argamaid `` nic '' an àite `` nic.ddn.mil ''.

-O

Na dèan an optimizer còd-coidse a ruith. Chan eil seo feumail ach ma tha thu a 'smaoineachadh gu bheil am mearachd sa bhiadh.

-p

Na cuir a-steach an eadar-aghaidh a-steach gu modh promiscuous. Thoir fa-near gum faodadh an eadar-aghaidh a bhith ann am modh promiscuous airson adhbhar eile; mar sin, chan urrainnear `-p 'a chleachdadh mar gheàrr-chunntas airson` ether host {local-hw-addr} no eher broadcast'.

-q

Aschur luath (sàmhach?). Clò-bhuail fiosrachadh nas lugha protocail agus mar sin tha na loidhnichean toraidh nas giorra

-R

Thoir air na pacaidean ESP / AH a bhith stèidhichte air seann chomharran (RFC1825 gu RFC1829). Ma tha e air a shònrachadh, cha bhith tcpdump a 'clò-bhualadh achadh bacaidh ath-sgrìobhaidh. Leis nach eil raon dreachd protocol ann an sònrachadh ESP / AH, chan urrainn dha tcpdump an tionndadh de protocol ESP / AH a thoirt às.

-r

Leugh pacaidean bho fhaidhle (a chaidh a chruthachadh leis an rogha -w). Thathar a 'cleachdadh in-ghabhail àbhaisteach ma tha am faidhle `` -' '.

-S

Clò-bhuail àireamhan leantainneach iomlan, seach a thaobh co-cheangailte, TCP.

-s

Bidh snarf leumagan de dhàta bho gach paca seach a bhith ann an 68 (le NIT SunOS, is e an ìre as ìsle 96). Tha 68 bytes freagarrach airson IP, ICMP, TCP agus UDP ach dh'fhaoidte gun toir iad fiosrachadh protocol bho phasgan ainm agus pacaidean NFS (faic gu h-ìosal). Tha na pacaidean air an cuartachadh air sgàth dealbh beag air an comharrachadh anns an toradh le `` [| proto ] '', far a bheil proto an t-ainm aig ìre a 'phròtacail aig a bheil an truncation air tachairt. Thoir fa-near gu bheil thu a 'toirt dhealbhan nas motha an dà chuid a' meudachadh na h-ùine a th 'ann gus pasganan a phrosnachadh agus, gu h-èifeachdach, a' lùghdachadh an ìre de buffering pacaid. Faodaidh seo adhbhrachadh gun tèid pacaidean a chall. Bu chòir dhut cuibhreachadh a thoirt air an àireamh as lugha a ghabhas a-steach fiosrachadh a 'phròtacail a tha ùidh agad. Tha e a' ciallachadh gun cleachd thu an fhad riatanach gus pacaidean slàn a ghlacadh.

-T

Chaidh pacaidean na Feachd a thaghadh le " abairt " a bhith air an eadar-mhìneachadh an seòrsa ainmichte. Aig an àm seo, tha na seòrsachan aithnichte cnfp (protocol Cisco NetFlow), rpc (Call modh iomallach), rtp (protocol Real-Time Applications), rtcp (protocol smachd iarrtasan Real-Time), snmp (Protocol Lìonra Simplí), vat (Inneal Visual Audio ), agus wb (air a sgaoileadh le Bòrd Geal).

-t

Na cleachdaibh clàr-ama air gach loidhne dump.

-tt

Clò-bhuail clàr-ama gun fhios air gach loidhne lùbaidh.

-U

Bidh e a 'toirt seachad freumhan bunaiteach agus bidh e ag atharrachadh ID a' chleachdaiche gu ID a ' chleachdaiche agus a' bhuidheann chun a 'bhuidhinn bun-sgoile.

Nòta! Bidh Red Hat Linux a 'leigeil às na sochairean gu fèin-obrachail `` pcap' 'mura h-eil dad eile air a shònrachadh.

-ttt

Clò-bhuail delta (ann am meanbh-diogan) eadar an loidhne a th 'ann agus an loidhne roimhe air gach loidhne lùbaidh.

-tttt

Clò-bhuail clàr-ama ann an cruth bunaiteach air a leantainn leis an ceann-latha air gach loidhne dump.

-u

Clò-bhuail làimhseachadh NFS neo-ghnàthaichte.

-v

(Beag gu math nas motha) toradh làitheil. Mar eisimpleir, tha an t-àm airson a bhith beò, aithneachadh, fad iomlan agus roghainnean ann am pasgan IP air an clò-bhualadh. Cuideachd a 'toirt comas seachad sgrùdaidhean iomlanachd pacaid mar a bhith a' dearbhadh dearbhadh ceannard IP agus ICMP.

-vv

Eadhon toraidhean nas làidire. Mar eisimpleir, tha raointean a bharrachd air an clò-bhualadh bho phacaidean freagairt NFS, agus tha pacaidean SMB air an dùnadh gu tur.

-vvv

Eadhon toraidhean nas làidire. Mar eisimpleir, telnet SB ... Tha roghainnean SE air an clò-bhualadh gu h-iomlan. Le roghainnean XX telnet air an clò-bhualadh ann an hex cuideachd.

-w

Sgrìobh na pacaidean amh airson faidhle an àite parsadh agus clò-bhualadh a-mach iad. Faodar an clò-bhualadh nas fhaide air adhart leis an roghainn -r. Thèid toradh coitcheann a chleachdadh ma tha am faidhle `` - ''.

-x

Clò-bhuail gach paca (nas lugha na ceannard ìre ceangail) ann an hex. Thèid an tè as lugha den phacaid gu lèir no de na bileagan lòchrain a chlò-bhualadh. Thoir fa-near gur e seo am pasgan ceangail gu lèir, mar sin airson sreathan ceangail a tha a 'padadh (me Ethernet), bidh na bytes gleadaidh air an clò-bhualadh cuideachd nuair a tha am pasgan nas àirde nas giorra na an t-acadhainn riatanach.

-X

Nuair a bhios e a 'clò-bhualadh hex, clò-bhuail ascii cuideachd. Mar sin ma tha -x cuideachd air a shuidheachadh, thèid am pasgan a chlò-bhualadh ann an hex / ascii. Tha seo gu math feumail airson a bhith a 'sgrùdadh protocols ùra. Fiù mura h-eil -x cuideachd air a shuidheachadh, faodaidh cuid de chuid de phacaidean a bhith air an clò-bhualadh ann an hex / ascii.

labhairt

a 'taghadh dè na pacaidean a thèid a dhumpadh. Mura tèid aithris a thoirt seachad, thèid na pacaidean air fad air an lìonadh sìos. Air an làimh eile, cha tèid pacaidean a-mhàin airson am facal `true 'a dhumpadh.

Tha an abairt a ' gabhail a-steach aon no barrachd stuth-tòiseachaidh. Mar as trice, bidh seallaidhean bunaiteach a 'gabhail a-steach id (ainm no àireamh) a tha air aon neach no barrachd. Tha trì seòrsachan eadar-dhealaichte ann:

seòrsa

tha luchd-tagraidh ag ràdh dè seòrsa rud a tha a 'ciallachadh an ainm no an àireamh id. Is e seòrsachan, lìon agus port a th 'ann an seòrsaichean a dh'fhaodadh a bhith ann. Me, `host foo ',` lìon 128.3', `port 20 '. Mura h-eil seòrsa clàraichte ann, thathar a 'gabhail ris an aoigh .

dir

bidh luchd-tagraidh a 'sònrachadh slighe gluasad sònraichte gu agus / no bho dh' id . Is e stiùireadh iomchaidh a tha ann src , dst , src or dst and src and dst . Eg, `src foo ',` dst net 128.3', `src no dst port ftp-data '. Mura h-eil gin deatamach ann, tha thu a 'smaoineachadh gu bheil src no dst . Airson sreathan ceangail `null '(me protocolaidhean puing a thogail mar slip) faodaidh na luchd - luachaidh a tha a ' dol a - mach is a- mach a bhith air an cleachdadh gus stiùireadh a dh 'iarraidh.

proto

bidh luchd-tagraidh a 'cuingealachadh a' gheama ri protocol sònraichte. Is e protaichean a dh'fhaodadh a bhith ann: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp agus udp . Eg, `ether src foo ',` arp net 128.3', `port pìos 21 '. Mura h-eil proto califier ann, thathar a 'gabhail ris a h-uile protocal a tha co-chòrdail ris an t-seòrsa. Mar eisimpleir, `src foo 'a tha a' ciallachadh` (ip no arp or rarp) src foo '(ach a-mhàin chan eil co-rèiteachadh laghail ann), tha' bar-lìon 'a' ciallachadh `barra lìon '(ip no tarpaid) no port port 53 port (tcp no udp) 53 '.

