Tcpdump - Linux Command - Unix Command

NAME

tcpdump - dump traffic on a network

SINOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -U user ] [ -w file ]

[ -E una cosa: secreta ] [ espressione ]

DESCRIPTION

Tcpdump stampate e capu di paese nantu à una interfaccia di rete di cunnessione cù l' espressione booleana. Puderà esse ancu cundutu cù a bandiera -w , chì a causa di guardà i datu di paese à un schedariu per l'analisi sussegwenti, è / o cù a bandiera -r , chì a causa di leghje frà un pacìficu di u packetatu salvatu in quantu per leghje paceti da una interfaccia di rete. In tutti i casi, solu paceti chì cù l' espressione serà furmatu da tcpdump .

Tcpdump , se ùn curanu cù a bandiera -c , cuntenenu aghjustatu paceti finu à ch'ella hè interrotta da un signalu SIGINT (generatu, per esempiu, scrivintendu u vostru caratteru di interrupzione, tipicamenti -C) o un signalu SIGTERM (generatu tipica cù a morte (1) cummandu); si curriva cù a bandiera -c , scriverà paquetes finu à chì hè interrotta da un signalu SIGINT o SIGTERM o u numeru specificu di paceti hè stati trattati.

Quandu tcpdump finisci capturà pacche, avarà infurmatu rapportu di:

paceti `` ricivuti da u filtru '' (u significatu di questu depende di u sistema operale di quale hè corchettu tcpdump , è possibbilmente à a manera chì u VB s'hè cunfiguratu - se un filtru hè statu spjegatu nantu à a linea di cummanda, in qualchì SSS accende paceti, regardless of whether they were matched by the filter expression, è in altri OS recebeu solu paceti chì anu cunnessu cù l'espressione di filtre è anu trasfurmatu da tcpdump );

i paceti `` cagiunati da u kernel '' (questu hè u nùmeru di paceti chì anu abbandunatu, per una mancanza di spaziu di u buffu, da u pacchetta di pacchetta in u SO in chì tcpdump hè in corruzzione, se u SO accerta l'informazioni à l'appliaggiari; si non, ùn serà infurmatu com'è 0).

In i plataforme chì sustenenu u signalu SIGINFO, cum'è a più maggiurosa BSD, dichjarà quelli questi cume chì ricevi un signalu SIGINFO (generatu, per esempiu, per tipificà u vostru caratteru "statutu", in modu di cuntrollu-T) è continuà à piglià paceti .

I Paesi in leghje da una interfaccia di rete pò esse dumandate chì avete privileggi spiciale:

Under SunOS 3.x or 4.x with NIT or BPF:

Avete avutu avutu un accessu di leghjite à / dev / nit o / dev / bpf * .

Sottu Solaris cù DLPI:

Avete avè avutu l'accessu di leghjitte / scrittura à a retama pseudo apparatu, per esempiu / dev / le . In certi verità di almenu certi solaris ùn anu micca abbastanza per permettà tcpdump per capisce in modu promiscu. in queste versioni di Solaris, deve esse raizzione, o tcpdump deve esse installatu setuid à a radicali, per scopra in modu promiscu. Innota chì, à parechji (forsi tutti) interfaces, se ùn capturà in modu promiscu, ùn vinaranu micca micca paese sali, perchè una capizzione chì ùn hà fattu in modu promiscu ùn pò micca esse utile.

Sottu HP-UX incù DLPI:

Avete da esse radicali o tcpdump deve esse installatu setuid à razzi.

Sottu IRIX cù snoop:

Avete da esse radicali o tcpdump deve esse installatu setuid à razzi.

Sottu Linux:

Avete da esse radicali o tcpdump deve esse installatu setuid à razzi.

Under Ultrix und Digital UNIX / Tru64 UNIX:

Qualunque alcunu pudete capu u trafficu di a rete cù tcpdump . In ogni modu, nisun usuario (ancu u superusuariu) pò capisce in modu promiscuu in un'interfaccia fora chì u super-usu hà permessu operazione modulu promiscuu in quella interfaccia cunduzzione pfconfig (8), è nisun usu (ancu u superusuariu ) pò capisce u trafficu unicast receu or mandatu da a màquina nantu à una interfaze, aduce chì u superusu un'altra permette l'operazione di copia-all-mode in quella interfazea utilizendu pfconfig , a cattura di paese di utile in una interfaccia probabilmente esse dumandata o modulu promiscu o còpia A funzione di tutte mudernità, o i dui modi di operazione, sò attivati ​​in quella interfaccia.

