Tcpdump - Linux Command - Unix Command

AINM

tcpdump - dumpáil tráchta ar líonra

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -cireamh ]

[ -C file_size ] [ -F file ]

[ -i comhéadan ] [ -m modúl ] [ -r comhad ]

[ -s snaplen ] [ -Tineál ] [ Úsáideoir U ] [ comhad -w ]

[ -E rud : rún ] [ abairt ]

CUR SÍOS

Priontáil Tcpdump na ceannteidil na bpacáistí ar chomhéadan líonra a mheaitseáil leis an abairt boole. Is féidir é a reáchtáil freisin leis an bratach -w , rud a fhágann gur féidir leis na sonraí paicéad a shábháil ar chomhad le haghaidh anailíse níos déanaí, agus / nó leis an bratach -r , rud a fhágann gur féidir léi a léamh ó chomhad paicéad shábháil seachas pacáistí a léamh ó chomhéadan líonra. I ngach cás, ní dhéanfaidh tcpdump próiseáil ach paicéid a mheaitseálann an abairt .

Déanfaidh Tcpdump , más rud é nach reáchtáiltear leis an bratach -c , leanúint ar aghaidh le pacáistí a ghabháil go dtí go gcuirfidh comhartha SIGINT isteach air (arna ghiniúint, mar shampla, trí chlóscríobh a dhéanamh ar do charachtar idirbhriste, de ghnáth rialú-C) nó comhartha SIGTERM (a ghintear de ghnáth leis an mharú (1) ordú); má reáchtáiltear leis an bratach -c , gabhfaidh sé pacáistí go dtí go gcuirfidh comhartha SIGINT nó SIGTERM isteach orthu nó próiseáladh líon sonraithe na bpacáistí.

Nuair a chríochnaíonn tcpdump paicéid a ghabháil, déanfaidh sé tuairisc ar na nithe seo a leanas:

paicéid `` a fuarthas trí scagaire '' (braitheann brí seo ar an OS ar a bhfuil tcpdump á reáchtáil agat, agus b'fhéidir ar an mbealach a bhí cumraithe ag an OS - má shonraíodh scagaire ar an líne ordaithe, ar roinnt OSanna é paicéid is cuma cé acu a ndearnadh an abairt scagaire a mheaitseáil leo, agus ar OSanna eile ní chomhaireamh sé ach na paicéid a bhí in oiriúint ag an léiriú scagaire agus gur próiseáladh tcpdump iad );

pacáistí `` thit ag eithne '' (is é seo líon na bpacáistí a thit, mar gheall ar easpa spás maoláin, ag an meicníocht um ghabháil phaicéid san OS ar a bhfuil tcpdump ag rith, má thuairiscíonn an OS an fhaisnéis sin d'iarratais; más rud é nach ndéanfar, tuairiscfear é mar 0).

Ar ardáin a thacaíonn le comhartha SIGINFO, amhail an chuid is mó de BSDanna, tuairiscfidh sé na cuntais sin nuair a bhfaighidh sé comhartha SIGINFO (a ghintear, mar shampla, trí chlóscríobh do charachtar `` stádas ', de ghnáth rialú-T) agus leanfaidh sé ar aghaidh le pacáistí a ghabháil .

Féadfaidh paicéid léitheoireachta ó chomhéadan líonra a cheangal go bhfuil pribhléidí speisialta agat:

Faoi SunOS 3.x nó 4.x le NIT nó BPF:

Ní mór duit rochtain a léamh ar / dev / nit nó / dev / bpf * .

Faoi Solaris le DLPI:

Caithfidh tú rochtain a léamh / a scríobh ar ghléasra gléasra an líonra, m.sh. / dev / le . Ar roinnt leaganacha de Solaris ar a laghad, áfach, níl sé seo leordhóthanach chun ligean don tcpdump a ghabháil i mód geal; ar na leaganacha sin de Solaris, ní mór duit a bheith fréimhe, nó ní mór tcpdump a shuiteáil setuid chun fréamh, d'fhonn a ghabháil i mód geallta. Tabhair faoi deara, ar go leor idirghabhálacha (b'fhéidir go léir), más rud é nach nglacann tú i modh mealltach, ní fheiceann tú aon phacáiste atá ag dul as oifig, agus mar sin ní fhéadfaidh gabháil a dhéanamh nach bhfuil déanta i modh mearbhuailte an-úsáideach.

Faoi HP-UX le DLPI:

Ní mór duit a bheith root nó tcpdump ní mór a shuiteáil setuid chun fréamh.

Faoi IRIX le snoop:

Ní mór duit a bheith root nó tcpdump ní mór a shuiteáil setuid chun fréamh.

Faoi Linux:

Ní mór duit a bheith root nó tcpdump ní mór a shuiteáil setuid chun fréamh.

Faoi Ultrix agus Digiteach UNIX / Tru64 UNIX:

Féadfaidh aon úsáideoir trácht líonra a ghabháil le tcpdump . Mar sin féin, ní féidir le haon úsáideoir (ní fiú an t-úsáideoir super) a ghabháil i mód promiscuous ar chomhéadan mura bhfuil an t-úsáideoir super-chumasach oibriú modh promiscuous ar an gcomhéadan sin ag baint úsáide as pfconfig (8), agus gan aon úsáideoir (ní fiú an t-úsáideoir super ) gabháil le trácht gan sreang a gheobhaidh an meaisín nó a chuirfidh an meaisín é ar chomhéadan mura bhfuil an t-úsáideoir super-chumasú ar oibriú cóip-uile-mhodh ar an gcomhéadan sin ag baint úsáide as pfconfig , agus mar sin de dhíth ar phacáiste úsáideach ar chomhéadan go bhfuil sé riachtanach go ndéanfaí modh iomarcach nó cóip -all-mód, nó an dá mhodh oibríochta, a chumasú ar an gcomhéadan sin.

Faoi BSD:

Ní mór duit rochtain a léamh ar / dev / bpf * .

Ní gá pribhléidí speisialta a bheith ag léamh comhad paicéad shábháil.

ROGHANNA

-a

Déan iarracht seoltaí líonra agus craolta a thiontú d'ainmneacha.

-c

Scoir tar éis paicéid chomhaireamh a fháil.

-C

Sula ndéantar pacáiste amh a scríobh chuig savefile, seiceáil an bhfuil an comhad níos mó ná file_size faoi ​​láthair agus, más amhlaidh, an sábháilchláir reatha a dhúnadh agus ceann nua a oscailt. Beidh an t-ainm a shonraítear leis an bratach -w tar éis na chéad shábháilchláir tar éis an chéad shábháilchlár, le roinnt tar éis é, ag tosú ag 2 agus leanúint ar aghaidh. Is iad na haonaid file_size ná na milliúin bytes (1,000,000 bytes, ní 1,048,576 bytes).

-d

Dumpáil an cód pacáilte meaitseála i bhfoirm inléite daonna chuig aschur caighdeánach agus stop.

-dd

Dumpáil comhad meaitseála paicéad mar bhreosla clár C.

-ddd

Cóip comhad meaitseála pacáiste mar uimhreacha deachúil (roimh chomhaireamh).

-e

Priontáil an ceannteideal nasc-leibhéal ar gach líne dumpála.

-E

Bain úsáid as rud : rúnda do phaicéid IPsec ESP a dhíchriptiú. D'fhéadfadh halgartaim a bheith des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , nó aon cheann . Is é an réamhshocrú des-cbc . Níl an cumas paicéid a dhíchriptiú i láthair ach amháin má cuireadh tcpdump le chéile le cumas cripteagrafaíochta. rúnda an téacs ascii do eochair rúnda ESP. Ní féidir linn luach dénártha treallach a ghlacadh ag an nóiméad seo. Glacann an rogha RFC2406 ESP, ní RFC1827 ESP. Níl an rogha ach chun críocha dífhabhálaithe, agus déantar an rogha seo a úsáid le heochairfhocail "rúnda". Trí eochair rúnda IPsec a chur ar an líne orduithe déanann tú é a bheith le feiceáil do dhaoine eile, trí ps (1) agus ócáidí eile.

-f

Seoltaí seoltaí idirlín 'eachtracha' a phriontáil go huimhsiúil seachas go samhlaíoch (tá sé mar aidhm ag an rogha seo damáiste tromchúiseach a dhéanamh ar an inchinn i bhfreastalaí cúpla na Gréine - de ghnáth bíonn sé ag aistriú uimhreacha idirlín neamh-áitiúla go deo).

-F

Bain úsáid as an comhad mar ionchur don abairt scagaire. Tugtar neamhaird d'fhocal breise a thugtar ar an líne orduithe.

-i

Éist ar an gcomhéadan . Mura bhfuil sé sonraithe, cuardaigh tcpdump ar liosta comhéadan an chórais don chomhéadan is ísle uimhrithe atá cumraithe (seachas loopback). Déantar ceangail a bhriseadh tríd an gcluiche is luaithe a roghnú.

Ar chórais Linux le 2.2 nó kernels níos déanaí, is féidir argóint comhéadain de `` aon '' a úsáid chun pacáistí a ghabháil ó gach comhéadain. Tabhair faoi deara nach ndéanfar na gabhálacha ar an bhfeiste `` aon '' i mód geallta.