Tha [`fddi 'an-còmhnaidh na alias airson` ether'; tha am parser a 'dèiligeadh riutha gu co-ionann mar a tha a' ciallachadh `an ìre ceangail dàta a thathar a 'cleachdadh air a' cho-cheangal lìonraidh a tha air a shònrachadh. '' Tha cinn-uidhe FDDI a 'gabhail a-steach seòlaidhean stòr agus cinn-uidhe coltach ri Ethernet, agus gu tric bidh seòrsaichean pacaid leithid ethernet aca, gus an urrainn dhut sgudal a dhèanamh air na raointean FDDI sin dìreach coltach ris na raointean Ethernet co-ionnan. Bidh achaidhean FDDI cuideachd a 'gabhail a-steach raointean eile, ach chan urrainn dhut an ainmeachadh gu soilleir ann an abairt criomag.

San aon dòigh, tha `tr 'na alias airson` ether'; tha na h-aithrisean paragraf mu na cinn-cinn FDDI cuideachd a 'buntainn ri cinn-chinn Tòcaichean.

A bharrachd air na tha gu h-àrd, tha cuid de phrìomh fhaclan `prìomhachasach 'ann nach eil a' leantainn a 'phàtrain: geata , craoladh , nas lugha , freagairtean nas motha agus àireamhan. Tha iad sin uile air am mìneachadh gu h-ìosal.

Thathas a 'togail freagairtean crìche nas iom-fhillte le bhith a' cleachdadh nam faclan agus , no nach eil, a 'cur ri chèile prìomhachasan. Me, `host foo agus chan e port ftp agus chan e port ftp-data '. Gus teip a shàbhaladh, faodar liostaichean co-ionann a bhith air am fàgail às. Mar eisimpleir, tha "ftp-port portal ftp no ftp-data no àrainn" dìreach mar an ceudna ri "port ftp port no ftp-data port tcp dst no àrainn port-tc dst".

Is e prìomh-phrionnsabalan ceadaichte:

aoigheachd aoigheachd dst

Fìor ma tha an t-àite aoigheachd IPv4 / v6 a 'phacaid, a dh' fhaodadh gur e seòladh no ainm a th 'ann.

aoigheachd src host

Fìor ma tha an t-àite fuirich IPv4 / v6 sa phacaid na aoigheachd .

aoigheachd aoigheachd

Fìor ma tha an stòr IPv4 / v6 no ceann-uidhe a 'phacaid na aoigheachd . Faodar gin de na h-aithrisean aoigheachd gu h-àrd a bhith air an cumail suas le faclan-luirg, ip , arp , rarp , no ip6 mar a leanas:

aoigheachd ip aoigheachd

a tha co-ionann ri:

ether proto \ ip agus host host

Mas e ainm a th 'ann an aoigheachd le iomadh seòladh IP, thèid gach seòladh a dhearbhadh airson gèam.

ether dst ehost

Fìor ma tha an seòladh ceann-uidhe ehernet agad. Faodaidh Ehost a bhith na ainm bho / etc / ethers no àireamh (faic ethers (3N) airson cruth àireamhach).

ether src ehost

Fìor ma tha an t-seòladh stòr ehernet agad.

eachdraiche ehost

Fìor ma tha an stòr no ceann-uidhe ehernet agad a- nis .

aoigheachd geata

Fìor ma tha am pasgan air a chleachdadh mar gheata. Ie, b 'e an t- òstair prìomh stòr no ceann-uidhe ethernet ach cha robh an stòr IP no ceann-uidhe an IP aoigheachd . Feumaidh an t-òstair a bhith na ainm agus feumar a lorg an dà chuid le innealan rèiteachaidh aoigheachd-ainm-gu-IP-seòlaidh (faidhle ainm aoigheachd, DNS, NIS, etc.) agus le rèiteachadh seòladh aoigheachd-ainm-gu-Ethernet an inneil inneal (/ etc / ethers, etc.). (Tha abairt co-ionann ann

Tha e comasach do roghainnean atharrachadh aig àm sam bith

a ghabhas a chleachdadh le ainmean no àireamhan airson aoigheachd / ehost .) Chan eil an co-dhealbh seo ag obair ann an rèiteachadh le comas IPv6 aig an àm seo.

dst net net

Fìor ma tha àireamh lìonra de sheòladh ceann-uidhe IPv4 / v6 a 'phacaid. Dh'fhaodadh gur e lìon a th 'ann an lìon bho / etc / lìonraidhean no àireamh lìonraidh (faic lìonraidhean (4) airson fiosrachadh).

src net net

Fìor ma tha àireamh lìonra de sheòladh stòr IPv4 / v6 a 'phacaid.

lìn lìn

Fìor ma tha àireamh lìonra de lìonra IPv4 / v6 no seòladh ceann-uidhe a 'phacaid.

Net lìon masg lìn

Fìor ma tha an seòladh IP a 'maidseadh lìon leis an lìon sònraichte. Faodar a bhith teisteanas le src no dst . Thoir an aire nach eil an co-cheangal seo dligheach airson lìon IPv6.

lìon lìon / linne

Fìor ma tha an t-seòladh IPv4 / v6 a 'maidseadh lìon le pìosan lìn lìon leuda. Faodar a bhith teisteanas le src no dst .

port port dst

Fìor ma tha am pasgan ip / tcp, ip / udp, ip6 / tcp no ip6 / udp agus tha luach port a 'phort-cinn-uidhe aige. Is urrainn don phort àireamh no ainm a chleachdadh ann an / etc / seirbheisean (faic tcp (4P) agus udp (4P)). Ma thèid ainm a chleachdadh, thèid an dà chuid a 'phuirt agus am protocol a sgrùdadh. Ma thèid àireamh no ainm dà-dhìreach a chleachdadh, chan eil ach àireamh a 'phort air a sgrùdadh (me, bidh port dannsa 513 a ' clò-bhualadh an dà chuid trafaig tcp / login agus udp / a bhios a 'clò-bhualadh an dà chuid tcp / domain and udp / domain traffic).

port port- src

Fìor ma tha luach port aig a 'phacaid.

port port

Fìor gur e port a th 'ann an stòr no port ceann-uidhe a' phacaid. Faodar gin de na puirt gu h-àrd a chur an òrdugh le na faclan-luirg, tcp no udp , mar a leanas:

port port tcp src

a tha a 'maidseadh a-mhàin tcp pacaidean aig a bheil am port tùsail port .

nas fhaid

Fìor ma tha fad a 'phacaid nas lugha na no co-ionann ri fad . Tha seo co-ionann ri:

len <= fad .

fada nas fhaide

Fìor ma tha fad a 'phacaid nas fhaide na no co-ionann ri fad . Tha seo co-ionann ri:

len> = fad .

ip proto protocol

Fìor ma tha pasgan IP na phasgan (faic ip (4P)) de phròtacal seòrsa protocol . Faodaidh protocol a bhith na àireamh no aon de na h-ainmean icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , no tcp . Thoir fa-near gu bheil na h-aithnichearan tcp , udp , agus icmp cuideachd nam faclan-luirg agus feumar teicheadh ​​air falbh tro dhroch-dhuilleag (\), a tha \\ anns a 'chnap-C. Thoir an aire nach eil an tùs-tòiseachaidh seo a 'ruith às a' chabhsair cinn-cinn protocol.

ip6 proto protocol

Fìor ma tha am pasgan na phacaid IPv6 de protocol seòrsa protocol . Thoir an aire nach eil an tùs-tòiseachaidh seo a 'ruith às a' chabhsair cinn-cinn protocol.

IP6 protocain protocol

Fìor ma tha am pacaid na phacaid IPv6, agus tha ceann-cinn protocol ann le protocol seòrsa ann an sreath a 'phròtacail ceann-cinnidh. Mar eisimpleir,

Taic mu Ruigsinneachd

maidseas pacaid IPv6 sam bith le ceannard protocol TCP ann an sreath a 'phròtacail ceann-cinnidh. Dh'fhaodadh gu bheil am pacaid, mar eisimpleir, ceann-sgrìobhaidh dearbhaidh, ceann-làimhseachaidh, no ceann-uidhe hop-by-hop, eadar ceannard IPv6 agus ceann-cinn TCP. Tha an còd BPF a chaidh a chur a-mach leis a 'phrionnsapal seo iom-fhillte agus chan urrainn dhuinn a dhèanamh nas fheàrr le còd optimizer BPF ann an tcpdump , mar sin faodaidh seo a bhith beagan slaodach.

ip protochain protocol

Co-ionann ri prot6 protocain ip6 , ach tha seo airson IPv4.

sgaoileadh

Fìor ma tha pacaid craolaidh ethernet sa phacaid. Tha am prìomh-fhacal ether roghainneil.

sgaoileadh

Fìor ma tha am pasgan pacaid craolaidh IP. Bidh e a 'dèanamh sgrùdadh air na gnàthasan craolaidh uile-neònach agus a h-uile càil, agus a' coimhead suas ris a 'bhreac subnet ionadail.

eadhon mòr

Fìor ma tha am pasgan na phacaid ioma-etetet ethernet. Tha am prìomh-fhacal ether roghainneil. Seo geàrr-chunntas airson ` ether [0] & 1! = 0 '.

ip multicast

Fìor ma tha pacaid multicast IP air a 'phacaid.

ip6 iomadachd

Fìor ma tha am pasgan na phacaid multvast IPv6.

ether proto protocol

Fìor ma tha am pasgan de phròtacal seòrsa ether. Faodaidh protocol a bhith na àireamh no aon de na h-ainmean ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , no netbeui . Thoir fa-near gu bheil na h-aithrisean sin cuideachd nam faclan-luirg agus feumar teicheadh ​​air falbh tro dhroch dhuilleag (\).