Sottu BSD:

Avete avutu avutu un accessu di leghjite à / dev / bpf * .

A pàgina di leghje un pacchettu di packet guardianu ùn deve micca bisognu speciale.

OPTIONS

-a

Tentate di cunvertisce di rettori è dispusitivi indirizzi per nomi.

-c

Salte dopu avè ricivutu paesi di cunti .

-C

Prima di scrivere un prugnu crudu à un salvaticu, verificate chì u schedariu hè più grande di file_size è, se stà cusì, cercate u salvaticu actuale è apre u novu. Savefiles dopu chì u primu savefile hà avè u nome indicatu cù a bandiera -w , cun un postu doppu, cuminciendu à 2 è continuu sopra. Unità di file_size hè di milioni di bytes (1,000,000 bytes, micca 1.048.576 bytes).

-d

Traspuntà u còdici cù u pacatu in còmpiu in una forma leghjeria umana à a prughjettu standard è si ferma.

-dd

U codice di pacchetta di paese cum'è un fragment di u prugrammu C.

-ddd

Dump packet-matching code as numbers decimals (precedit cù un count).

-e

Impressà u capu di u nivellu d'intruduzzione in ogni linea di scumpetore.

-E

Aduprate qualcosa: secretu per scriviteghjule IPsec packets per ESP. L'algoritmi ponu esse des-cbc , 3des-cbc , blowfish -cbc , rc3-cbc , cast128-cbc , o nimu . U default hè des-cbc . A capacità di scunvià paceti ùn hè sanu solu se tcpdump fu compilatu cù criptografia capacitata. sicretu u testu ascii per a chjave secreta ESP. Ùn pudemu micca piglià valuru arbitratu arbitariu a stu mumentu. L'opzione pigeghja RFC2406 ESP, non RFC1827 ESP. L'opzione hè solu per scopre di scunzione, è l'utilizazione di sta scelta cù una chjave veramente sicreta hè scuraggiata. Per prisentà a chjave segreta IPsec in a linea di cummandu facenu visible à l'altri, via ps (1) è altre occasioni.

-f

Stampa l'indirizzi internet 'straneri' in numèricamente micca di simboli simbolica (sta scelta hè fatta di viulenza di gravidenza seri danni di u danu in u servitore di u servitore di Sun u solitu si prustende per sempre traduzzione numeri d'internet non-lucali).

-F

Aduprà un aghjurnamentu cum'è ingutu per l'espressione di filtre Una espressione supplementata nantu à a linea di cummanda hè ignora.

-i

Listen in interfaccia . In casu chjaru, tcpdump cerca a lista di l'interfaccia di u sistema per u numeru più numeru, cunfiguratu l'interfacurale (senza cessione di u lettone). Li ligami anu rutulatu scegliendu u match u più anticu.

In sistemi Linux cù 2.2 o versioni più avanzati, un interfaccia d' interfaccate di "qualchì" "pò esse usatu per capisce paquetes da ogni interfaccia. Innota chì captures à u "cumentu" ùn serà micca fattu in modu promiscu.

-l

Fate a stcout line cacheccu. Ùn vogliu vede i dati à piglià a so capture. Per esempiu,
`` tcpdump -l | tee dat '' or `` tcpdump -l> dat & tail -f dat ''.

-m

Load SMI MIB module definitions from file module . Questa opzione pò esse usata parechje volte per carricà parechji modi MIB in tcpdump .

-n

Ùn cunvertisce alcune incite à nomi. Questu pò esse usatu per evità dumandà DNS.

-nn

Ùn cunverta u protocolu è i numeri di portu à i nomi.

-N

Ùn imprime qualificazione di nome di dominu di i nomi di l'ostili. Per esempiu, si avete dà sta bandiera, tcpdump imprimirà `` nic '' invece di `` nic.ddn.mil ''.

-O

Ùn correghjanu micca u ottimisimu di codice codificati. Questu hè ùtule solu se suspettate un bugu in l'optimizatore.

-p

Ùn ponite l'interfaccia in u modellu promiscu. Innota chì l'interfaccia pò esse in manera promiscutu per una altra ragione; per quessa, `-p 'ùn pò esse usatu cum'è abbreviazione per' ether host [local-hw-addr} o éther broadcast '.