-l

Déan maolán líne stdout. Úsáideach más mian leat na sonraí a fheiceáil agus é á ghabháil. Mar shampla,
`` tcpdump -l | tee dat '' nó `` tcpdump -l> dat & tail -f dat ''.

-m

Luchtaigh sainmhínithe modúl MIB SMI ó mhodúl comhad. Is féidir an rogha seo a úsáid arís agus arís eile chun modúil MIB a roinnt i tcpdump .

-n

Ná déan seoltaí óstach a thiontú d'ainmneacha. Is féidir é seo a úsáid chun seiceáil DNS a sheachaint.

-nn

Ná tiontaigh prótacal agus uimhreacha calafoirt srl.

-N

Ná clóigh cáilíocht ainm fearainn d'ainmneacha óstach. Mar shampla, má thugann tú an bratach seo, ansin clóigh tcpdump `` nic '' in ionad `` nic.ddn.mil ''.

-O

Ná reáchtáil an optimizer cód meaitseála pacáiste. Níl sé seo úsáideach ach amháin má tá drochamhras ort ar an optimizer.

-p

Ná cuir an comhéadan isteach i mód geallta. Tabhair faoi deara go bhféadfadh an comhéadan a bheith i modh mearbhall ar chúis éigin eile; Dá bhrí sin, ní féidir `-p 'a úsáid mar ghiorrúchán do` ether host {local-hw-addr} nó eitear a chraoladh'.

-q

Aschur tapa (ciúin?). Priontáil faisnéis níos lú prótacail agus mar sin tá línte aschuir níos giorra.

-R

Glac le pacáistí ESP / AH a bheith bunaithe ar sheansonraíocht (RFC1825 go RFC1829). Má shonraítear, ní phriontálfaidh tcpdump réimse athsheolaidh cosc. Ós rud é nach bhfuil aon réimse an leagan prótacail sa shonraíocht ESP / AH, ní féidir tcpdump an leagan de phrótacal ESP / AH a bhaint amach.

-r

Léigh paicéid ón gcomhad (a cruthaíodh leis an rogha -w). Úsáidtear ionchur caighdeánach má tá an comhad `` - ''.

-S

Priontáil uimhreacha seasta TCP iomlán, seachas coibhneasta.

-s

Cuireann snarf beartán sonraí de gach paicéad seachas mainneachtain 68 (le NIT SunOS, is é an t-íosmhéid 96). Tá 68 bytes leordhóthanach le haghaidh IP, ICMP, TCP agus UDP ach féadfaidh sé faisnéis prótacail a theascadh ó fhreastalaí ainm agus paicéid NFS (féach thíos). Léirítear paicéid atá teasctha mar gheall ar léargas teoranta san aschur le `` [| proto ] '', i gcás inarb é proto an t-ainm ar an leibhéal prótacail ar a tharla an truncation. Tabhair faoi deara go n-éireoidh le níos mó snapshots an méid ama a thógann sé chun pacáistí a phróiseáil agus laghdaíonn sé go héifeachtach méid na maolú pacála. D'fhéadfadh sé seo go gcuirfí caillte ar phaicéid. Ba cheart duit an líon is lú a theorannú leis an uimhir is lú a ghabháil leis an eolas prótacail a bhfuil suim agat iontu. Ciallaíonn socrú go dtí 0 úsáid a bhaint as an fad is gá chun pacáistí iomlána a ghabháil.

-T

Pacáistí Fórsa a roghnaíonn " abairt " le léirmhíniú ar an gcineál sonraithe. Is iad na cineálacha atá ar eolas faoi láthair cnfp (prótacal Cisco NetFlow), rpc (Call Nós Imeachta cianda), rtp (prótacal Iarratais Real-Time), rtcp (prótacal rialaithe Iarratais Real-Time), snmp (Prótacal Bainistíochta Líonra Simplí), vat (Visual Audio Tool ), agus wb (Bord Bán dháileadh).

-t

Ná clós ama ama ar gach líne dumpála.

-tt

Priontáil sceideal ama neamhfhoirmithe ar gach líne dumpáil.

-U

Tógann sé pribhléidí fréamhacha agus athraíonn sé ID úsáideora le húsáideoir agus le grúpa aitheantais don ghrúpa príomhúil úsáideora .

Nóta! De ghnáth, titeann Red Hat Linux na pribhléidí chun úsáideora `` pcap '' mura bhfuil aon rud eile sonraithe.

-ttt

Priontáil delta (i micrea-soicind) idir an líne reatha agus roimhe seo ar gach líne dumpála.

-tttt

Priontáil amchlár i bhformáid réamhshocraithe ar lean an dáta ar gach líne dumpála.

-u

Priontáil Láimhseálann NFS neamhchinnteáilte.

-v

(Beagán níos mó) aschur briathar. Mar shampla, clóitear an t-am chun cónaí, aithint, fad iomlán agus roghanna i bpacáiste IP. Chomh maith leis sin cuireann sé seiceálacha breise sláine paicéid ar fáil, mar shampla seiceálacha ceannteidil IP agus ICMP a fhíorú.

-vv

Fiú amháin níos mó aschur. Mar shampla, clóitear réimsí breise ó phacáistí freagra NFS, agus déantar na pacáistí SMB a dhíchódú go hiomlán.

-vvv

Fiú amháin níos mó aschur. Mar shampla, telnet SB ... Tá roghanna SE clóite go hiomlán. Le -X tá roghanna telnet clóite i hex chomh maith.

-w

Scríobh na paicéid amh chun comhad seachas iad a pháirceáil agus iad a phriontáil. Is féidir iad a phriontáil níos déanaí leis an rogha -r. Úsáidtear aschur caighdeánach má tá an comhad `` - ''.

-x

Priontáil gach paicéad (lúide a gceannteideal leibhéal nasc) i hex. Déanfar an beart is lú den phacáiste iomlán nó de bhileoga lónna a chló. Tabhair faoi deara gurb é seo an phacáiste nasc-ciseal ar fad, mar sin le haghaidh sraitheanna nasc a stuáil (m.sh. Ethernet), priontálfar na bytes stuáilte freisin nuair a bhíonn an pacáiste ciseal níos airde níos giorra ná an stuáil riachtanach.

-X

Nuair a phriontáil hex, clóigh ascii freisin. Dá bhrí sin má tá -x leagtha freisin, tá an paicéad clóite i hex / ascii. Tá sé seo an-áisiúil chun anailís a dhéanamh ar phrótacail nua. Fiú mura bhfuil -x leagtha síos freisin, is féidir cuid de roinnt paicéid a phriontáil i hex / ascii.

léiriú

roghnaíonn na paicéid a dumpáil. Mura dtugtar aon abairt , déanfar na paicéid ar fad ar an ngréasán a dhumpáil. Seachas sin, ní dhéanfar dumpáil ar phacáistí ach amháin a bhfuil abairt fíor.

Is éard atá sa abairt ná aon cheann amháin nó níos mó . De ghnáth is ionann idirdhealaitheacha (ainm nó uimhir) roimh cháilitheoirí amháin nó níos mó. Tá trí chineál cháilitheora éagsúla ann:

cineál

deir na cáilitheoirí cén cineál rud a thagraíonn don ainm nó don uimhir id. Is óstáin , glan agus calafoirt iad na cineálacha féideartha. Eg, `host foo ',` glan 128.3', `port 20 '. Mura bhfuil aon cháilitheoir de chineál ann, glactar leis an óstach .

dir

Sonraigh cáilitheoirí treoracha aistrithe ar leith chuig agus / nó as id . Is iad na treoracha féideartha src , dst , src or dst and src and dst . Eg, `src foo ',` dst net 128.3', `src nó dst port ftp-data '. Más rud é nach bhfuil aon cháilitheoir dir, tá glactha leis / léi. Le haghaidh sraitheanna nasc `null '(ie prótacail pointe le pointe mar sleamhnán) is féidir na cáilitheora isteach agus amach a úsáid chun treo atá ag teastáil a shonrú.

proto

cuireann na cáilitheoirí srian ar an gcluiche le prótacal áirithe. Is iad protos féideartha: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp and udp . Eg, `ether src foo ',` arp net 128.3', `tcp port 21 '. Mura bhfuil aon cháilitheoir proto ann, glactar leis na prótacail go léir atá ag teacht leis an gcineál. Mar shampla, ciallaíonn `src foo '` (ip nó arp or rarp) src foo' (ach amháin nach bhfuil an t-idirbheart dlíthiúil ag an dara ceann), ciallaíonn `barra glan '` (barra nó arp nó rarp)' barra glan 'agus' port 53 ' `port (tcp nó udp) 53 '.

Is é [`fddi 'an alias i ndáiríre do` ether'; déileálann an pearsanraí iad go comhionann leis mar a chiallaíonn `` an leibhéal nasc sonraí a úsáideadh ar an gcomhéadan líonra sonraithe ''. Tá seoltaí foinse agus ceann scríbe cosúil le Ethernet i gceannteidil FDDI, agus is minic go mbíonn cineálacha paicéad Ethernet cosúil leo, ionas gur féidir leat scagadh ar na réimsí FDDI seo díreach mar atá leis na réimsí Ethernet chomhchosúla. Tá réimsí eile i gceannteidil FDDI freisin, ach ní féidir leat iad a ainmniú go sainráite i léiriú scagaire.