[Ann an cùis FDDI (me, ' fddi protocol arp ') agus fòn -tòcain (me, ' tr protocol arp '), airson a 'mhòr-chuid de na protocail sin, tha an comharrachadh protocol a' tighinn bhon cheann-là 802.2 Loidsic Link Control (LLC), a mar as trice air a chumail suas air mullach an FDDI no an ceann-fòn Tòcain.

Nuair a sgrìobhas tu airson a 'chuid as motha de eòlaiche protacail air FDDI no Fònaichean Tòcain, chan eil tcpdump a' dèanamh sgrùdadh ach an raon protocol ID de cheannard LLC anns an riochd SNAP ris an canar Aonad Eagrachaidh Aonad (OUI) de 0x000000, airson Ethernet encapsulated; chan eil e a 'dearbhadh a bheil am pasgan ann an cruth SNAP le OUI de 0x000000.

Ach a-mhàin tha iso , far a bheil e a 'dèanamh sgrùdadh air raointean DSAP (Point Access Access) agus SSAP (Point Access Access Point) ceannard LLC, stp and netbeui , far a bheil e a' dèanamh sgrùdadh air DSAP de cheannard LLC, agus far a bheil e seicichean airson pasgan SNAP-format le OUI de 0x080007 agus an Appletalk etype.

Ann an cùis Ethernet, tha tcpdump a ' dèanamh sgrùdadh air an raon seòrsa Ethernet airson a' mhòr-chuid de na protocalan sin; ach a-mhàin tha iso , sap , agus netbeui , far a bheil e a 'dèanamh sgrùdadh airson frèam 802.3 agus an uairsin a' sgrùdadh ceann-làidh an LLC mar a tha e airson FDDI agus Fàinne Comharra, far a bheil e a 'dèanamh sùil air an dà chuid airson an Appletalk etype ann am frèam Ethernet agus airson Pacaid cruth SNAP mar a bhios e airson FDDI agus Fònaichean Tòcain , aarp , far a bheil e a 'dèanamh sgrùdadh air an ARP etype Appletalk ann an frèam Ethernet no frèam SNAP 802.2 le OUI de 0x000000, agus ipx , far a bheil e a' dèanamh sgrùdadh air an IPX etype frèam Ethernet, an IPX DSAP ann an ceannard LLC, an 802.3 gun cheann-cinnidh LLC a 'còmhdach IPX, agus an IPX etype ann am frèam SNAP.]

decnet host aoigheachd

Fìor ma tha seòladh stòr DECNET na aoigheachd , is dòcha gur e seòladh a th 'ann den fhoirm `` 10.123' ', no ainm aoigheachd DECNET. [Tha taic ainm host DECNET ri fhaighinn ach air siostaman Ultrix a tha air an cumadh gus DECNET a ruith.]

deasaich an tùs

Fìor ma tha seòladh ceann-uidhe DECNET na aoigheachd .

deasaich an aoigh aoigheachd

Fìor ma tha an stòr DECNET no seòladh ceann-uidhe na aoigheachd .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Giorrachaidhean airson:

ether proto p

far a bheil p mar aon de na protocail gu h-àrd.

lat , moprc , mopdl

Giorrachaidhean airson:

ether proto p

far a bheil p mar aon de na protocail gu h-àrd. Thoir fa-near nach eil tcpdump an- dràsta eòlach air mar a chuireas tu na protocolalan sin air adhart.

vlan [vlan_id]

Fìor ma tha am pasgan na phacaid IEEE 802.1Q VLAN. Ma tha [vlan_id] air a shònrachadh, chan eil ach fìor ann a tha am vlan_id ainmichte air a ' phacaid . Thoir fa-near gu bheil a 'chiad prìomh-fhacal vlan a nochdas ann am facal-faire ag atharrachadh nan cnapan-starra decodachaidh airson a' chòrr de mhìneachadh air a 'bheachd gu bheil am pasgan na phacaid VLAN.

tcp , udp , icmp

Giorrachaidhean airson:

ip proto p no ip6 proto p

far a bheil p mar aon de na protocail gu h-àrd.

iso proto protocol

Fìor ma tha am pasgan na phacaid OSI de phròtacal seòrsa protocol . Faodaidh protocol a bhith na àireamh no aon de na h-ainmean clnp , esis , no isis .

clnp , esis , isis

Giorrachaidhean airson:

iso proto p

far a bheil p mar aon de na protocail gu h-àrd. Thoir fa-near gu bheil tcpdump a ' dèanamh obair neo-choileanta airson a bhith a' parsadh nam protocalan sin.

sgaoileadh

Fìor ma tha an dàimh a 'cumail, far a bheil lùth-chleasachd aon de>, <,> =, <=, = ,! =, Agus tha expr ann an abairt cunntachd a tha air a dhèanamh de chnàmhlan sreathan (air an cur an cèill ann an co-chòrdadh àbhaisteach C), na gnìomhaichean dà-chànanach àbhaisteach [+ , -, *, /, &, |], gnìomhaiche fad, agus luchd-inntrigidh fiosrachadh pacaid sònraichte. Gus faighinn a-steach do dhàta a-staigh a 'phacaid, cleachd an co-chòrdadh a leanas:

proto [ expr : size ]

Tha Proto air aon de ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp no ip6 , agus tha e a 'comharrachadh an t-sreath protocol airson a' chlàr-amais. ( ether, fddi, tr, ppp, slip agus ceangal a h-uile càil a 'toirt iomradh air an t-sreath ceangail.) Thoir an aire nach eil ach seòrsachan protocol tcp, udp agus sreathan àrd-ìre eile a' buntainn ri IPv4, not IPv6 (thèid seo a shuidheachadh san àm ri teachd). Tha an t-eadar-theangachadh beithe, co-cheangailte ris an t-sreath protocol a chaidh a chomharrachadh, air a thoirt seachad le expr . Tha meud meidigeach agus tha e a 'comharrachadh àireamh nam bytes anns an raon ùidhe; faodaidh gur e aon, dhà no ceithir a tha ann, agus bidh e a 'fàgail aon. Tha an gnìomhaiche fad, a tha air a chomharrachadh leis an lìon fhacal-fhacal, a 'toirt fad a' phacaid.

Mar eisimpleir, tha ` ether [0] & 1! = 0 'a' glacadh a h-uile trafaig measgaichte. Tha an abairt ` ip [0] & 0xf! = 5 'a' glacadh a h-uile pasgan IP le roghainnean. Chan eil am facal ` ip [6: 2] & 0x1fff = 0 'a' glacadh ach dàta-dàta neo-mharaichte agus criomagan de dhàtaichean mì-sgapte. Tha an sgrùdadh seo air a chur an cèill gu gnìomhach airson na h-obraichean tcp agus udp index. Mar eisimpleir, tha tcp [0] daonnan a 'ciallachadh a' chiad bhrath dhen cheann TCP, agus chan eil e a 'ciallachadh a' chiad bhreac de chriomag eadar-dhealaichte.

Is dòcha gum bi cuid de dh'ionadan agus luachan achaidhean air an cur an cèill mar ainmean seach a bhith mar luachan àireamhach. Tha na h- obraichean a leanas air raon ceannardan protocol rim faighinn: icmptype (raon seòrsa ICMP), icmpcode (raon còd ICMP), agus tcpflags (raon brataichean TCP).

Tha na luachan raointean a leanas aig ICMP rim faighinn: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Tha na luachan achaidhean TCP a leanas rim faighinn: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ak , tcp-urg .

Faodar ceumannan bunaiteach a chur còmhla a 'cleachdadh:

Buidheann de phrìomhachasan is de ghnìomhaichean le pàrant (tha pàtranan sònraichte don Shell agus feumar a bhith air teicheadh).

Gearan (` ! 'No` chan ').

Concatenation (` && ' no` agus ').

Alternation (` || 'no` no ').