-q

Prestu (tranquile?). Impressu menu l'infurmazione di protokollu per a qualchì linee di prucessu sò più brevi

-R

Assumite pacchete ESP / AH per esse basatu nantu à spicificazione vechja (RFC1825 à RFC1829). Se se specificate, tcpdump ùn imprima un campu di prevenzione di replay. Perchè ùn ci hè micca prutezione di versione di protokollu in ESP / AH specificazione, tcpdump ùn pò deduciru a versione di u protokollu ESP / AH.

-r

Leghjite paceti da u schedariu (chì hè stata creata cù l'ottata). Inverazione standard hè usata si u schedariu hè "` - "".

-S

Print absolute, rather than relative, numeri in securità TCP.

-s

Snarf snaplen bytes di dati di ogni pacchje in casu di u predefinitu di 68 (cun ​​NIT di SunOS, u minimu hè in certu 96). 68 bytes hè adattatu per IP, ICMP, TCP è UDP ma pò truncate l'infurmazione di protokollu da u servitore di u servitore è i paquetes NFS (vede below). U packets truncati per una stampa limitata sò indicati indè a pruduzzioni cù `` [| proto ] '', induve proto hè u nomu di u nivellu di protokollu in u quale hà fattu u truncamentu. Nota chì piglià cresceti cù più maiori quant'è l'uparazioni di u tempu di pezzi di prucessi è, eccu, disminuisce a quantità di ricerca di paese. Questu pudite causà paceti per esse perdu. Avete un limite snaplen à u chjucu chjucu chì prunùnule u protocolu di l'infurmazioni chì avete interessatu. Sempribu snaplen à 0 significa utilizà a longa necessaria per piglià paquetes sanu.

-T

Forza missaghji selezziunati da " espressione " per esse interpretatu u tipu chjamatu. Tipi cume maghjuri sò cnfp (protocolo Cisco NetFlow), rpc (Remote Procedure Call), rtp (protokollu di l' Approvance in Time Real), rtcp (protokollu di cuntrollu di l' Apprinzente Real Time), snmp (Simple Network Management Protocol), vat (Visual Audio Tool ), è wb (distributatu White Board).

-t

Ùn imprighjunghje stamphezza nantu à ogni linea di viaghju.

-tt

Impressu un timestamp cunformatu nantu à ogni linea di viaghju.

-U

Disposti priviletti di root è cambia l'identità di l' utilizatore à l' identità di l' utilizatori è di u gruppu à u gruppu primariu d' utilizatori .

Nota! Red Hat Linux automaticamente abbandunà i privilegii à u pedeurariu à l'usu "pcap" "se nunda chì hè specificatu.

-ttt

Impressu una delta (in microsegghiati) trà a currente è a linea preliziu in ogni linea di scumpetore.

-tttt

Stampà una timestamp in u formatu predeterminatu cuntinuaru per data nantu à ogni basa di linea.

-u

Print undecoded NFS manicures.

-v

(Pocu di più) pruverza stampata. Per esempiu, u tempu di campà, l'identità, a durazione totale è l'opzioni in un paquetu IP sò stampati. Hè ancu permette cuntrolli di integrità di paquetesi cumu a verificazione di a cumpreta di IP è ICMP.

-vv

Aduprata ancu una pruduzione più numerosa. Per esempiu, i terreni più impegni sò stampati da u paccheti di risposta di NFS, è i paquetes SMB sò scritti dicizzioni.

-vvv

Aduprata ancu una pruduzione più numerosa. Per esempiu, u telnet SB ... L'opzioni di l' SE sò stampati in sèguite. Cù l'opzioni di -X telnet sò stampati in hex as well.

-w

Scrivite e pacche à u pacatu in furmatu di analizà è stampà. Puderanu dopu stampà cù l'opzione -r. Uputatu standard hè usatu si u schedariu hè "` - "".

-x

Impressjate ogni paese (perdu u so titolo di u nivellu d'aiutu) in hex. U più chjucu di u pezzu tutale o snaplen bytes serà stampatu. Innota chì hè u paese di l'estribu à l'estremità, perchè per u ligame capasti chì u padu (per esempiu, Ethernet), l'altru restante hè stampatu ancu quandu u paese di strata più altu hè u padding necessariu.

-X

Quandu imprima l'hex, stampate l'ascii. Cusì, se -x hè ancu stabilitu, u pacchettu hè stampatu in hex / ascii. Questu hè assai crescente per l'analisi di novi protokolli. Ancu se- x ùn hè ancu settore, alcune di parechji paceti sò stampati in hex / ascii.

espressione

sceglie chì paccheghjite seranu sumputu. Sì senza esse espressione , tutti i paceti nantu à a reta serà di viaghja. Inutili, solu paceti per quella espressione hè "veru" sera vede.