Ar an gcaoi chéanna, is é `tr 'alias do` ether'; baineann ráitis na míre roimhe seo faoi cheannteidil FDDI le ceannteidil Token Ring freisin.]

Chomh maith leis an méid thuasluaite, tá roinnt eochairfhocail `primitive 'ann nach leanann an patrún: geata , craoladh , níos lú , sainmhínithe níos mó agus uimhríochta. Déantar cur síos orthu seo ar fad thíos.

Tá abairtí scagaire níos casta tógtha suas trí úsáid a bhaint as na focail agus , nó gan iad, a chur le chéile. Eg, `host foo agus ní port ftp agus ní port ftp-data '. Chun clóscríobh a shábháil, is féidir na liostaí cáilíochta céanna a fhágáil ar lár. Mar shampla, tá 'tcp port port ftp nó ftp-data nó fearainn' díreach mar an gcéanna le `tcp dst port ftp nó tcp dst port ftp-data nó tcp dst port fearainn '.

Is iad seo a leanas príomhbhruthaí inghlactha:

óstach óstach

Fíor má tá an t-óstach ar réimse ceann scríbe IPv4 / v6 an phaicéid, agus d'fhéadfadh sé gur seoladh nó ainm a bheadh ​​ann.

host óstach src

True má tá réimse foinse IPv4 / v6 an phaicéid óstach .

óstach óstach

Fíor má tá an fhoinse IPv4 / v6 nó ceann scríbe an phaicéid óstach . Is féidir aon cheann de na habairtí frithchaiteacha thuas a ghearradh leis na heochairfhocail, ip , arp , rarp , nó ip6 mar atá i:

ip óstach óstach

atá comhionann le:

ether proto \ ip agus host host

Má ainm óstach é le seoltaí IP éagsúla, déanfar gach seoladh a sheiceáil le haghaidh comórtais.

éitear

Fíor má tá an seoladh ceann scríbe ehernet r-phost . B'fhéidir gur ainm Ehost é / etc / éitear nó uimhir (féach éitear (3N) le haghaidh formáid uimhriúil).

ether src ehost

Fíor má tá an seoladh foinse ethernet ehost .

óstach ehost

Fíor má tá an fhoinse ethernet nó an seoladh ceann scríbe agat .

óstach geata

Fíor má úsáidtear an paicéad mar gheata. Ie, bhí an foinse ethernet nó an seoladh ceann scríbe óstach ach ní raibh an fhoinse IP ná an ceann scríbe IP óstach . Ní mór don óstach a bheith ina ainm agus ní mór meicníochtaí réitigh óstainm-go-IP-seoladh an mheaisín (comhad ainm an óstach, DNS, NIS, etc.) a fháil agus ag réiteach an óstáin-óstach-le-Ethernet meicníocht (/ srl / éitear, etc.). (Is ionann abairt choibhéiseach

óstach óstach agus ní óstach óstach

is féidir a úsáid le hainmneacha nó uimhreacha d' óstach / ehost .) Ní oibríonn an comhréir seo i gcumraíocht chumasaithe IPv6 ag an nóiméad seo.

glan glan

Fíor má tá líon líonra glan ag seoladh ceann scríbe IPv4 / v6 an phaicéid. Is féidir go mbeadh ainm glan ó / etc / líonraí nó líon líonra (féach líonraí (4) le haghaidh sonraí).

net glan

Fíor má tá líon líonra glan ag seoladh foinse IPv4 / v6 an phaicéid.

glan glan

Fíor má tá líon líonra glan de chuid foinse IPv4 / v6 an phaicéid.

glanluach glan glan

Fíor má luíonn an seoladh IP glan leis an ngreamghléas ar leith. D' fhéadfá a bheith cáilithe le src nó dst . Tabhair faoi deara nach bhfuil an comhréir seo bailí le haghaidh IPv6 glan .

glan glan / len

Fíor má mhealann an seoladh IPv4 / v6 glan le giotán gléasra glan ar fud. D' fhéadfá a bheith cáilithe le src nó dst .

port port calafoirt

True má tá an phacáiste ip / tcp, ip / udp, ip6 / tcp nó ip6 / udp agus tá luach calafoirt ceann scríbe ag an bport . Is féidir leis an gcalafort uimhir nó ainm a úsáid i / srl / seirbhísí (féach tcp (4P) agus udp (4P)). Má úsáidtear ainm, déantar uimhir an phoirt agus an prótacal a sheiceáil. Má úsáidtear uimhir nó ainm débhríoch, ní dhéantar ach uimhir an chalafoirt a sheiceáil (m.sh., déanfaidh port port 513 an trácht tcp / logáil isteach agus an udp / an trácht a phriontáil, agus déanfaidh an t-ábhar tráchta, agus an t-alt calafoirt araon tcp / fearann ​​agus trácht udp / fearainn a phriontáil).

port port taistil

Fíor má tá luach calafoirt an chalafoirt ag an bpacáiste.

port port

Fíor má tá calafort foinse nó ceann scríbe an phaicéid calafoirt . Is féidir aon cheann de na hiontrálacha calafoirt thuas a ghearradh leis na heochairfhocail, tcp nó udp , mar atá i:

port port tcp src

nach maireann ach pacáistí tcp a bhfuil a gcalafort foinse ina gcalafort .

níos lú faide

Fíor má tá fad an phaicéid níos lú ná nó is comhionann le fad . Tá sé seo comhionann le:

fhad <= fad .

níos faide

Fíor má tá an phacáiste fada níos faide ná cothrom le fada . Tá sé seo comhionann le:

len = fad .

prótacal IP proto

Fíor más paicéad IP é an paicéad (féach ip (4P)) den phrótacal cineál prótacail . Is féidir leis an bPrótacal líon nó ceann de na hainmneacha icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , nó tcp . Tabhair faoi deara go bhfuil eochairfhocail an tcp , an udp , agus an icmp freisin agus ní mór iad a éalú trí backslash (\), atá \\ sa C-bhlaosc. Tabhair faoi deara nach leanann an tosaigh seo le slabhra na gceannteideal prótacail.

prot6 prótacal

Fíor más paicéad IPv6 prótacal cineál prótacail é an phaicéad. Tabhair faoi deara nach leanann an tosaigh seo le slabhra na gceannteideal prótacail.

prótacal ip6 protochain

True má tá an phaicéad paicéad IPv6, agus tá ceannteideal prótacail leis an gcineál prótacail ina slabhra ceannteidil prótacail. Mar shampla,

ip6 protochain 6

matches aon phacáiste IPv6 le ceannteideal prótacal TCP i slabhra ceannteidil an phrótacail. Féadfaidh an phaicéad, mar shampla, ceannteideal fíordheimhnithe, ceannteideal ródála, nó ceannteideal hop-by-hop, idir header IPv6 agus ceannlíne TCP a áireamh. Tá an cód BPF astaítear ag an bpobal seo casta agus ní féidir an cód optimizer BPF a uasmhéadú i tcpdump , mar sin is féidir é seo a bheith beagán mall.

prótacal IP protochain

Comhionann le IP6 prótacal protochain , ach tá sé seo le haghaidh IPv4.

craoladh éitear

Fíor más paicéad craoltóireachta ethernet é an phacáiste. Tá an eochairfhocal eitear roghnach.

ip craoladh

Fíor más paicéad craolta IP é an phaicéad. Déanann sé seiceálacha ar na coinbhinsiúin craolacháin uile-nialasacha agus uile-aimseartha, agus breathnaíonn sé suas an masc subnet áitiúil.

ether multicast

Fíor más paicéad ilchiste éiteatóip é an phacáiste. Tá an eochairfhocal eitear roghnach. Seo an t-ábhar gairid do ` ether [0] & 1! = 0 '.

ip multastast

Fíor más paicéad IP multicast an phacáiste.

ip6 multicast

Fíor más paicéad multicast IPv6 é an phaicéad.

prótacal éitear

Fíor má tá próicéad cineál eitear sa phaicéad. Is féidir leis an bPrótacal líon nó ceann de na hainmneacha ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , or netbeui . Tabhair faoi deara freisin go bhfuil na haitheantóirí seo eochairfhocail agus caithfear iad a éalú trí backslash (\).

[I gcás FDDI (m.sh., prótacal ' fddi protocol ') agus Ring Token (m.sh., ' prot protocol arp '), don chuid is mó de na prótacail sin, tagann an t-aitheantas prótacail ón gceannteideal 802.2 Loighciúil Nasc Rialú (LLC), a De ghnáth, is é atá i gceannas ar bharr an cheannteideal FDDI nó Token Ring.

Nuair a dhéantar scagadh don chuid is mó de aitheantóirí prótacail ar FDDI nó Token Ring, ní dhéantar tcpdump ach seiceáil ar réimse ID an phrótacail i gceannteideal LLC sa bhformáid SNAP mar a thugtar air, le hAithnitheoir Aonad Eagraíochtúil (OUI) de 0x000000, le haghaidh Ethernet a chuimsítear; ní dhéantar seiceáil an bhfuil an phaicéad i bhformáid SNAP le OUI de 0x000000.