Tha prìomhachas as àirde aig gearan. Tha eadar-dhealachadh agus co-chòrdadh co-ionann agus co-cheangal clì gu deas. Thoir fa-near gu bheil feum air comharran soilleir agus comharran, gun a bhith a 'cur an òrdugh, a-nis airson crìochan.

Ma thèid aithnichear a thoirt seachad gun phrìomh fhacal, thathar a 'gabhail ris a' phrìomh fhacal-fhacal. Mar eisimpleir,

chan e aoigheachd vs agus ace

tha e goirid

chan eil a 'toirt aoigheachd dha agus aoighean aoigheachd

nach bu chòir a bhith air a chuairteachadh leis

chan e (aoigheachd vs no ace)

Faodar argamaidean dearbhaidh a chur gu tcpdump mar argamaid singilte no mar argamaidean iomadach, ge b 'e dè a tha nas freagarraiche. Mar as trice, ma tha am facal-luirg a 'gabhail a-steach shell metacharacters, tha e nas fhasa a thoirt seachad mar argamaid singilte, a chaidh ainmeachadh. Tha ioma argamaidean air an co-fhreagairt le àiteachan mus tèid am parsadh.

EISIMPLEIREAN

Airson a h-uile pacaid a tha a 'ruigsinn no a' fàgail bho làrach- dùin :

s an Iar-

Gus trafaig a chlò-bhualadh eadar heliosan agus an dàrna cuid teas no uisge :

Tha freiceadan aoigheachd tcpdump agus \ (teth no ace \)

Airson a h-uile pasgan IP a chlò-bhualadh eadar ace agus aoigheachd sam bith ach a-mhàin helios :

tcpdump ip host ace agus chan e helios

Gus a bhith a 'clò-bhualadh a h-uile trafaig eadar luchd-àite ionadail agus luchd-aoigheachd aig Berkeley

tcpdump net ucb-ether

Gus a h-uile trafaig ftp a chlò-bhualadh tro gheata geata eadar-lìn: (comharraich gu bheil an abairt air ainmeachadh airson casg a chur air an slige bho (mis-) ag eadar-mhìneachadh nam pàrant):

tcpdump 'agus (port ftp no ftp-data)'

Gus trafaig a chlò-bhualadh nach fhaigh thu bho luchd-cleachdaidh ionadail (ma tha thu a 'dol gu lìon eile, cha bu chòir an stuth seo a dhèanamh air a' lìon ionadail agad).

tcpdump ip agus chan e netnet net

Gus na pacaidean tòiseachaidh is deireadh (na pacaidean SYN agus FIN) de gach còmhradh TCP a tha a 'gabhail a-steach aoigheachd neo-ionadail.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 agus chan eil src agus localnet net '

Gus pacaidean IP a chlò-bhualadh nas fhaide na 576 bytes a chaidh a chur tro gheata- lìn :

tcpdump 'agus ip [2: 2]> 576'

Gus craoladh IP no pacaidean ioma-bhualaidh a chlò-bhualadh nach deach a chur tro chraoladh ethernet no ioma-fhillte:

tcpdump 'ether [0] & 1 = 0 agus ip [16]> = 224'

Airson a h-uile pasgan ICMP a chlò-bhualadh nach eil a 'freagairt iarrtasan / freagairt (ie, chan e pacaidean ping):

tcpdump 'icmp [icmptype]! = icmp-echo agus icmp [icmptype]! = icmp-echoreply'

AN T-EILEANACH

Is e toradh tcpdump a tha an urra ri protocol. Tha na leanas a 'toirt tuairisgeul goirid agus eisimpleirean den chuid as motha de na cruthan.

Ceangalaichean Ìre Link

Ma tha an roghainn '-e' air a thoirt seachad, thèid an ceannard ìre ceangail a chlò-bhualadh. Air ethernets, thathar a 'clò-bhualadh stòr agus ceann-uidhe, protocol agus fad a' phacaid.

Air lìonraidhean FDDI, tha an roghainn '-e' ag adhbhrachadh tcpdump gus an raon 'smachd frèam' a chlò-bhualadh, na seòlaidhean stòr is ceann-uidhe, agus fad a 'phacaid. (Tha an raon smachd 'frèam' a 'riaghladh mìneachadh air a' chòrr den phacaid. Tha pasgan àbhaisteach (leithid an fheadhainn le datagram IP) nan pasgan `async ', le luach prìomhachais eadar 0 agus 7; mar eisimpleir,` async4 '. Thathas a 'gabhail ris gu bheil pacaid 802.2 Ceangal Loidsigeach Loidsigeach (LLC) anns na pacaidean; tha ceannard an LLC air a chlò-bhualadh mura e datagram ISO no paca SNAP ris an canar sin.

Air lìonraidhean Token Ring, tha an roghainn '-e' ag adhbhrachadh tcpdump airson na pàirtean 'smachd ruigsinneachd' agus raointean 'smachd frèama' a chlò-bhualadh, a 'dèiligeadh ris an stòr agus an ceann-uidhe, agus fad a' phacaid. Mar a tha air lìonraidhean FDDI, thathas a 'gabhail ris gu bheil pacaid LLC ann. A dh'aindeoin co-dhiù a tha an roghainn '-e' air a shònrachadh no nach eil, tha am fiosrachadh gnàthachaidh air a chlò-bhualadh airson pacaidean air an stiùireadh le stòr.

(NB: Tha an tuairisgeul a leanas a 'toirt eòlas air an algorithm co-chuairteachaidh SLIP a chaidh a mhìneachadh ann an RFC-1144.)

Air ceanglaichean SLIP, tha comharran stiùiridh (`` I '' airson a dhol a-steach, `` O '' airson a dhol a-mach), seòrsa pacaid, agus fiosrachadh co-chruinneachaidh air an clò-bhualadh. Tha an seòrsa pacaid air a chlò-bhualadh an toiseach. Is e na trì seòrsaichean ip , utcp , agus ctcp . Chan eil tuilleadh fiosrachaidh ceangail air a chlò-bhualadh airson pacaidean IP . Airson pacaidean TCP, tha an t-aithnichear ceangail air a chlò-bhualadh a 'leantainn an t-seòrsa. Ma tha am pasgan co-èiginneach, tha a cheann-cinn a chaidh a chòdachadh air a chlò-bhualadh. Tha na cùisean sònraichte air an clò-bhualadh mar * S + n agus * SA + n , far a bheil n na th 'air a bheil àireamh an òrduigh (no sreath sreath agus ack) air atharrachadh. Mura h-eil cùis shònraichte ann, tha neoni no barrachd atharrachaidhean air an clò-bhualadh. Tha atharrachadh air a chomharrachadh le U (neach-cuideachaidh èiginn), W (uinneag), A (ac), S (àireamh sreath), agus I (ID pacaid), agus delta (+ n no -n), no luach ùr (= n). Mu dheireadh, tha an t-suim dàta anns a 'phacaid agus fad ceann-làimhe dùinte air an clò-bhualadh.

Mar eisimpleir, tha an loidhne a leanas a 'sealltainn paca TCP co-èiginneach a-mach, le aithnichear ceangail a tha a' tighinn gu buil; tha an ack air atharrachadh le 6, an àireamh àireamh le 49, agus an ID a 'phacaid le 6; tha 3 bytes de dhàta agus 6 bytes de cheannard co-chruinnichte:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pacan ARP / RARP

Tha toradh an t-saoghail a 'sealltainn an seòrsa iarrtais agus na h-argamaidean aige. Thathas an dùil gum bi an cruth fèin-mhìneachaidh. Seo sampall ghoirid a chaidh a thoirt bho thoiseach 'rlogin' bho luchd-aoigheachd gus aoigheachd a thoirt do csam :

arp who-has csam ag ràdh rtsg arp reply csam is-at CSAM

Tha a 'chiad loidhne ag ràdh gun do chuir rtsg pacaid airp ag iarraidh seòladh ethernet csam an t-eadar-lìon. Bidh Csam a 'freagairt leis a' seòladh ethernet (anns an eisimpleir seo, tha seòlaidhean ethernet ann an caiptean agus seòlaidhean eadar-lìn ann an cùis nas ìsle).

Cha bhiodh seo a 'coimhead gu math feumach ma rinn sinn tcpdump -n :

arp who-has 128.3.254.6 innis 128.3.254.68 arp reply 128.3.254.6 is-at 02: 07: 01: 00: 01: c4

Nan robh sinn air tcpdump -e a dhèanamh, gu bheil a 'chiad phacaid air a chraoladh agus an dàrna fear gu bheil puing-gu-phuing ri fhaicinn:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64: arp reply csam is-at CSAM

Airson a 'chiad phacaid tha seo ag ràdh gur e RTSG an seòladh fòn ethernet, is e an ceann-uidhe an seòladh craolaidh ethernet, agus an raon seòrsa a bha ann hex 0806 (seòrsa ETHER_ARP) agus an fhad iomlan 64 buille.