L' espressione si compone di unu o più primitives. Primitives sò generalmente di una id (nome o numme) precedendu da unu o più qualifiers. Ci sò trè tipuli diffirenti di qualificatori:

tipu

Qualificatori dì qualcunu di cosa chì i numeri d'identità o un numaru. I tipi possittivi sò ospiti , riti è porti . Per esempiu, `host foo ',' net 128.3 ',' port 20 '. Se ùn ci hè un qualificativu tipu, l' assestante hè presumitu.

dir

Qualifiers spiccianu una diretta di traslazioni particulari è / o da id . L'urdinazione possìbile sò src , dst , src o dst è src è dst . Per esempiu, `src foo ',` dst net 128.3', `src or dst port ftp-data '. Se ùn ci hè micca qualificatu dir, u src è dst hè presumatu. Per capelli d'acorchamiento 'null' (per esempiu, protetti à punte), i qualificatori inbound è sali in uveru pò esse usatu per spicificà a direzzione desitvata.

proto

Qualifiers limite a cunnessione cù un protokollu particulari. I protossi possessi sò: etere , fddi , tr , ip , ip6 , arp , rarp , decet , tcp è udp . Per esempiu, `ether src foo ',` arp net 128.3', `tcp port 21 '. Se ùn ci hè un protrupente proto, tutti i protokolli cunzistenti cù u tipu sò presupposti. Per esempiu, `src foo 'significa' (ip o arp or rarp) src foo '(eccu a questa ùn hè micca sintassi legale)," barra neta "significa" (ip or arp or rarp) net bar "è" port 53 "significa `(tcp ou udp) portu 53 '.

[`fddi 'hè un aliasu per l'etere'; u parser tratta iddifidificanti cum'è «chjamate u nivellu di dati à aduprà in l'interfaccia di reta di l'articulu». »« E furmate di FDDI possu l'indirizzu è l'indirizzu di etere cum'è Ethernet, è spessu cuntenanu ei furmati di eternet Ethernet, perchè pudete filtrà in ei campi FDDI cum'è cù e paroli analogi Ethernet. Intressu FDDI cuntenenu ancu altri duminii, ma ùn pudete micca chjamate chjaramente in una espressione di filtre.

Inoltre, 'tr' hè un alias for 'ether'; l'affirmazioni di paràgrafu previ di i capelli FDDI hè ancu applicà à i tituli di l'altru.

In più di l'esempiu, ci sò parechje speciale «primitivi» e chjave chì ùn seguitanu u patronu: porta di a porta , radiodifusione , menu più grande è spressioni aritmetici. Tuttu sti chjude sò scritti più sottu.

E più spressioni di i filtri cumplessi sò custruuti cù l'usu di i paroli è , o è micca di cunghjuntà i primitivi. Per esempiu, `host foo and not port ftp è non portu ftp-data '. Per salvà a scrittura, listessi identificatori cume pò esse omessi. Per esempiu, 'tcp dst port ftp o ftp-data o duminiu' hè appuntu cusì cusì chì «tcp dst port ftp» o tcp dst port ftp-data o tcp dst port domain '.

Primitivu Permissibili sò:

hè struvatu postu

True, se u campu di destinazione IPv4 / v6 di u paesu sò ospitu , chì pò esse un indirizzu o un nome.

host src host

True, se l'ughjettu di u IPv4 / v6 di u paese hè un accolta .

accolta host

True, siddu l'uttvulazione IPv4 / v6 è u destinazione di u paese hè un accostu . Qualchidia di l'espressioni di l'anziani esse impeduti cù e parole, ip , arp , rarp , o ip6 com in:

ip host host

chì hè equivalente à:

etere proto \ ip è un accolta host

Se u cumandante hè un nome cù assai indirizzu IP, ogni indirizzu serà verificatu per un match.

ether dst ehost

True, se l'indirizzu di destinazione ethernet hè u ehost . Ehost pò esse un nome da / etc / éter o un numeru (vede eteri (3N) per un format numariu).

ether src ehost

True, se l'indirizzu di etere d' ethernet hè ehost .

eter aghju ehost

Hè veru chì a eterna ethernet o l'indirizzu destinazione hè u ehost .