Is é an eisceacht ná iso , agus seiceann sé réimsí DSAP (Point Access Access) agus SSAP (Point Access Access Point) de chuid an cheannteidil LLC, stp and netbeui , áit a ndéanann sé seiceáil ar an DSAP de chuid an cheannteidil LLC, agus nuair a bhíonn sé seiceálacha ar phaicéad formáid SNAP le OUI de 0x080007 agus etype Appletalk.

I gcás Ethernet, seiceann tcpdump an réimse cineál Ethernet don chuid is mó de na prótacail sin; is iad na heisceachtaí iso , sap , agus netbeui , a seiceann sé le haghaidh fráma 802.3 agus ansin seiceann sé an t- achar LLC mar a dhéanann sé le haghaidh FDDI agus Token Ring, atalk , áit a seiceann sé araon le haghaidh an éiteas Appletalk i bhfráma Ethernet agus Pacáiste formáid SNAP mar a dhéanann sé le haghaidh FDDI agus Token Ring, aarp , áit a ndéanann sé seiceáil ar éippe ARP Appletalk i bhfráma Ethernet nó i gcreat SNAP 802.2 le OUI de 0x000000, agus ipx , áit a ndéanann sé seiceáil ar an etype IPX fráma Ethernet, IPX DSAP sa cheannteideal LLC, 802.3 gan aon cheanncheathrú LLC ar IPX, agus an etype IPX i bhfráma SNAP.]

decnet host óstach

True má tá an seoladh foinse DECNET óstach , agus d'fhéadfadh sé gur seoladh í an `` 10.123 '' nó an t-ainm óstach DECNET. [Níl tacaíocht óstach DECNET ar fáil ach amháin ar chórais Ultrix atá cumraithe chun DECNET a reáchtáil.]

óstach

True má tá an seoladh scríbe DECNET óstach .

maireann óstach óstach

Fíor má tá an fhoinse DECNET nó an seoladh ceann scríbe óstach .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Giorrúcháin le haghaidh:

ether proto p

áit a bhfuil p ar cheann de na prótacail thuas.

lat , moprc , mopdl

Giorrúcháin le haghaidh:

ether proto p

áit a bhfuil p ar cheann de na prótacail thuas. Tabhair faoi deara nach bhfuil a fhios ag tcpdump faoi ​​láthair conas na prótacail sin a pháirceáil.

vlan [vlan_id]

Fíor má tá pacáiste IEEE 802.1Q VLAN sa phacáiste. Má tá [vlan_id] sonraithe, níl ach vlán_id sonraithe sa phaicéad ach fíor. Tabhair faoi deara go n- athraíonn an chéad eochairfhocal vlan i bhfocail na díchodanna díchódaithe don chuid eile den léiriú ar an toimhde gur pacáiste VLAN é an phacáiste.

tcp , udp , icmp

Giorrúcháin le haghaidh:

ip proto p nó ip6 proto p

áit a bhfuil p ar cheann de na prótacail thuas.

prótacal iso proto

Fíor más paicéad OSI prótacal cineál prótacail é an phaicéad. Is féidir le Prótacal uimhir nó ceann de na hainmneacha clnp , esis , nó isis a bheith ann .

clnp , esis , isis

Giorrúcháin le haghaidh:

iso proto p

áit a bhfuil p ar cheann de na prótacail thuas. Tabhair faoi deara go ndéanann tcpdump post neamhiomlán chun na prótacail sin a phá.

expr expr expr

Fíor má tá an gaol, i gcás ina bhfuil ceann amháin de>, <,> =, <=, =,! =, Agus nochtann sé léiriú uimhríochta atá comhdhéanta de shubstaintí slánuimhir (arna léiriú i comhréire caighdeánach C), na gnáth-oibreoirí dénártha [+ , -, *, /, &, |], oibreoir fad, agus rochtana sonraí paicéad speisialta. Chun rochtain a fháil ar shonraí taobh istigh den phaicéad, bain úsáid as an chomhréireacht seo a leanas:

proto [ expr : méid ]

Tá Proto ar cheann de ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp or ip6 , agus léiríonn sé an ciseal prótacail don oibríocht innéacs. ( ether, fddi, tr, ppp, slip and link all refer to the link layer.) Tabhair faoi deara nach mbaineann cineálacha prótacail tcp, udp agus ciseal uachtair eile ach le IPv4, ní IPv6 (socrófar é seo sa todhchaí). Déantar an fhritháireamh a fhritháireamh, i gcoibhneas leis an gciseal prótacail atá léirithe, trí expr . Tá an méid roghnach agus léiríonn sé líon na bytes i réimse an leasa; is féidir é a bheith i gceann amháin, dhá, nó ceithre, agus mainneachtaintear ceann amháin. Tugann an t-oibreoir fad, arna léiriú ag an eochairfhocal, fad an phaicéid.

Mar shampla, gabhann ` ether [0] & 1! = 0 'gach trácht ilchineálach. Gabhann an abairt ` ip [0] & 0xf! = 5 'gach pacáiste IP le roghanna. Ní ghlacann an abairt ` ip [6: 2] & 0x1fff = 0 'ach datagramanna neamhphragmented agus fragero náid de datagramanna ilroinnte. Tá an seic seo curtha i bhfeidhm go hintuigthe ar na hoibríochtaí innéacs tcp agus udp . Mar shampla, ciallaíonn tcp [0] an chéad fhréamh de chuid an cheannteidil TCP i gcónaí, agus ní chiallaíonn sé riamh an chéad bhréagán de bhreasc idirghabhála.

D'fhéadfaí roinnt luachanna agus luachanna páirce a léiriú mar ainmneacha seachas mar luachanna uimhriúla. Tá na hiarratais ar réimse na gceannteideal prótacail seo a leanas ar fáil: icmptype (réimse cineál ICMP), icmpcode (réimse cód ICMP), agus tcpflags (réimse bratacha TCP).

Tá na luachanna réimse seo a leanas ar ICMP ar fáil: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Tá na luachanna réimse bratacha TCP seo a leanas ar fáil: tcp-fin , tcp-syn , tcp-rst , tpp-push , tpp- press , tcp-ack , tcp-urg .

Is féidir comhcheangail a chomhcheangal ag baint úsáide as:

Tá grúpa de phríomhbhruthaí agus oibreoirí braontaithe (braibíní speisialta don Shell agus ní mór iad a éalú).

Nósadh (` ! 'Nó` ní ').

Concatenation (` && 'nó` agus ').

Malartú (` || 'nó` nó ').

Tá tosaíocht is airde ag an ngeall. Tá comhionannas agus malartú comhionann céanna agus comhcheangailte ar chlé go deas. Tabhair faoi deara go bhfuil gá le sainráite agus comharthaí, ní hamhlactha, le haghaidh concatenation anois.

Má thugtar aitheantóir gan eochairfhocal, glactar leis an eochairfhocal is déanaí. Mar shampla,

ní óstáil vs agus ace

gearr

ní óstach vs agus óstach

níor cheart a mheascadh leis

ní (óstach vs nó ace)

Is féidir argóintí léirithe a aistriú chuig tcpdump mar argóint amháin nó mar argóintí éagsúla, cibé acu is áisiúla. Go ginearálta, má tá meiteasraitheoirí Shell san abairt, tá sé níos éasca é a tharchur mar argóint aonair, luaite. Tá argóintí iomadúla curtha le chéile le spásanna sula ndéantar iad a phársáil.

SAMPLAÍ

Próifílí uile a phriontáil ag teacht nó ag imeacht ó thosach na ndaoine :

tcpdump óstach sundown

Trácht a phriontáil idir helios agus te nó te :

helios óstach tcpdump agus \ (te nó ace \)

Gach pacáiste IP a phriontáil idir ace agus aon óstach ach amháin helios :

tcpdump ip host Ace agus ní helios

Priontáil a dhéanamh ar gach trácht idir hóstach áitiúla agus óstach ag Berkeley:

tcpdump glan ucb-eher

Priontáil a dhéanamh ar gach trácht ftp tríd an sciathán geata idirlín: (tabhair faoi deara go luaitear an abairt chun cosc ​​a chur ar an bhlaosc ó (mí-) ag léiriú na braibíní):

tcpdump 'agus (port ftp nó ftp-data)'

Chun trácht a phriontáil nach bhfuaireamar ó áitribh áitiúla ná a bheartaítear é (má tá tú ag dul go dtí glan amháin eile, níor chóir go mbeadh an stuif seo ar do ghlan áitiúil).

tcpdump ip agus ní netnetnet

Na paicéid tosaigh agus deireadh (na paicéid SYN agus FIN) de gach comhrá TCP a phriontáil ina bhfuil óstach neamh-áitiúla.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 agus ní src and net netnetnet '

Próifí IP a phriontáil níos faide ná 576 bytes a chuirtear tríd an sciathán geata:

tcpdump 'geata agus IP [2: 2]> 576'

Priontáil IP nó pacáistí multicast a phriontáil nach seoladh trí chraoladh ethernet nó multicast:

tcpdump 'ether [0] & 1 = 0 agus ip [16]> = 224'

Gach pacáiste ICMP a phriontáil nach bhfuil iarratais / freagraí macalla (ie, ní phaicéid ping):

tcpdump 'icmp [icmptype]! = icmp-echo agus icmp [icmptype]! = icmp-echoreply'

FORMAT OUTPUT

Is é an t-aschur tcpdump atá ag brath ar phrótacal. Tugann an méid seo a leanas tuairisc ghearr agus samplaí den chuid is mó de na formáidí.