Pacaidean TCP

(NB: Tha an tuairisgeul a leanas a 'gabhail ris a' phròtacal TCP a chaidh a mhìneachadh ann an RFC-793. Mura h-eil thu eòlach air a 'phròtacal, cha bhi an tuairisgeul seo no tcpdump gu mòr feum dhut.)

Is e cruth coitcheann loidhne protocol tcp:

src> dst: brataichean fiosrachadh-seqno ack roghainnean èiginneach

Src agus dst na seòlaidhean IP agus na puirt-stòr is ceann-uidhe. Tha brataichean a 'measgachadh de S (SYN), F (FIN), P (PUSH) no R (RST) no aon `.' (gun brataichean). Tha Data-seqno a ' toirt tuairisgeul air a' chuibhreann de shreath àite a tha air a chòmhdach leis an dàta sa phasgan seo (faic eisimpleir gu h-ìosal). Tha Ack a 'ruith sreath de na h-ath dàta a tha a' sùileachadh an taobh eile air a 'cheangal seo. Is e uinneag an àireamh de bhileagan a tha a 'faighinn rùm bufair ri fhaighinn an taobh eile air a' cheangal seo. Tha urg a ' sealltainn gu bheil dàta `urg' anns a 'phacaid. Is e roghainnean a tha ann an roghainnean tcp ceangailte ann an camagan ceàrnach (me, ).

Src, dst agus brataichean an -còmhnaidh an làthair. Tha na h-achaidhean eile an crochadh air susbaint ceann-uidhe protocol tcp a 'phacaid agus chan eil iad gan toirt a-mach ach ma bhios sin iomchaidh.

Seo a 'chuibhreann fosglaidh de dh' inntinn bho luchd-aoigheachd gus aoigheachd a thoirt do csam .

rtsg.1023> csam.login: S 768512: 768512 (0) bhuannaich 4096 csam.login> rtsg.1023: S 947648: 947648 (0) agus 768513 bhuannaich 4096 rtsg.1023> csam. Log a-steach: . Tha 1 a 'buannachadh 4096 rtsg.1023> csam.login: P 1: 2 (1) 1 a' buannachadh 4096 csam.login> rtsg.1023:. Tha 2 a 'buannachadh 4096 rtsg.1023> csam.login: P 2:21 (19) 1 a' buannachadh 4096 csam.login> rtsg.1023: P 1: 2 (1) agus 21 a 'buannachadh 4077 csam.login> rtsg.1023: P 2: 3 (1) agus 21 a 'buannachadh 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) agus 21 a' buannachadh 4077 prìs 1

Tha a 'chiad loidhne ag ràdh gun do chuir port tcp 1023 air rtsg pacaid gus csam login air csam. Tha an S a ' sealltainn gun deach bratach SYN a shuidheachadh. B 'e an àireamh sreath pacaid 768512 agus cha robh dàta ann. (Is e an notation `first: last (nbytes) 'a tha a' ciallachadh 'àireamhan àireamhan an toiseach suas ach gun a bhith a' gabhail a-steach an fheadhainn mu dheireadh aig a bheil nbytes bytes de dhàta an luchd-cleachdaidh '.) Cha robh gin sam bith ann, cha robh an uinneag fhaighinn 4096 bytes agus bha roghainn meud mòr-roinn ag iarraidh mss 1024 bytes.

Bidh Csam a 'freagairt le paca coltach ris ach a tha a' toirt a-steach buidheann le taic-taic airson SYN rtsg. Bidh Rtsg an uairsin a 'giùlan csam's SYN. Tha an `. ' ciallachadh nach deach brataichean a shuidheachadh. Cha robh dàta sam bith anns a 'phacaid agus mar sin chan eil àireamh sreath dàta ann. Thoir fa-near gur e àireamh iomlan (1) a th 'anns an àireamh sreath. A 'chiad turas a chì tcpdump ' còmhradh 'tcp, bidh e a' clò-bhualadh sreath àireamh bhon phasgan. Air pacaidean an dèidh a 'chòmhraidh, bidh an diofar eadar sreath sreath an phacaid agus an àireamh sreath tòiseachaidh seo air a chlò-bhualadh. Tha seo a 'ciallachadh gum faodar àireamhan sreath a leantainn às dèidh a' chiad uair a bhith air an eadar-mhìneachadh mar dhreuchdan byte càirdeach ann an sruthan dàta a 'chòmhraidh (leis a' chiad bhile dàta aig gach taobh `1 '). Cuiridh `-S 'thairis air a' ghnè seo, ag adhbhrachadh toradh nan àireamhan àireamhan tùsail.

Air an 6mh loidhne, bidh rtsg a 'cur 19 bytes dàta csam (bytes 2 gu 20 anns an rtsg -> csam taobh a' chòmhraidh). Tha bratach PUSH air a shuidheachadh sa phacaid. Air an 7mh loidhne, tha csam ag ràdh gu bheil e a 'faighinn fiosrachadh a chaidh a chuir a-steach gu ruige ach nach eil a' gabhail a-steach byte 21. Tha a 'chuid as motha den dàta seo gu math coltach gu bheil e na shuidhe anns a' bhufair sòcaid oir tha uinneag fhaighinn le csam a 'faighinn 19 byte nas lugha. Bidh Csam cuideachd a 'cur aon bhile dàta gu ruige seo sa phacaid seo. Air an 8mh agus an 9mh loidhnichean, tha csam a 'cur dà bhileig de dh' fhiosrachadh èiginneach, air an cur gu ruige rtsg.

Ma bha an dealbh beag gu leòr nach do ghabh tcpdump an ceann TCP làn, bidh e a 'mìneachadh a' chuid as motha den chinn mar as urrainn dha agus an uairsin aithris `` [| tcp ] '' gus sealltainn nach gabhadh an còrr a mhìneachadh. Ma tha roghainn bog aig a 'cheann-cinnidh (fear le faid a tha ro bheag no nas fhaide na deireadh a' cheannaird ), tha tcpdump ag aithris mar `` [ bad opt ] '' agus chan eil e a 'mìneachadh roghainnean eile (seach gu bheil e do-dhèanta innse far a bheil iad a 'tòiseachadh). Ma tha an long cinnidh a 'sealltainn gu bheil roghainnean an làthair ach chan eil an ùine datagram IP fada gu leòr airson na roghainnean a bhith ann, tha tcpdump ag aithris mar `` [ fad dhroch hdr ]' '.

A 'glacadh pacaidean TCP le measgachadh bratach sònraichte (SYN-ACK, URG-ACK, msaa.)

Tha 8 bit anns an earrann smachd de cheann-cinn TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Feuch gun toir sinn dhuinn gu bheil sinn airson pacaidean fhaicinn air an cleachdadh gus ceangal TCP a stèidheachadh. Cuimhnich gu bheil TCP a 'cleachdadh pròtacal làmh-làimhe 3-slighe nuair a thòisicheas e air ceangal ùr; is e an sreath ceangail a thaobh na roinnean smachd TCP

1) Bidh neach-gairm a 'cur SYN

2) Tha an neach-faidhidh a 'freagairt le SYN, ACK

3) Bidh neach-gairm a 'cur ACK

A-nis tha ùidh againn ann a bhith a 'glacadh phacaidean aig nach eil ach am bit SYN (Ceum 1). Thoir fa-near nach eil sinn ag iarraidh pacaidean bho cheum 2 (SYN-ACK), dìreach SYN tùsail sìmplidh. Tha na tha sinn a dhìth oirnn a 'mìneachadh criomag ceart airson tcpdump .

Dèan cuimhne air structar ceann TCP gun roghainnean:

0 15 31 ----------------------------------------------- ------------------ | port stòr | port ceann-uidhe | -------------------------------------------------- --------------- | àireamh sreath | -------------------------------------------------- --------------- | àireamh aitheantais -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | meud na h-uinneige | -------------------------------------------------- --------------- | Sgrùdadh TCP | puingean èiginneach -------------------------------------------------- ---------------

Mar as trice, bidh ceannard TCP a 'cumail 20 octet de dhàta, mura h-eil roghainnean ann. Anns a 'chiad loidhne den ghraf tha octet 0 - 3, agus tha an dara loidhne a' sealltainn octet 4 - 7 msaa.

A 'tòiseachadh a' cunntadh le 0, tha na roinnean smachd TCP iomchaidh ann an octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | meud na h-uinneige | ---------------- | --------------- | ---------------- | - --------------- | | 13mh ochdet | | |

Thoir sùil nas mionaidiche air àireamh octet. 13:

| | | --------------- | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Is iad sin na roinnean smachd TCP a tha ùidh againn. Tha sinn air na buillean san ochdet seo a dhìon o 0 gu 7, air an làimh chlì, agus mar sin tha beagan PSH beagan àireamh 3, agus an àireamh URG air àireamh 5.