purtonu di porta

True s'ellu hè u pacchju utilizatu allora cum'è una porta di a porta. Ie, l'indirizzu di eternet o l'indirizzu di destinazione era l' accolta, ma nè a fonte di l'IP, nè a destinazione d'IP era ospitante . L'albergu deve esse un nome è deve esse trova da nantu à l'uttellu di l'alenatore à l'indirizzu à l'indirizzu IP da u mekanismes (file de l'amputate, DNS, NIS, etc.) è da a risiquenza di l'adresse-name-to-Ethernet Mechanismu (/ etc / éter, etc.). (Una espressione equivalent hè

eter aghju ehost è ùn anu un aghjadoru

chì pò esse usatu cù nomi o nummari per l' albergu / ehost .) Questa sintaxis ùn funziunava micca a cunfigurazione activada per IPv6 a stu momentu.

net net net

True, se l'indirizzu di destinazione IPv4 / v6 di u paesu hà una reta di rete di rete . U netu pò esse un nome da / etc / networks o un numaru di riti (vede networks (4) per i dette).

src net net

True, se l'indirizzu fonte IPv4 / v6 di u paesu hà una reta di rete di reta .

riti rossi

True, siddu l'indirizzu IPv4 / v6 è l'indirizzu di destinazione di u pacchettu hà un numaru di reta di riti .

A net mascara in netmask

True, se l'indirizzu IP ne si cumbatte netu cù a squadra di specchia . Puderà esse qualified with src or dst . Nota chì sta sintassi ùn hè micca validu per a retazione IPv6.

riti rossi / len

True, se l'indirizzu IPv4 / v6 incuntrassi a reta cù una schrussula di lattice màscusa. Puderà esse qualified with src or dst .

portu di u portu

True, se u paese hè ip / tcp, ip / udp, ip6 / tcp o ip6 / udp è hè un valore di portu di u portu . U portu pò esse un numaru o un nomu utilizatu in / etc / services (vede tcp (4P) è udp (4P)). Se un nomu hè adupratu, u numeru di u portu è u protocolu sò verificati. Se un numaru o un nome ambicu hè adupratu, solu u numaru di portu hè verificatu (per esempiu, u portu 513 stampate stampate u tcp / u trafficu di login è udp / chì u trafficu è u duminiu portu stampate tcp / duminiu è udp / duminiu di u trafficu).

portu di portu src

True, se u pacete possa un valuru portu di u portu .

portu portu

True s'ellu o u portu di destinazione o destinazione di u paese hè u portu . Qualchidia di l'espressioni porti supra pò esse prepende cù e parole di clause , tcp ou udp , cum'è in:

tcp src portu portu

chì pareglie solu pacchete tcp chì u portu induve hè portu .

menu longu

Hè veru chì u paese duvere una durata quantu o quantu à longu . Questu hè equivalente à:

len <= durata .

più larga

Hè veru chì u paese duvere una durata più grande o quantu à longu . Questu hè equivalente à:

len> = durata .

ip protokollu protuuto

True, se u paesu hè un paquetu IP (vede ip (4P)) di protokollu tipu di protokollu . U protoccu pò esse un numeru o unu di i nomi icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , ou tcp . Innota chì l'identificatori tcp , udp è icmp sò ancu chjavi è deve esse scappatu via slash (\) chì hè \\ in C-cunnessione. Nota chì questa primitiva ùn caccia micca u pruteu di a capitale.

ip6 protu protokollu

True s'ellu hè un pacìcu IPv6 di protokollu tipu di protokollu . Nota chì questa primitiva ùn caccia micca u pruteu di a capitale.

protocolo ipto prototo

True s'ellu hè u paesu hè u paese d'IPv6, è cuntene un encabezamento di protocolu cù protokollu tipicu in u stringu di a vostra capitale. Per esempiu,

ip6 protochain 6

coincide cù un paquetu IPv6 cun encabezamiento de protocolo TCP nant'à a chjesa di u protocolu. U paese pò cuntene, per esempiu, autentificazione, cume di header, o cume di l'intrecciu hop-by-hop, entre i cume di IPv6 è cume di TCP. U codice BPF emitatu da questa primitivu hè cumplicatu è ùn pò micca esse ottimizzati da u codice optimizante BPF in tcpdump , per questu quì pò esse un pocu lentu.

protocolo ip prottochain

Equivalent to ip6 protocolo protoccu , ma questu hè per IPv4.

ether broadcast

True, se u packet hè un pale di broadcast broadcast. L'keyword eter hè una opcional.