Ceannteidil Leibhéal Nasc

Má thugtar an rogha '-e', clóitear an ceannteideal leibhéal nasc. Ar ethernets, priontáiltear seoltaí foinse agus ceann scríbe, prótacal, agus fad an phacáiste.

Ar líonraí FDDI, is cúis leis an rogha '-e' tcpdump an réimse 'rialú fráma' a phriontáil, na seoltaí foinse agus ceann scríbe, agus fad an phaicéid. (Is é an réimse 'rialú fráma' ná léirmhíniú an chuid eile den phacáiste. Is paicéid `async 'iad na paicéid gnáth (mar shampla iad siúd ina bhfuil datagramanna IP), le luach tosaíochta idir 0 agus 7; mar shampla,' async4 '. Glactar leis go bhfuil pacáiste Rialú Nasc Loighciúil (LLC) 802.2 sa phacáiste; clóitear an ceannródaíocht LLC más rud é nach datagram ISO ná pacáiste SNAP mar a thugtar air.

Ar líonraí Token Ring, bíonn an rogha '-e' ina chúis le tcpdump chun na réimsí 'rialú rochtana' agus 'rialú fráma' a phriontáil, seoltaí na foinse agus na cinn scríbe, agus fad an phaicéid. Maidir le líonraí FDDI, glactar leis go bhfuil paicéad LLC ann. Beag beann ar cibé an bhfuil an rogha '-e' sonraithe nó nach ea, clóitear an fhaisnéis ródála foinse do phacáistí foinse-rialta.

(NB: Glacann an cur síos seo a leanas eolas maidir leis an algartam comhbhrúite SLIP a thuairiscítear i RFC-1144.)

Ar naisc SLIP, tá táscaire treorach (`` I '' le haghaidh isteach, `` O '' le haghaidh amach), cineál phaicéid agus faisnéis chomhbhrúite clóite. Clóitear an cineál paicéad den chéad uair. Is iad na trí chineál ip , utcp , agus ctcp . Níl aon fhaisnéis nasctha ceangailte le clóite le haghaidh pacáistí IP . Le haghaidh pacáistí TCP, cuirtear an aitheantóir nasc i gcló i ndiaidh an chineáil. Má tá an pacáiste comhbhrúite, clóitear a gceannteideal ionchódaithe. Clóitear na cásanna speisialta mar * S + n agus * SA + n , áit a bhfuil n an méid a d'athraigh uimhir na seicheamh (nó uimhir na seicheamh agus an acc). Mura cás speisialta é, níl náid nó níos mó athruithe clóite. Taispeántar U (pointeoir práinneach), W (fuinneog), A (ack), S (uimhir na seicheamh), agus mé (ID paicéad), agus delta (+ n nó -n), nó luach nua (= n). Ar deireadh, clóitear méid na sonraí sa phacáiste agus fad an cheannteidil chomhbhrúite.

Mar shampla, taispeánann an líne seo a leanas pacáiste TCP comhbhrúite amach, le aitheantóir nasc intuigthe; D'athraigh an ack faoi 6, an uimhir seicheamh ag 49, agus an ID paicéad faoi 6; tá 3 bhileog sonraí agus 6 bhileog de cheanntán comhbhrúite ann:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pacáistí ARP / RARP

Léiríonn an t-aschur ardaithe / an cineál iarratais agus a argóintí. Tá sé mar aidhm ag an fhormáid féinmhíniú. Seo sampla gairid a tógadh ó thús 'rlogin' ó óst rtsg chun csam a óstáil:

arp who-has csam tell rtsg arp freagra csam is-at CSAM

Deir an chéad líne go gcuirfeadh rtsg paca arp ag iarraidh seoladh ethernet an óstach csam gréasáin. Freagraíonn Csam lena seoladh ethernet (sa sampla seo, tá seoltaí ethernet i gcaipíní agus seoltaí idirlín i gcás níos ísle).

Bheadh ​​sé seo níos lú iomarcach má rinneamar tcpdump -n :

arp a bhfuil 128.3.254.6 ag insint 128.3.254.68 freagra arp 128.3.254.6 ag-02: 07: 01: 00: 01: c4

Má rinneamar tcpdump -e , ar an bhfíric go bhfuil an chéad phacáiste á chraoladh agus an dara pointe pointe le pointe a bheith le feiceáil:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64: arp reply csam is-at CSAM

Maidir leis an gcéad phacáiste, deir sé seo gurb é an seoladh foinse ethernet ná RTSG, is é an ceann scríbe an seoladh craolacháin ethernet, ba é hex 0806 an réimse cineál (cineál ETHER_ARP) agus ba é 64 bytes an fad iomlán.

Pacáistí TCP

(NB: Glacann an cur síos seo a leanas ar an eolas maidir leis an bprótacal TCP a thuairiscítear i RFC-793. Mura bhfuil tú i dteagmháil leis an bprótacal, ní bheidh an cur síos seo ná an tcpdump i bhfad níos úsáidí duit.)

Is é formáid ghinearálta líne prótacal tcp ná:

src> dst: flags data-seqno ack window roghanna práinneacha

Is iad Src agus Dst na seoltaí IP agus na calafoirt IP foinse agus ceann scríbe. Bíonn meascán de S (SYN), F (FIN), P (PUSH) nó R (RST) nó '` (gan bratacha). Déanann Sonraí-seqno cur síos ar an gcuid de spás seiche a chumhdaítear leis na sonraí sa phacáiste seo (féach an sampla thíos). Is é Ack an uimhir seicheamh de na sonraí eile a bhfuiltear ag súil leis an treo eile ar an nasc seo. Is é an fuinneog an líon beart a fhaigheann spás maoláin ar fáil an treo eile ar an nasc seo. Léiríonn Urg go bhfuil sonraí 'práinneacha' sa phacáiste. Roghanna a bhfuil roghanna tcp atá iontu i lúibíní uillinn (m.sh., ).

Tá an tUasal, an stáisiún agus na bratacha i láthair i gcónaí. Braitheann na réimsí eile ar ábhar an cheannteidil prótacail tcp an phaicéid agus níl siad aschur ach amháin más cuí.

Seo an chuid oscailte de rlogin ó rtsg óstach chun csam a óstáil.

rtsg.1023> csam.login: S 768512: 768512 (0) bua 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ac 768513 win 4096 rtsg.1023> csam. Logáil isteach: . bua 1 bua 4096 rtsg.1023> csam.login: P 1: 2 (1) aic 1 bua 4096 csam.login> rtsg.1023:. ag 2 a bhuachan 4096 rtsg.1023> csam.login: P 2:21 (19) pointe 1 bua 4096 csam.login> rtsg.1023: P 1: 2 (1) agus 21 bua 4077 csam.login> rtsg.1023: P 2: 3 (1) agus 21 bua 4077 práinneach 1 csam.login> rtsg.1023: P 3: 4 (1) ac 21 bua 4077 práinneach 1

Deir an chéad líne gur chuir port tcp 1023 ar rtsg paicéad chun logáil isteach calafoirt ar csam. Léiríonn an S gur leagadh bratach SYN . Ba é an uimhir seicheamh phaicéid ná 768512 agus ní raibh aon sonraí ann. (Is é an noda `an chéad: anuas (nbytes) 'a chiallaíonn` uimhreacha na seicheamh ar dtús suas ach gan a bheith ina n-áirítear anuas ina bhfuil nbytes bytes de shonraí úsáideora'.) Ní raibh aon achar gan tacú, ba é 4096 bytes an fuinneog a bhí ar fáil. bhí rogha uasleibhéil ann ag iarraidh mss de 1024 bytes.

Freagraíonn Csam le paicéad dá samhail ach amháin cuimsíonn sé achar morgáiste le haghaidh SYN rtsg. Ansin cuireann Rtsg Ssam csam ar. An `. ' ciallaíonn aon bhratacha. Ní raibh aon sonraí sa phaicéad ionas nach bhfuil aon uimhir seicheamh sonraí ann. Tabhair faoi deara gur slánuimhir bheag (1) an uimhir seicheamh ack. Feiceann an tcpdump tcp `comhrá 'den chéad uair, priontáil sé an uimhir seicheamh ón bpacáiste. Ar phacáistí ina dhiaidh sin den chomhrá, tá an difríocht idir uimhir seicheamh an phaicéid reatha agus an uimhir seicheamh tosaigh seo clóite. Ciallaíonn sé seo gur féidir uimhreacha seicheamh tar éis an chéad a léiriú mar shuímh bhréagáin choibhneasta i sruth sonraí an chomhrá (agus an chéad bhile sonraí ag gach treo atá `1 '). Cuirfidh `-S 'an gné seo, rud a fhágann gurb é aschur na huimhreacha seicheamh bunaidh.