Cuimhnich gu bheil sinn airson pacaidean a ghlacadh le seata SYN a-mhàin. Feuch sinn a-mach dè a thachras do octet 13 ma thig datagram TCP leis a 'bhrath SYN anns a' cheann aige:

C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

A 'coimhead ris an earrainn smachd, chì sinn nach eil ach àireamh 1 (SYN) air a shuidheachadh.

A 'gabhail ris gu bheil octet àireamh 13 an t-sruth-shluaigh neo-mhìneachaidh ann an 8-bit ann an òrdugh beart lìonra, is e luach dà-chànanach an octet seo

00000010

agus tha a riochdachadh deicheach

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Cha mhòr nach eil sinn air a dhèanamh, oir tha fios againn a-nis ma tha SYN air a shuidheachadh, feumaidh luach an 13mh octet anns a 'cheann-cinn TCP, nuair a tha e air a mhìneachadh mar an t-sàmh-àireamh de 8-bit nach eil air a shònrachadh ann an òrdugh bòrd lìonra, a bhith dìreach 2.

Faodar an dàimh seo a nochdadh mar

tcp [13] == 2

Faodaidh sinn am facal seo a chleachdadh mar an criathar airson tcpdump gus pacaidean fhaicinn nach eil ach SYN air an suidheachadh:

tcpdump -i xl0 tcp [13] == 2

Tha an abairt ag ràdh "tha an tomhas deicheil 2" aig an 13mh ochdet de thomhas-tomhais TCP, a tha dìreach na tha sinn ag iarraidh.

A-nis, bitheamaid a 'smaoineachadh gum feum sinn pacaidean SYN a ghlacadh, ach chan eil sinn a' gabhail cùram ma tha ACK no aon smachd TCP sam bith eile air a shuidheachadh aig an aon àm. Feuch sinn a-mach dè a thachras do octet 13 nuair a thig datagram TCP le sòn SYN-ACK:

C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

A-nis tha earrannan 1 agus 4 suidhichte anns an 13mh octet. Is e luach dineach octet 13

00010010

a tha ag eadar-theangachadh gu deicheach

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

A-nis chan urrainn dhuinn dìreach 'tcp [13] == 18' a chleachdadh anns an abairt criomag tcpdump , oir cha bhiodh sin a 'taghadh ach na pacaidean a tha SYN-ACK air an stèidheachadh, ach chan e sin le dìreach set SYN. Cuimhnich nach eil sinn a 'gabhail cùram ma tha ACK no beagan smachd sam bith eile air a shuidheachadh cho fad' sa tha SYN air a shuidheachadh.

Gus ar n-amas a choileanadh, feumaidh sinn loidsigeach AGUS an luach dinneil aig octet 13 le luach eile gus am bit SYN a ghleidheadh. Tha fios againn gu bheil sinn ag iarraidh gum bi SYN air a shuidheachadh ann an cùis sam bith, agus mar sin bidh sinn gu lòsail AGUS an luach san 13 octet le luach dà-chànanach SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (tha sinn ag iarraidh SYN) AGUS 00000010 (tha sinn ag iarraidh SYN) -------- -------- = 00000010 = 00000010

Tha sinn a 'faicinn gu bheil an obair seo AGUS a' lìbhrigeadh an aon toradh a dh'aindeoin dè an suidheachadh ACK no smachd TCP eile a tha ann. Is e an riochdachadh deicheach den luach AND a bharrachd air toradh an obrachaidh seo 2 (dàna 00000010), mar sin tha fios againn gum feum na pacaidean le SYN a bhith a 'suidheachadh na leanas a bhith fìor:

((luach octet 13) AGUS (2)) == (2)

Tha seo a 'toirt oirnn a bhith a' toirt dhuinn an abairt ciorraim tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Thoir fa-near gum bu chòir dhut briathran singilte no cùl-dhuilleag a chleachdadh anns an abairt gus an caractar sònraichte AND ('&') a shealg bhon sligean.

Pacaidean UDP

Tha cruth UDP air a shealltainn leis a 'phacaid rwho seo:

actinide.who> broadcast.who: udp 84

Tha seo ag ràdh gun do chuir am port sin a chuir air host-ban-rìgh fiosagram udp dhan phort a chaidh a chraoladh air aoigheachd, an seòladh craolaidh eadar-lìn. Bha 84 bit de dhàta luchd-cleachdaidh anns a 'phacaid.

Tha cuid de sheirbheisean UDP air an aithneachadh (bhon stòr no àireamh a 'phort-cinn-uidhe) agus am fiosrachadh protocol nas àirde air a chlò-bhualadh. Gu sònraichte, iarrtasan seirbheis Ainm Fearainn (RFC-1034/1035) agus gairmean Sun RPC (RFC-1050) gu NFS.

Iarrtasan Freastalaiche Ainm UDP

(NB: Tha an tuairisgeul a leanas a 'toirt eòlas air protocol Seirbheis na Tìre a chaidh a mhìneachadh ann an RFC-1035. Mura h-eil thu eòlach air a' phròtacal, bidh an tuairisgeul seo air a sgrìobhadh ann an greek.)

Tha iarrtasan frithealaiche ainm air an cruth mar

src> dst: id op? brataichean qtype qclass ainm (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Dh'iarr an t-òstair h2opolo air frithealaiche an fhearainn air helios airson clàr seòladh (qtype = A) co-cheangailte ris an ainm ucbvax.berkeley.edu. Bha an ceist id `3 '. Tha `+ 'a' sealltainn gu bheil am bratach ath - bheothachaidh air a shuidheachadh. B 'e fad a' cheist 37 bytes, gun a bhith a 'gabhail a-steach ceannardan protocol UDP agus IP. B 'e an rannsachadh ceist an aon rud àbhaisteach, Ceist , agus mar sin chaidh an raon op fhàgail. Nam biodh an op air a bhith càil eile, bhiodh e air a chlò-bhualadh eadar `3 'agus` +'. San aon dòigh, b 'e an qclass am fear àbhaisteach, C_IN , agus chaidh fhàgail dheth. Bhiodh qclass sam bith eile air a chlò-bhualadh sa bhad an dèidh `A '.

Tha beagan neo-riaghailtean air an sgrùdadh agus faodaidh gum bi raointean eile air an cuairteachadh eadar camagan ceàrnach: Ma tha freagairt, clàran ùghdarras no clàran a bharrachd ann an ceist , tha ancount , nscount , no suimean air an clò-bhualadh mar `[ n a] ',` [ n n ] 'no `[ n au]' far a bheil n a 'cunntadh iomchaidh. Ma tha gin de na h-earrannan freagairt air an suidheachadh (AA, RA no rcode) no gin de na bit `feumar neoni 'a shuidheachadh ann am bytes dà agus trì, tha [[b2 & 3 = x ]' air a chlò-bhualadh, far a bheil x na luach hex header bytes dà agus trì.

Freagairtean Freastalaiche Ainm UDP

Tha freagairtean an fhrithealaiche ainm air an cruth mar

src> dst: id op rcode flags a / n / au dàta clas clas ( hel ) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Anns a 'chiad eisimpleir, tha helios a' freagairt ceist id 3 bho h2opolo le 3 clàran-freagairt, 3 clàran seirbheis ainm agus 7 clàran a bharrachd. Is e a 'chiad chlàr freagairt a th' ann an seòrsa A (seòladh) agus tha an dàta aige air seòladh eadar-lìn 128.32.137.3. B 'e meud iomlan na freagairt 273 bytes, a' gabhail a-steach cinn-uidhe UDP agus IP. Chaidh an op (Ceist) agus còd freagairt (NoError) a dh'fhàg a-mach, mar a bha an clas (C_IN) den chlàr A.

Anns an dàrna eisimpleir, tha helios a ' freagairt ceist 2 le còd freagairt de roinn nach eil ann (NXDomain) gun fhreagairtean, aon ainm-frithealaiche agus clàran ùghdarras sam bith. Tha an `* 'a' sealltainn gun deach am beagan freagairt ùghdarrasail a shuidheachadh. Bho nach robh freagairtean ann, cha robh seòrsa, clas no dàta air an clò-bhualadh.

Is e na caractaran bratach eile a dh'fhaodadh nochdadh: - - (ath-chuairteachadh ri fhaighinn, RA, gun a bhith stèidhichte) agus `| ' (teachdaireachd briste, TC, seata). Mura h-eil dìreach aon inntrigeadh anns an earrann `ceist ', tha` [ n q]' air a chlò-bhualadh.