ip broadcast

True, se u packet hè un pakkett broadcast broadcast. Verificeghja per elli tutti i certi certi è di tutti i radiatevisione di cunvenzioni, è guardate a magica di a subutta lucale.

etere multicast

True, se u packet hè un paesu multicast ethernet. L'keyword eter hè una opcional. Questu hè stufa per " etere [0] & 1! = 0 ".

ip multicast

True, se u packet hè un prugettu multicast IP.

ip6 multicast

True, se u packet hè un pacchju multicast IPv6.

protuccu protudu protertu

True, se u pacetru hè di protokollu di etere. U protocolu pò esse unu o unu di i nomi ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , netbeui . Nota di sti identifiers sò ancu chjavi ughjetti è deve esse scappatu via slash (\).

[In u casu di FDDI (per esempiu, ' fèrdelu di fddi arp ') è u Ring de Token (per esempiu, ' tr protocol arp '), per a maiò parte di quelli protoculi, l'identifichu di protocolu vene da u 802.2 Lògico Link Control (LLC) header, chì hè generalizatu ghjunghjenu nantu à u capu di u FDDI o di u Cumbattimentu di Signal.

Quandu filtreze per a maiò parte di l'identità di protuccu in FDDI o Ring de Token, tcpdump verifica solu solu l'identità protocolo di l'ID di un cappai LLC in u so formatu SNAP cun un Identificativu Unità d'Organizazioni (OUI) di 0x000000, per encapsulated Ethernet; ùn verifica chì u paese ùn hè in forma SNAP cun un OUI di 0x000000.

L'eccezzioni sò iso , per quale cuntrolla u DSAP (Destination Service Access Point) è SSAP (Source Service Access Point) di i campi di a cume header, stp è netbeui , chì verifica u DSAP di u cume di a Cumpagnia ! cuntrolla per un pacìficu à u formatu SNAP cun un OUI di 0x080007 è u tipu Appletalk.

In u casu di Ethernet, tcpdump verifica u tipu Ethernet per a maiò parte di questi protocculi; l'eccezzioni scumpressini sò iso , sapu è netbeui , per quale cuntene un marcu di 802.3 è dopu verificà a cume di a Cumpagnia cumu per FDDI è u Token Ring, atalk , unni cuntrolla per l'appiicazione di l'Appletalk in un parrattu d'Ethernet è per un Un pezzu di furmatu SNAP cum'è per FDDI è u Token Ring, aarp , induve cuntrolla per l'appròpe ARP èmeficientu in una freccia Ethernet o un 802.2 Frame SNAP cun un OUI di 0x000000, è ipx , induve cuntene per ipex IPX in un parrattu Ethernet, l'IPX DSAP in the header LLC, u 802.3 senza encapsulation no header LLC di IPX, è l'IPX in un quadru SNAP.]

decnet src host

True, se a direcci fonte DECNET hè accolta , chì pò esse un indirizzu di a forma `` 10.123 '', o un nome di u servore DECNET. [U serviziu di supportu di u Regnu hè solu dispunibili nantu à sistemi Ultrie chì sò cunfigurati per correr DECNET.]

decet dst host

True, se l'indirizzu di destinazione DECNET hè accolta .

host decode host

True, siddu l'indirizzu DECNET o l'indirizzu di destinazione hè un accolta .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Abbreviazione di:

eteru proto p

induve p hè unu di i protetti più avanzati.

lat , moprc , mopdl

Abbreviazione di:

eteru proto p

induve p hè unu di i protetti più avanzati. Avete chì tcpdump ùn sanu micca sapendu annuncià questi protocculi.

vlan [vlan_id]

True, se u packet hè un paese VLAN IEEE 802.1Q. Sì [vlan_id] hè specificatu, solu veru sò u paesanu hà a vlan_id especificata . Avete chì u primu vlan keyword cumbatte in espressione cambia l'offsets di decodificazione per u restu di l' espressione nantu à a cunvinzione chì u paesu hè un paese VLAN.

tcp , udp , icmp

Abbreviazione di:

ip proto p or ip6 proto p

induve p hè unu di i protetti più avanzati.

u protoccu protudu

True, se u packet hè un prublemu di protokollu di protocolo di u packet OSI. U protoccu pò esse un numeru o unu di i nomi clnp , esis , or isis .

clnp , esis , isis

Abbreviazione di:

iso proto p

induve p hè unu di i protetti più avanzati. Avete chì tcpdump faci un travagliu incomplete di annunzià sti protoculi.