Ar an 6ú líne, cuireann rtsg csam 19 bytes sonraí (bytes 2 through 20 i taobh rtsg -> csam an chomhrá). Tá an bhratach PUSH leagtha sa phacáiste. Ar an 7ú líne, deir csamar go bhfuarthas sonraí a chuirtear faoi bhráid na ndaoine sin ach go n-áirítear beart 21. Is cosúil go bhfuil an chuid is mó de na sonraí seo ina suí sa mhaolán soicéad ós rud é go bhfuair fuinneog csam ar 19 beart níos lú. Cuireann Csam sonraí amháin ar fáil chuig an bpacáiste seo. Ar an 8ú agus an 9ú líne, cuireann csam dhá bhileog de shonraí práinneacha, práinnithe chuig rtsg.

Más rud é go raibh an pictiúr beag go leor nach raibh tcpdump ag gabháil leis an gceannteideal TCP iomlán, léiríonn sé an chuid is mó den cheannteideal is féidir agus ansin tuairiscíonn `` [| tcp ] '' le fios nach bhféadfaí an chuid eile a léirmhíniú. Má tá rogha bréagach ag an gceannteideal (ceann le fad atá ró-bheag nó níos faide ná deireadh an cheannteidil), tuairiscíonn tcpdump é mar `` [ droch rogha ] '' agus ní léiríonn sé aon roghanna eile (ós rud é nach bhfuil sé dodhéanta a insint áit a dtosaíonn siad). Má léiríonn fad an cheannteidil na roghanna atá i láthair ach nach bhfuil an fad datagram IP fada le go leor na roghanna a bheith ann, tcpdump tuairiscíonn sé mar `` [ fad hdr dona ] ''.

Gabháil pacáistí TCP le teaglaim bratacha ar leith (SYN-ACK, URG-ACK, etc.)

Tá 8 giotán sa chuid giotán rialaithe den cheannteideal TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Bímid ag glacadh leis gur mhaith linn féachaint ar phacáistí a úsáideadh chun nasc TCP a bhunú. Cuimhnigh go n-úsáideann TCP prótacal 3-bhealach cosanta lámha nuair a chuirtear tús le nasc nua; is é an seicheamh nasc maidir leis na giotáin rialaithe TCP

1) Cuireann an glaoiteoir SYN

2) Freagraíonn an faighteoir le SYN, ACK

3) Cuireann an glaoiteoir ACK isteach

Anois, tá suim againn i bpacáistí a ghabháil nach bhfuil ach an giotán SYN (Céim 1). Tabhair faoi deara nach mian le pacáistí ó chéim 2 (SYN-ACK), ach SYN tosaigh. Is é an rud atá uait ná léiriú ceart scagaire le haghaidh tcpdump .

Athghairm a dhéanamh ar struchtúr ceannteideal TCP gan roghanna:

0 15 31 ----------------------------------------------- ------------------ | port foinse | port ceann scríbe | -------------------------------------------------- --------------- | uimhir seicheamh | -------------------------------------------------- --------------- | uimhir admhála | -------------------------------------------------- --------------- | HL | Rsvd | C | E | U | A | P | R | S | F | méid fuinneoige | -------------------------------------------------- --------------- | Seiceála TCP | pointeoir práinneach | -------------------------------------------------- ---------------

De ghnáth, tá 20 octet de na sonraí i gceannas TCP, mura bhfuil roghanna ann. Tá octets 0 - 3 sa chéad líne den ghraf, léiríonn an dara líne octets 4-7 etc.

Ag tosú le 0 a chomhaireamh, tá na giotáin rialaithe TCP ábhartha le fáil in octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | ---------------- | ---------------- | HL | Rsvd | C | E | U | A | P | R | S | F | méid fuinneoige | ---------------- | --------------- | ---------------- | - --------------- | | 13ú ochtas | | |

Bí ag breathnú níos dlúithe ar octet uimh. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Is iad seo na giotáin rialaithe TCP a bhfuil suim againn ann. Táimid tar éis uimhreacha a chur san ochtet seo ó 0 go 7, ar dheis go clé, agus mar sin tá an giotán PSH beagán 3, agus uimhir 5 an giotán URG.

Cuimhnigh gur mian linn pacáistí a ghabháil le sraith SYN amháin. Feicimid cad a tharlaíonn do octet 13 má thagann téagram TCP leis an giotán SYN ina cheannteideal:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Ag féachaint ar an rannóg giotán rialaithe feicimid nach bhfuil ach líon beag 1 (SYN) leagtha síos.

Ag glacadh leis gur slánuimhir neamhshínithe 8-giotán é an uimhir octet 13 i ordú beart líonra, is é luach dénártha an octet seo ná

00000010

agus is é a hionadaíocht deachúil

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Is beagnach a dhéanaimid é, toisc go bhfuil a fhios againn anois, más rud é nach bhfuil ach SYN leagtha síos, ní mór luach an 13ú octet sa cheannródaíocht TCP, nuair a léirítear é mar slánuimhir gan sínithe 8-giotán san ord bealach líonra, go díreach 2.

Is féidir an gaol seo a chur in iúl mar

tcp [13] == 2

Is féidir linn an abairt seo a úsáid mar an scagaire le haghaidh tcpdump chun paicéid a fheiceáil nach bhfuil ach sraith SYN acu:

tcpdump -i xl0 tcp [13] == 2

Deir an abairt "go bhfuil an luach deachúil 2" ag an 13ú octet de thitagram TCP, agus is é sin an méid is mian linn.

Anois, tabhair faoi deara go gcaithfimid pacáistí SYN a ghabháil, ach nílimid cúramach má tá ACK nó aon ghiotán rialaithe TCP eile leagtha síos ag an am céanna. Feicimid cad a tharlaíonn do octet 13 nuair a thagann datagram TCP le sraith SYN-ACK:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Tá giotán 1 agus 4 leagtha amach sa 13ú ochtet. Is é luach dénártha octet 13 ná

00010010

a aistríonn go deachúil

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Anois ní féidir linn 'tcp [13] == 18' a úsáid san abairt scagaire tcpdump , toisc nach roghnódh sé ach na paicéid sin atá leagtha SYN-ACK, ach ní iad siúd nach bhfuil ach sraith SYN acu. Cuimhnigh nach bhfuil cúram orainn má shocraítear ACK nó aon ghiotán rialaithe eile chomh fada agus atá SYN leagtha síos.

D'fhonn ár sprioc a bhaint amach, ní mór dúinn go loighciúil agus luach dénártha octet 13 agus luach éigin eile a bhaint amach chun an giotán SYN a chaomhnú. Tá a fhios againn gur mhaith linn SYN a shocrú in aon chás, mar sin déanfaimid go loighciúil AGUS an luach sa 13ú octetéad le luach dénártha SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (ba mhaith linn SYN) AGUS 00000010 (ba mhaith linn SYN) -------- -------- = 00000010 = 00000010

Feicimid go seachadann an oibríocht seo AGUS an toradh céanna is cuma cé acu atá ACK nó giotán rialaithe TCP eile leagtha síos. Is é an ionadaíocht deachúil an luach AGUS chomh maith le toradh na hoibríochta seo ná 2 (dénártha 00000010), mar sin tá a fhios againn go gcaithfidh na pacáistí le SYN a leagan síos go gcaithfidh an gaol seo a leanas a bheith fíor:

((luach octet 13) AGUS (2)) == (2)

Léiríonn sé seo dúinn an abairt scagaire tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Tabhair faoi deara gur chóir duit Sleachta amháin nó backslash a úsáid sa abairt chun an carachtar speisialta AND ('&') a fholach ón bhlaosc.

Pacáistí UDP

Léirítear formáid UDP leis an bpacáiste seo:

actinide.who> broadcast.who: udp 84

Deir sé seo go ndearna an chalafort a d' fhreastail ar óstach gníomh-imagram chuig an gcalafort a craoladh óstach, an seoladh craolacháin Idirlín. Bhí 84 byte de shonraí úsáideoirí sa phaicéad.

Aithnítear cuid de sheirbhísí UDP (ón bhfoinse nó uimhir an chalafoirt cinn scríbe) agus an fhaisnéis prótacail ardleibhéil atá clóite. Go háirithe, iarratais seirbhíse Ainm Fearainn (RFC-1034/1035) agus glaonna Sun RPC (RFC-1050) go NFS.

Iarratais Freastalaí Ainm UDP

(NB: Glacann an cur síos seo a leanas eolas maidir leis an bprótacal Seirbhíse Fearainn a thuairiscítear i RFC-1035. Mura bhfuil tú ar an eolas faoin bprótacal, beidh an tuairisc seo a leanas le feiceáil i nGréigis).

Ainmnítear iarratais ar fhreastalaí ainm mar

src> dst: id op? bratacha qtype qclass ainm (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

D' iarr an óstach h2opolo an freastalaí fearainn ar helios le haghaidh taifead seoladh (qtype = A) a bhaineann leis an ainm ucbvax.berkeley.edu. Ba é an t-ainm cheist `3 '. Léiríonn an `+ 'go raibh an bratach athfhillteach atá ag teastáil leagtha síos. Ba é an fad ceist 37 bytes, gan na ceannteidil prótacail UDP agus IP san áireamh. Ba é an gnáthcheist an gnáthcheist, Iarratas , mar sin fágadh an réimse op. Mura raibh an t-ionad ar bith eile, bheadh ​​sé clóite idir an `3 'agus an` +'. Ar an gcaoi chéanna, ba é an qclass an gnáthchineál amháin, C_IN , agus fágtha ar lár. Déanfaí aon qclass eile a phriontáil díreach tar éis an `A '.