Thoir fa-near gu bheil iarrtasan agus freagairtean nam freiceadan ainmean buailteach a bhith mòr agus 's dòcha nach gabh na h- àireamhan de 68 byte gu leòr den phacaid a chlò-bhualadh. Cleachd briathrachas -s airson àrdachadh a dhèanamh air an lòchran ma dh'fheumas tu sgrùdadh trafaic a dhèanamh air trafaig an t-ainm. Tha ` -s 128 'air obrachadh gu math dhòmhsa.

SMB / CIFS a 'diùltadh

Tha tcpdump a- nis a 'gabhail a-steach dùnadh SMB / CIFS / NBT gu ìre mhòr airson dàta air UDP / 137, UDP / 138 agus TCP / 139. Thathas cuideachd a 'dèanamh cuid de dhì-chòdachadh tòiseach de data IPX agus NetBEUI SMB.

Mar as trice bidh deiseal beag air bheag deiseil, le faochadh mòran nas mionaidiche air a dhèanamh ma thèid -v a chleachdadh. Thoir rabhadh dhut, ma dh'fhaodte gum bi pacaid SMB singilte air duilleag no barrachd, mar sin cleachd ach -v ma tha thu ag iarraidh a h-uile mion-fhiosrachadh.

Ma tha thu a 'diùltadh seiseanan SMB anns a bheil tiotalan unicode, is dòcha gum bi thu airson an caochladh àrainneachd àrainneachdail USE_UNICODE a shuidheachadh gu 1. Chuireadh fàilte air pàtran airson sriantan neo-aonaichte a lorg.

Airson fiosrachadh air cruth pacaidean SMB agus dè na raointean a tha a 'cleachdadh te a' ciallachadh www.cifs.org no an taigh-seinnse / samba / specs / directory air làrach mirror samba.org as fheàrr leat. Chaidh na clachan SMB a sgrìobhadh le Anndra Tridgell (tridge@samba.org).

Iarrtasan NFS agus Freagairtean

Tha iarrtasan agus freagairtean Sun NFS (Siostam Faidhle Lìonra) air an clò-bhualadh mar:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: freagairt ceart 40 readlink "../var" sushi.201b> wrl.nfs: 144 lorg f 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: freagair ceart 128 lorg f 9,74 / 4134.3150

Anns a 'chiad loidhne, bidh sushi aoigheachd a' cur seachad malairt le ID 6709 gu wrl (comharraichibh gur e uidheam malairt a th 'anns an àireamh a leanas às an aoigheachd src, chan e am port tùsail). B 'e an t-iarrtas 112 bytes, a' gabhail a-steach cinn-uidhe UDP agus IP. B 'e readlink a bh' anns an obair (ceangal samhlachail a leughadh) air làimhseachadh faidhle ( fh ) 21,24 / 10.731657119. (Ma tha fear fortanach, mar a tha e sa chùis seo, faodar làimhseachadh na faidhle a mhìneachadh mar phàipear àireamh mòr innealan beaga, agus an àireamh àireimh is àireamh ginealach às a dhèidh.) Tha freagairtean mì-laghail ' ceart' le susbaint a 'cheangal.

Anns an treas loidhne, tha sushi ag iarraidh wrl gus coimhead ris an ainm ` xcolors 'anns an fhaidhle eòlaire 9,74 / 4096.6878. Thoir fa-near gu bheil an dàta a chaidh a chlò-bhualadh an crochadh air an seòrsa obrach Thathas an dùil gum bi an cruth fèin-mhìneachaidh ma thèid a leughadh an co-cheangal ri protocol spec NFS.

Ma tha am bratach -v (verbose) air a thoirt seachad, tha fiosrachadh a bharrachd air a chlò-bhualadh. Mar eisimpleir:

sushi.1372a> wrl.nfs: 148 Leugh fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: freag gu ceart 1472 leugh REG 100664 ids 417/0 sz 29388

(-v cuideachd a 'clò-bhualadh an roinn IP TTL, ID, fad, agus raointean fillte, a chaidh fhàgail às an eisimpleir seo.) Anns a' chiad loidhne, tha sushi ag iarraidh wrl airson 8192 bytes a leughadh bho fhaidhle 21,11 / 12.195, 24576. Tha freagairtean Writa `ceart '; is e am pacaid a tha air a shealltainn air an dàrna loidhne a 'chiad chriomag den fhreagairt, agus mar sin chan eil ach 1472 byte a dh'fhaid (lean na bytes eile ann an criomagan às dèidh sin, ach chan eil NFS no eadhon cinn-uidhe UDP aca agus mar sin chan fhaod iad a bhith air an clò-bhualadh, a rèir an abairt abairt a chaidh a chleachdadh). A chionn 's gu bheil am brabhsair -v air a thoirt seachad, tha cuid de na feartan faidhle (a thèid a thilleadh a bharrachd air dàta nam faidhlichean) air an clò-bhualadh: an seòrsa faidhle (`` REG' 'airson faidhle cunbhalach), am modh faidhle (ann an octal) an uid agus gid, agus meud an fhaidhle.

Ma tha bratach -v air a thoirt barrachd air aon turas, tha eadhon barrachd fiosrachaidh air an clò-bhualadh.

Thoir fa-near gu bheil iarrtasan NFS glè mhòr agus nach tèid mòran den fhiosrachadh a chlò-bhualadh mura h-eil meudachadh ann. Feuch a 'cleachdadh ` -s 192 ' airson coimhead air trafaig NFS.

Chan eil pasgan freagairt NFS a 'comharrachadh an obair RPC gu soilleir. An àite sin, tha tcpdump a ' cumail sùil air iarrtasan `o chionn ghoirid', agus a 'maidseadh iad ris na freagairtean a' cleachdadh ID a 'ghnothaich. Mura h-eil freagairt gu dlùth a 'leantainn an iarrtais cho-fhreagarrach, is dòcha nach bi e parsable.

Iarrtasan AFS agus Freagairtean

Tha iarrtasan Transarc AFS (Anndra File File) a 'clò-bhualadh mar:

src.sport> dst.dport: rx pacet-type src.sport> dst.dport: rx seirbheis phacaid-ainm call call args src.sport> dst.dport: rx seirbheis seirbheis phacaid freagairt gairm-ainm args elvis. 7001> pike.afsfs: rx data fs gairm ath-ainmichte seann fid 536876964/1/1 ".newsrc.new" fid ùr 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs freagair ath-ainm

Anns a 'chiad loidhne, bidh elvis aoigheachd a' cur pasgan RX gu pike. B 'e pasgan dàta RX a bha seo don t-seirbheis fs (fileerver), agus is e toiseach gairm RPC. B 'e ath-ainm a bh' ann an gairm RPC, leis an àireamh faidhle seann sheòlair de 536876964/1/1 agus seann ainm-faidhle de `.newsrc.new ', agus ìomhaigh faidhle ùr eòlaiche de 536876964/1/1 agus ainm-faidhle ùr de`. naidheachdrc '. Bidh an tubaist aoigheil a 'freagairt le freagairt RPC ris a' ghairm ath-ainmichte (a bha soirbheachail, oir b 'e pasgan dàta a bh' ann agus cha b 'e pacaid stad a bh' ann).

San fharsaingeachd, tha na RPCan uile air an dùnadh co-dhiù le ainm gairm RPC. Tha co-dhiù cuid de na h-argamaidean aig a 'mhòr-chuid de RPCan AFS (mar as trice a-mhàin na argamaidean `inntinneach', airson cuid de mhìneachadh inntinneach).

Thathas an dùil gum bi an cruth fèin-mhìneachaidh, ach is dòcha nach bi e feumail do dhaoine nach eil eòlach air obair AFS agus RX.

Ma tha am bratach -v (verbose) air a thoirt seachad dà uair, thèid pasgan aithne agus fiosrachadh ceannard a bharrachd a chlò-bhualadh, leithid an ID gairm RX, àireamh fòn, àireamh sreath, àireamh sreathach, agus brataichean pacaid RX.

Ma tha bratach -v air a thoirt seachad dà uair, tha fiosrachadh a bharrachd air a chlò-bhualadh, leithid an ID gairm RX, àireamh sreathach, agus brataichean pacaid RX. Tha fiosrachadh co-luadar MTU cuideachd air a chlò-bhualadh bho phacaidean RX ack.

Ma tha bratach -v air a thoirt trì turais, tha am clàr tèarainteachd agus an t-seirbheis seirbheis air an clò-bhualadh.

Tha còdan mearachd air an clò-bhualadh airson pacaidean stad, ach a-mhàin pacaidean Ubik beacon (a chionn 's gu bheil iad a' cleachdadh pacaidean a tha a 'sguabadh às gus a bhith a' comharrachadh bhòt seadh airson protocol Ubik).

Thoir fa-near gu bheil iarrtasan AFS gu math mòr agus cha tèid mòran de na h-argamaidean a chlò-bhualadh mura h-eil meudachadh ann. Feuch a 'cleachdadh ` -s 256 ' airson coimhead air trafaig AFS.