expr relop expr

True, si a storia hè stata, induve relop hè unu di>, <,> =, <=, =,! =, È expr hè una espressione aritmetica composta di constante integri (espressi in sintaxe standard C), l'operauli binari standard [+ , -, *, /, &, |], un operatore di larga, è accessori di accessorii di packet speciale. Per accede à i dati in u pacatu, utilizate a sintaxina seguente:

proto [ expr : size ]

Proto hè unu di etere, fddi, tr, ppp, slip, ligame, ip, arp, rarp, tcp, udp, icmp o ip6 , è indicanu a strata di u protocolu per l'operazione d'indici. ( etere, fddi, tr, ppp, slip è liganu tutti riferenu à a strata). Avà chì tcp, udp è autri protokolli di u centru superiamente applicanu à IPv4, nè IPv6 (questu seranu fissi in u futuru). U pustale di stati, parenti à a stampa di protokollu indicatu, hè datu da expr . Oghje hè fakultante è indica u numaru di bytes in u campu d'interessu; Pò esse unu, duie o quattru, è ponu per unu. L'operatore di largu, indicatu da a keyword len , dà a durata di u pacchetta.

Per esempiu, ' etere [0] & 1! = 0 ' captures tuttu u trafficu multicast. L'espressione ' ip [0] & 0xf! = 5 ' ponu accade à tutti i paesi d 'IP cù l'opzioni. L'espressione ' ip [6: 2] & 0x1fff = 0 ' piglia solu datu datfichi senza difragmentazione è frag cero di datagrammi frambuliati. Stu scrutinesi hè ancu applicatu à l' operazione di u tcp è di u UDP . Per esempiu, tcp [0] sempre significa u primu byte di u cume di TCP, è ùn volenu più di u primu byte di un fragile intervene.

Certi valutati è i valori di u campu pò esse spressi in nomi più di quantu quant'è valuti numerichi. U scossu di u cinturallu in tutazione di tutazione di seguitu sò dispunibili: icmptype (campu di tip ICMP), icmpcode (campu codice ICMP), è tcpflags (campu di bandieri TCP).

U valori di u campu di ICMP tipichi sò dispunibili: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -mpuntuamente , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Questi valori di i bandi di TCP i bandi sò dispunibili: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Primitives ponu esse cumminati cù:

Un gruppu parenteghjani di primitivi è operatorii (parèntesi sò spécizii à a Cunchina è deve esse scappata).

Negazione (" ! " O " micca ").

A cuncatenazione (` && 'or` and ').

Alternazione (' || ' o ' or ').

A negazione hè più prevalenti. L'alternazione è a cuncatenazione anu uguali precedente è associate da a manca à a diritta. Nota chì esplicite è fogberti, micca ghjustu, hè issa dumandatu per a cuncatenazione.

Se un identificatore si dà senza una chjave, a fondu più recente se assume. Per esempiu,

Ùn ci volevenu vende è l'ace

hè curtu per

ùn anu vientu è versatu l'asseccu

chì ùn deve micca cunfidatu

micca (vientu vs. or ace)

L'argumintazzioni di spressione pò esse passatu à tcpdump com'è una sola argumentu o cum'è multiplici argumenti, quellu chì hè più piacevule. In generale, se l'espressione cuntene manuscritti Shell, hè più faciule per passà cum'è un argumentu chjamatu solu. L'argumintazzioni multiplicate sò cuncatenati cù spàzii di prima di analizà.

EXAMPLES

Per impreghjunà ogni pacchetta chì arrivanu o partenu da domu :

tcpdump host sundown

Per imprimerà tràficu tra ed Heli è caldu o culo :

tcpdump host helios e \ (hot or ace \)

Per stampà tutti i paesi d 'IP entre assi è qualsiasi alcunu solu iessiri i valenti :

tcpdump ip host ace e non helios

Per stampà tuttu u trafficu trà l'albergu è l'anziani località in Berkeley:

tcpdump net ucb-éther

Per stampà tuttu u trafficu FTP per l'internet passachale snup : (nota chì l'espressione hè chjamata per impediscenu a caghba da (mis-) interpretendu i parèntesi):

tcpdump 'snuck et gateway (port ftp or ftp-data)'

Impressà traficu nè ricunnisciutu da nè di destinazione per l'usiali locali (se porta di porta à l'altru netu, questa stuff ùn deve micca fà in a vostra retama lucale).

ip tcpdump è micca localnet nettu

Per imprimirà i paese di inizziu è finale (i paesi SYN è FIN) di ogni cunvenzione TCP chì implica un accostu micca local.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 è micca src è dritta net localnet '