Déantar roinnt aimhrialtachtaí a sheiceáil agus d'fhéadfadh go mbeadh réimsí breise ann faoi iamh i lúibíní cearnacha: Má bhíonn freagra, taifid údaráis nó taifid bhreise ann, má tá ceist ann, cuirtear an t-ainm, an t-ainm, nó an tsuim i gcló mar `[ n a] ',` [ n n ] 'nó `[ n au]' i gcás n is é an comhaireamh cuí. Má tá aon cheann de na giotáin freagartha leagtha (AA, RA nó rcode) nó tá aon cheann de na giotán `ní mór a bheith nialas 'leagtha síos in bytes dhá agus trí, tá [[b2 & 3 = x ]' clóite, i gcás gurb é x luach heics header bytes dhá agus trí cinn.

Freagraí Freastalaí Ainm UDP

Ainmnítear freagraí freastalaí ainm mar

src> dst: id op rcode flags a / n / au sonraí aicme cineál (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Sa chéad shampla, freagraíonn helios le ceist id 3 ó h2opolo le 3 thaifead freagra, 3 taifead freastalaí ainm agus 7 taifead breise. Is é an chéad thaifead freagra cineál A (seoladh) agus is é an seoladh idirlín ná 128.32.137.3. Ba é 273 bytes méid iomlán na freagartha, gan ceanntásca UDP agus IP a áireamh. Rinneadh an cód (Iarratas) agus freagra freagartha (NoError) a fhágáil ar lár, mar a bhí an rang (C_IN) den taifead A.

Sa dara sampla, freagraíonn helios le ceist 2 le cód freagartha de chuid fearainn nach bhfuil ann (NXDomain) gan aon fhreagraí, freastalaí ainm amháin agus aon taifid údarás. Léiríonn an `* 'gur socraíodh an giotán freagrach údarásach . Ós rud é nach raibh aon fhreagraí ann, ní raibh aon chineál, rang nó sonraí clóite.

Is iad na carachtair bratacha eile a d'fhéadfadh a bheith le feiceáil `- '(athfhillteach atá ar fáil, RA, nach bhfuil leagtha síos) agus` |' (teachtaireacht teasctha, TC, socraithe). Mura bhfuil iontráil amháin go díreach ann sa rannóg `ceist ', tá [[q q]' clóite.

Tabhair faoi deara gur claonadh go mbíonn iarratais agus freastalaí ainm freastalaí ainmnithe mór agus ní féidir go n- éireodh le mainneachtain na mbainte 68 go leor den phacáiste a phriontáil. Bain úsáid as an bhratach -s chun an t-álainn a mhéadú más gá duit imscrúdú tromchúiseach a dhéanamh ar thrácht freastalaí ainmneacha. D'oibrigh ` -s 128 'go maith domsa.

Díchódú SMB / CIFS

Cuimsíonn tcpdump anois go leor mórdhíchódú SMB / CIFS / NBT le haghaidh sonraí ar UDP / 137, UDP / 138 agus TCP / 139. Déantar roinnt díchódaithe primitive de shonraí IPX agus NetBEUI SMB freisin.

De réir réamhshocraithe déantar díchódú íosta a dhéanamh, agus déantar díchódú níos mionsonraithe a dhéanamh má úsáidtear -v. Tabhair faoi deara gur féidir le pacáiste aonair SMB a bheith i mbun leathanach nó níos mó, mar sin ní hamháin úsáid a bhaint as -v más mian leat na sonraí gory ar fad.

Má tá tú ag díchódú seisiúin SMB ina bhfuil teaghráin unicode ansin b'fhéidir gur mhaith leat an t-athróg timpeallachta USE_UNICODE a shocrú go 1. Cuirfí fáilte roimh phaiste chun srings unicode a bhrath-uathoibríoch.

Le haghaidh faisnéise faoi bhformáidí phaicéid SMB agus cad iad na réimsí ar fad te a chiallaíonn féach www.cifs.org nó an pub / samba / specs / eolaire ar do shuíomh scátháin samba.org is fearr leat. Scríobh Andrew Tridgell (tridge@samba.org) na paistí SMB.

Iarratais agus Freagraí NFS

Tá iarratais agus freagraí Sun NFS (Córas Comhad Líonra) clóite mar:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op results sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: freagra ceart 40 readlink "../var" sushi.201b> wrl.nfs: 144 cuma f 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: freagra ceart a thabhairt ar fhreagairt go leor 128 f 9,74 / 4134.3150

Sa chéad líne, cuireann abhí óstach idirbheart le id 6709 go wrl (tabhair faoi deara gur id id idirbheart é an uimhir a leanas ar an óstáil src, ní an port foinse). Ba é 112 beart an t-iarratas, gan na ceannteidil UDP agus IP a áireamh. Ba é an t-oibríocht readlink (léigh nasc siombalach) ar láimhseáil comhad ( fh ) 21,24 / 10.731657119. (Má tá t-ádh ar dhuine amháin, mar atá sa chás seo, is féidir an comhad a láimhseáil a léirmhíniú mar uimhir mhéara uimhir bheartais, agus uimhir an ionaid agus an uimhir ghiniúna ina dhiaidh sin.) Freagraí mícheart `ceart 'le hábhar an nasc.

Sa tríú líne, iarrann sushi wrl chun an t-ainm ` xcolors 'a lorg sa chomhad eolaire 9,74 / 4096.6878. Tabhair faoi deara go mbraitheann na sonraí atá clóite ar an gcineál oibríochta. Tá sé mar aidhm ag an fhormáid féinmhíniú a dhéanamh má léitear i gcomhar le sainphrótacal NFS.

Má thugtar brat -v (verbose), clóitear breis eolais. Mar shampla:

sushi.1372a> wrl.nfs: 148 read fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: freagra ceart 1472 léigh REG 100664 ids 417/0 sz 29388

(-v priontáil freisin na hailt IP TTL, ID, fad, agus réimsí ilroinnte, a fágtha ar lár ón sampla seo.) Sa chéad líne, iarrann sushi wrl chun 8192 bytes a léamh ó chomhad 21,11 / 12.195, ag fritháireamh byte 24576. Freagraí mícheart `ceart '; is é an paicéad a thaispeántar ar an dara líne an chéad chuid den fhreagra, agus dá bhrí sin níl ach 1472 bytes ar fad (leanfaidh na bytes eile i blúirí ina dhiaidh sin, ach níl ceannteidil NFS nó fiú ceannteidil UDP orthu agus ní fhéadfaí iad a phriontáil, ag brath ar an abairt scagaire a úsáidtear). Ós rud é go dtugtar an bhratach -v, clóitear cuid de na tréithe comhaid (a chuirtear ar ais chomh maith le sonraí na gcomhad): an cineál comhad (`` REG '', le haghaidh comhad rialta), an modh comhaid (in octal), uid agus gid, agus méid an chomhaid.

Má thugtar bratach -v níos mó ná uair amháin, clóitear fiú níos mó sonraí.

Tabhair faoi deara go bhfuil iarratais NFS an-mhór agus ní phriontálfar cuid mhór de na sonraí mura rud é go n- ardófar líonraí . Bain triail as ` -s 192 'a úsáid chun trácht NFS a fheiceáil.

Ní aithníonn paicéid freagra NFS an oibríocht RPC go sainráite. Ina áit sin, coinníonn tcpdump rian ar iarratais `` le déanaí ', agus déanann siad iad a mheaitseáil leis na freagraí ag baint úsáide as an ID idirbhirt. Más rud é nach leanann freagra go dlúth leis an iarratas comhfhreagrach, ní fhéadfadh sé a bheith parsable.

Iarratais agus Freagraí AFS

Tá iarratais agus freagraí Transarc AFS (Córas File File) clóite mar:

src.sport> dst.dport: rx pacet-type src.sport> dst.dport: rx seirbhís phacáiste-cineál glao-ainm glaoch args src.sport> dst.dport: rx freagra seirbhíse pacáiste-glao-ainm args elvis. 7001> pike.afsfs: iarrann rx sonraí fs seanchláir 536876964/1/1 ".newsrc.new" a athshuíomh 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs freagra a athainmniú

Sa chéad líne, cuireann an óstach elvis pacáiste RX chun pike. Ba phacáiste sonraí RX é seo don tseirbhís fs (fileerver), agus is é tús glao RPC. Rinneadh athainmniú ar ghlaoch an RPC, leis an seanchomhad comhadlann de 536876964/1/1 agus ainm comhaid d'aois '.newsrc.new', agus comhad comhad eolaire nua de 536876964/1/1 agus ainm comhad nua `. nuachtán '. Freagraíonn an luas óstach le freagra RPC ar an gclaoch athainmniú (a rathúil, toisc gur pacáiste sonraí é agus ní phacáiste abort).