Chan eil pasgan freagairt AFS a 'comharrachadh an obair RPC gu soilleir. An àite sin, tha tcpdump a ' cumail sùil air iarrtasan `o chionn ghoirid', agus gam maidseadh ri na freagairtean a 'cleachdadh àireamh a' ghairm agus ID seirbheis. Mura h-eil freagairt gu dlùth a 'leantainn an iarrtais cho-fhreagarrach, is dòcha nach bi e parsable.

KIP Appletalk (DDP ann an UDP)

Tha pacaidean DDP Appletalk a chaidh a shuidheachadh ann an datagraman UDP de-encapsulated agus air an leigeil sìos mar phacaidean DDP (is e sin, thèid am fiosrachadh ceann-cinnidh UDP air a dhubhadh às). Tha am faidhle /etc/atalk.names air a chleachdadh gus eadar-theangachadh lìon agus àireamhan nòtaichean gu ainmean. Tha an fhoirm anns na loidhnichean san fhaidhle seo

ainm àireamh 1.254 ether 16.1 icsd-net 1.254.110 cù

Tha a 'chiad dà loidhne a' toirt ainmean lìonraidhean appletalk. Tha an treas loidhne a 'toirt ainm neach-aoigheachd sònraichte (tha sgaradh air aoigheachd bho lìon leis an 3mh octet anns an àireamh - feumaidh dà ochdet a bhith aig àireamh lìon agus feumaidh trì ochdetan a bhith aig àireamh lìon). Bu chòir an àireamh agus an t-ainm a sgaradh le whitespace (plaidean no tabaichean). Dh'fhaodadh gu bheil loidhnichean bàn no loidhnichean tagraidh anns na faidhlichean /etc/atalk.names (loidhnichean a 'tòiseachadh le `#').

Tha seòlaidhean Appletalk air an clò-bhualadh san fhoirm:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Mura h-eil /etc/atalk.names ann no nach eil inntrigeadh ann airson cuid de thaigh-aoigheachd / àireamh lìon, tha seòlaidhean air an clò-bhualadh ann an cruth àireamhach.) Sa chiad eisimpleir, NBP (port DDP 2) air lìon 144.1 Tha nòta 209 a 'cur gu rud sam bith a tha ag èisteachd air port 220 de nód lom nic 112. Tha an dàrna loidhne mar an ceudna ach ainm aithnichte (`oifis'). Tha an treas loidhne air a chuir bho phort 235 air lìon jssmag node 149 a chraoladh air port NBP-net icsd (comharraich gu bheil an seòladh craolaidh (255) air a chomharrachadh le ainm lìon gun àireamh aoigheachd - air an adhbhar seo, is e deagh bheachd a th 'ann gus ainmean nód agus ainmean lìn a chumail gu sònraichte ann an /etc/atalk.names).

Tha am susbaint NBP (protocol ceangail ainm) agus papaidean ATP (protocol gnìomhachd Appletalk) air an eadar-theangachadh. Tha protocail eile dìreach a 'fàgail ainm a' phròtacail (no àireamh mura bheil ainm air a chlàradh airson a 'phròtacail) agus meud na pacaid.

Tha na pacaidean NBP air an cruth mar na h-eisimpleirean a leanas:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Is e a 'chiad loidhne iarrtas coimhead ainm airson laserwriters a chuir luchd-aoigheachd lìn 112 agus a chraoladh air net jssmag. Is e an nbp id airson an t-sùim 190. Tha an dàrna loidhne a 'sealltainn freagairt airson an iarrtais seo (innis gu bheil an dearbh rud aice) bhon aoigh jssmag.209 ag ràdh gu bheil goireas laserwriter air a bheil "RM1140" clàraichte air port 250. An treas Tha freagairt eile air an aon iarrtas ag ràdh gu bheil techpit aig an ostail air a bheil "techpit" laserwriter clàraichte air port 186.

Tha cruthadh pacaid ATP air a shealltainn leis an eisimpleir a leanas:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Tha Jssmag.209 a 'tòiseachadh gnothachas 12266 le cleachdaidhean aoigheachd le bhith ag iarraidh suas ri 8 pacaidean (`<0-7>'). Is e an àireamh hex aig deireadh na loidhne luach an raoin 'userdata' san iarrtas.

Bidh Helios a 'freagairt le pacaidean 8 512-byte. Tha an `: digiteach 'a' leantainn an t-seisein gnìomhachd a 'toirt àireamh nan sreath pacaid anns a' ghnothach agus an àireamh ann am peathraichean an àireamh de dhàta a th 'anns a' phacaid, a 'gabhail a-steach an ceann aigp. Tha an `* 'air pacaid 7 a' sealltainn gun deach am bit EOM a shuidheachadh.

Tha Jssmag.209 an uair sin ag iarraidh gun tèid pacaidean 3 & 5 a thoirt air ais a-rithist. Bidh Helios gan toirt seachad an uair sin jssmag.209 a 'leigeil seachad a' ghnothach. Mu dheireadh, tha jssmag.209 a 'tòiseachadh an ath iarrtas. Tha an `* 'air an iarrtas a' sealltainn nach deach XO (` dìreach aon uair ') a shuidheachadh.

Iomradh IP

Tha datagraman eadar-lìn fragmented air an clò-bhualadh mar

(frag id : size @ offset +) (frag id : size @ offset )

(Tha a 'chiad fhoirm a' sealltainn gu bheil barrachd bhreugan ann. Tha an dàrna fear a 'sealltainn gur e seo a' chriomag mu dheireadh.)

Is e Id an criomag id. Is e meud meud na criomag (ann am bytes) a 'gabhail a-steach ceann an IP. Tha an criomag seo air a rèiteachadh (ann am bytes) anns a 'chiad datagram.

Tha am fiosrachadh criomag a 'toirt a-mach gach criomag. Tha a 'chiad chriomag a' toirt a-steach ceann-cinnidh protocol nas àirde agus tha am fiosrachadh cugallach air a chlò-bhualadh an dèidh fiosrachadh protocol. Chan eil earrannan às deidh a 'chiad cheann a' toirt ceann-cinnidh protocail nas àirde agus tha am fiosrachadh cugallach air a chlò-bhualadh às deidh na seòlaidhean stòiridh is cinn-uidhe. Mar eisimpleir, tha seo mar phàirt de ftp bho arizona.edu gus lbl-rtsg.arpa a dhèanamh thairis air ceangal CSNET nach eil a 'nochdadh gu bheil datagraman 576 byte ann:

arizona.ftp-data> td 1170:. 1024: 1332 (308) aon 1 a 'buannachadh 4096 (criomag 595a: 328 @ 0 +) arizona> rtsg: (criomag 595a: 204 @ 328) td 11.11> arizona.ftp-data:. Tha 1536 a 'buannachadh 2560

Tha dhà no dhà ri fhaicinn an seo: An toiseach, chan eil seòlaidhean san 2na loidhne a 'gabhail a-steach àireamhan puirt. Tha seo air sgàth gu bheil fiosrachadh protocol TCP uile sa chiad chriomag agus chan eil fios againn dè na h-àireamhan puirt no sreath a th 'ann nuair a bhios sinn a' clò-bhualadh nam pìosan nas fhaide air adhart. San dàrna àite, tha an t-sreath fiosrachaidh sreath sa chiad loidhne air a chlò-bhualadh mar gum biodh 308 bytes de dhàta an luchd-cleachdaidh, gu dearbh, gu bheil 512 bytes (308 anns a 'chiad chrag agus 204 san dàrna fear). Ma tha thu a 'coimhead airson tuill anns an t-sreath àite no a' feuchainn ri pacaidean a mhaidseadh le pacaidean, faodaidh seo do chuideam.

Chan eil pacaid leis an IP bratach cromag air a chomharrachadh le slighe (DF) .

Timestamps

Mar as trice, bidh clàr-ama ro làimh ri gach loidhne toraidh. Is e an t-seam na h-ùine an gleoc làithreach anns an fhoirm

hh: mm: ss.frac

agus tha e cho ceart ri cloc na kernel. Tha an t-seisean-tìm a 'sealltainn an t-àm a chunnaic an kernel am paca an toiseach. Chan eil oidhirp sam bith air a dhèanamh mar chuimhneachan air an ùine a dh 'fhaodadh eadar an eadar-aghaidh ethernet a thoirt às a' phacaid bhon uèir agus nuair a chuir an t-eagal am pasgan ùr an aghaidh.

FAIC CUIDEACHD

trafaig (1C), nit (4P), bpf (4), pcap (3)

Cudromach: Cleachd an t-òrdugh fear ( % man ) gus faicinn mar a tha òrdugh air a chleachdadh air a 'choimpiutair agad.