Go ginearálta, déantar gach RPC AFS a dhíchódú ar a laghad trí ainm glaonna RPC. Tá cuid de na hargóintí díchódaithe ag formhór na RPCanna AFS (go ginearálta ach na hargóintí 'suimiúla', le haghaidh roinnt sainmhínithe ar suimiúil).

Tá sé mar aidhm ag an fhormáid féinmhíniú a dhéanamh, ach is dócha nach mbeidh sé úsáideach do dhaoine nach bhfuil eolach ar obair AFS agus RX.

Má thugtar bratach -v (verbose) faoi dhó, cuirtear pacáistí admhála agus faisnéis ceannteidil breise i gcló, mar shampla an ID glaonna RX, uimhir glaonna, uimhir seicheamh, sraithuimhir, agus na bratacha pacáiste RX.

Má thugtar an bhratach -v faoi dhó, tá faisnéis bhreise clóite, mar shampla an ID glaonna RX, sraithuimhir, agus na bratacha pacáiste RX. Clóitear faisnéis idirbheartaíochta MTU ó phacáistí RX.

Má thugtar bratach -v trí huaire, clóitear an t-innéacs slándála agus an tseirbhís seirbhíse.

Clóitear cóid earráideacha do phacáistí ionsaithe, cé is moite de phaicéid bealach Ubik (toisc go n-úsáidtear na paicéid ionsaithe chun vóta yes a dhéanamh le haghaidh prótacal Ubik).

Tabhair faoi deara go bhfuil iarratais AFS an-mhór agus ní phriontálfar cuid mhór de na hargóintí mura rud é go n- ardófar an líon. Bain triail as ` -s 256 'a úsáid chun trácht AFS a fheiceáil.

Ní aithníonn paicéid freagra AFS an oibríocht RPC go sainráite. Ina áit sin, coinníonn tcpdump rian ar iarratais `` le déanaí '', agus déantar iad a mheaitseáil leis na freagraí trí úsáid a bhaint as an uimhir ghlaonna agus an ID seirbhíse. Más rud é nach leanann freagra go dlúth leis an iarratas comhfhreagrach, ní fhéadfadh sé a bheith parsable.

KIP Appletalk (DDP i UDP)

Déantar paicéid DDP Appletalk a chuimsítear i ndagagramanna UDP a dhícheapadh agus a dhumpáil mar phaicéid DDP (is é sin, go gcuirtear deireadh le gach faisnéis an cheannteidil UDP). Úsáidtear an comhad /etc/atalk.names chun líon na n-uimhreacha nód a aistriú chuig ainmneacha. Tá an fhoirm ag línte sa chomhad seo

uimhir ainm 1.254 ether 16.1 icsd-net 1.254.110 ace

Tugann an chéad dá líne ainmneacha líonraí appletalk. Tugann an tríú líne ainm óstach ar leith (déantar idirdhealú a dhéanamh ar óstach ó ghlan ag an tríú ochtet sa líon - ní mór dhá ochtar a bheith ag líon glan agus ní mór go mbeadh trí octet ag uimhir óstach). Ba chóir go mbeadh an uimhir agus an t-ainm ar scartha ag whitespace (bearnaí nó cluaisíní). D'fhéadfadh go mbeadh línte bán nó línte tráchta sa chomhad /etc/atalk.names (línte ag tosú le `# ').

Tá seoltaí Appletalk clóite sa bhfoirm:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Mura bhfuil an /etc/atalk.names ann nó nach bhfuil iontráil ann do roinnt óstach / líon glan appletalk, clóitear seoltaí i bhfoirm uimhriúil) Sa chéad shampla, NBP (port DDP 2) ar líon 144.1 tá nód 209 ag seoladh gach rud atá ag éisteacht ar phort 220 de nód icsd 112. Tá an dara líne mar an gcéanna ach is eol ainm iomlán na nód foinse (`oifig '). Seoltar an tríú líne ó phort 235 ar an nód glan jssmag 149 le craoladh ar an gcalafort NBP icsd-net (tabhair faoi deara go bhfuil an seoladh craolacháin (255) léirithe ag ainm glan gan aon líon óstach - ar an gcúis sin is smaoineamh maith é ainmneacha nód agus ainmneacha glan a choinneáil ar leith in /etc/atalk.names).

Tá a n-ábhar sainmhínithe ag NBP (prótacal ceangailteach ainm) agus paicéid ATP (prótacal idirbheart Appletalk). Diúltaíonn prótacail eile ach ainm an phrótacail (nó uimhir mura bhfuil ainm cláraithe don phrótacal) agus méid an phaicéid.

Tá na paicéid NBP formáidithe mar na samplaí seo a leanas:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Is éard atá sa chéad líne ná iarraidh iarratais ar ainmneacha lasercríbhneoirí arna seoladh ag óstach icsd 112 glan agus a chraoladh ar glan jssmag. Is é an t-ainm nbp don chuardach ná 190. Taispeánann an dara líne freagra ar an iarratas seo (tabhair faoi deara go bhfuil an t-id céanna aige) ó óstach jssmag.209 ag rá go bhfuil acmhainn léasair scríbhneoir ainmnithe "RM1140" cláraithe ar an gcalafort 250. An tríú Is freagra eile é an líne ar an iarraidh céanna a rá go bhfuil "techpit" cláraitheoir léasair scríofa ar phort 186.

Léirítear an fhormáidiú phaicéad ATP leis an sampla seo a leanas:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Tugann Jssmag.209 id idirbhirt 12266 le helios óstach trí suas le 8 phaicéad a iarraidh (an `<0-7> '). Is é an uimhir heicteár ag deireadh na líne ná luach an réimse `userdata 'san iarratas.

Freagraíonn Helios le 8 pacáiste 512-byte. Tugann an `digit 'tar éis an id idirbhirt uimhir seicheamh an phaicéid san idirbheart agus is é méid na bpáistí an méid sonraí sa phaicéad, gan an t-atp header a áireamh. Léiríonn an `* 'ar phacáiste 7 gur socraíodh an giotán EOM.

Ansin iarrann Jssmag.209 go ndéanfar paicéid 3 & 5 a tharchur siar. Athraíonn Helios iad ansin scaoilfidh jssmag.209 an t-idirbheart. Ar deireadh, tugann jssmag.209 an chéad iarratas eile. Léiríonn an `* 'ar an iarraidh nach raibh XO (` díreach uair amháin') leagtha síos.

Rannán IP

Clóitear datagramanna Idirlín Fragmented mar

(frag id : size @ offset +) (frag id : méid @ fritháireamh )

(Léiríonn an chéad fhoirm go bhfuil níos mó blúirí ann. Léiríonn an dara ceann gurb é seo an t-amadán deireanach.)

Is é Id an idiotaire. Is é méid an mhéid fragment (in bytes) gan an ceannród IP a áireamh. Is é an fritháireamh seo a fhritháireamh (in bytes) sa bhunachar sonraí bunaidh.

Is é an fhaisnéis ilroinnte aschur do gach ilroinnt. Cuimsíonn an chéad ilroinn an ceannteideal prótacail ardleibhéil agus cuirtear an info fragphriontáilte i ndiaidh an fhaisnéis prótacail. Ní bhíonn ceannteideal prótacal ardleibhéil i bhfodanna tar éis an chéad cheann agus cuirtear an info fragphriontáilte i ndiaidh na seoltaí foinse agus ceann scríbe. Mar shampla, tá cuid de ftp anseo ó arizona.edu chun lbl-rtsg.arpa thar nasc CSNET nach cosúil le datagrams 576 byte a láimhseáil:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) aic 1 bua 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. Tá 1536 bua 2560

Tá cúpla rud le tabhairt faoi deara anseo: Ar dtús, ní chuimsíonn seoltaí sa 2ú líne uimhreacha calafoirt. Tá sé seo toisc go bhfuil an t-eolas prótacal TCP ar fad sa chéad bhriseog agus níl aon smaoineamh againn ar cad iad na huimhreacha port nó seicheamh nuair a phriontáiltear na blúirí is déanaí. Sa dara háit, priontáiltear an t-eolas seiceála tcp sa chéad líne amhail is dá mbeadh 308 bytes de shonraí úsáideoirí nuair a bhíonn 512 bytes ann (308 sa chéad chug agus 204 sa dara háit). Má tá tú ag lorg poill sa spás seicheamh nó má tá tú ag iarraidh comócanna a mheaitseáil le paicéid, féadfaidh sé seo a bheith agat.

Níl paicéad leis an IP bratach ilroinnte marcáilte le trailing (DF) .

Timestamps

De réir réamhshocraithe, tá timthriall roimh ré ag gach línte aschuir. Is é an t-am ama an t-am clog reatha sa bhfoirm

hh: mm: ss.frac

agus tá sé chomh cruinn le clog an eithne. Léiríonn an t-amchlár an t-am a chonaic an t-eithne an pacáiste ar dtús. Ní dhéantar aon iarracht chun an t-am a laghdú idir nuair a bhain an comhéadan ethernet an phacáiste ón sreang agus nuair a sheirbheáil an t-eitleán leis an bpacáiste 'nua'.

FÉACH FREISIN

trácht (1C), nit (4P), bpf (4), pcap (3)

Tábhachtach: Bain úsáid as an ordú fear ( % man ) chun a fheiceáil conas a úsáidtear ordú ar do ríomhaire ar leith.