Per imprimir packets IP più di 576 bytes mandati à traversu viaghja snup :

tcpdump 'gateway snup and ip [2: 2]> 576'

Per stampà emissione IP o paquetes multicast chì ùn sò micca mandati via broadcast di ethernet o multicast:

tcpdump 'etere [0] & 1 = 0 e ip [16]> = 224'

Per stampà tutti i paescu ICMP chì ùn sò micca echi / risposti (ie, micca pacchi ping):

tcpdump 'icmp [icmptype]! = icmp-echo è icmp [icmptype]! = icmp-echoreply'

OUTPUT FORMAT

U prughjettu di u tcpdump hè un prublefu di dependente. A seguenti apre un breve descripzione è esempi di a maiò parte di i formati.

Livellu Liviu

Se l'opzione "-e" hè datu, l'intesta di u nivulu di ligame hè stampatu. In eterni, l'urdinatore è l'indirizzu di destinazione, u protuccu è a longu di paese sò stampati.

In a reta di FDDI, l'opzione "-e" tacca causata tcpdump per imprettà u campu di " cunfurmità di u quadru", l'indirizzu fonte è di destinazione, è a longu di paese. (U campu di «cuntrolle di u quadru» guere a interpretazione di u restu di u paese. Ogni pareti (cum'è quelli chì cuntenenu datagrammi IP) sò paesi asinchi, cun un valore di priori entre 0 è 7, per esempiu, « async4 ». i paceti sò presumintati da cuntenenu un 802.2 Paese di cuntrollu lògicu (LLC); l'intesta di Catturine hè stampatu s'ellu ùn hè micca un datagrama ISO o un pacatu SNAP chjamatu.

In a reta tarrituriali, l'opzione "-e" tacca causata tcpdump per imprettà i duminii di "access control" è "control di scontri", l'indirizzu di ughjornu è di destinazione, è a longu di paese. Cum'è nantu à i Redes FDDI, i paceti sò cunsunanti chì cuntene un pacquet LLC. Indipendendu à se l'esse '-e' hè specifica o micca, l'infurmazioni originali di u rotulu hè stampatu per paese di fonte.

(NB: A seguente cose accunsente familiarità cù l'algoritmu di compressioni SLIP scrittu in RFC-1144.)

In i ligami SLIP, un indicatore di direzzione ("Invevate" per "entrata"), u tipu di paese, è l'infurmazione di compressione sò stampati. U tipu di paese hè stampatu prima. I trè tippi sò ip , utcp è ctcp . Ùn ci hè micca infurmazione nant'à un ligame più impurtante per ip packets. Per paquetes TCP, l'identificatore di cunnessione hè stampatu da u tipu. Se u paese hè cumpressu, l'encore codificatu hè stampatu. I casali spiciali sò stampati da * S + n and * SA + n , induve n hè l'altitudine per quale ellu hè cambiatu u numaru di securità (o nùmmuru di secreti è ack). Se ùn hè micca un casu speciali, ci sò stampati cero o più di cambiamenti. U cambiamentu hè indicatu da U (puntero urge), W (finestra), A (ack), S (numeariu di securità), è aghju (ID), seguitu da un delta (+ n or -n), o un novu valore (= n). Infine, a quantità di data in u paese è a lunghezza compressata sò stampati.

Per esempiu, a seguente linea mostra un pacchettu compulsiu TCP slicitu, cù un identificatore di cunnessu impliuctu; l'ack hà cambiatu da 6, u numaru secu di 49, è u packet ID per 6; Ci sò 3 bytes di data è 6 bytes di cume compressu:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pakotti ARP / RARP

A produzione Arp / rarp mostra u tipu di dumanda è i so argumenti. U furmatu hè dumandatu à esse esplicitu. Eccu una presenza curretta tomba da u principiu di un 'rlogin' da u rtsg d' accettante per accettà csam :

arp qui-has csam dice rtsg arp answer csam hè-in CSAM

A prima linea dice chì rtsg envia un paesu arp chì dumandenu l'indirizzu ethernet di u web host csam. Csam contesta cù u so indirizzu ethernet (in questu l'esempiu, l'indirizzu ethernet sò in caps e indirizzi in Internet in minùscule).

Questu avissi vistu menu redundanti s'è avemu fattu tcpdump -n :

Arp chì-hà 128.3.254.6 sapete à 128.3.254.68 arp risponde 128.3.254.6 hè-à 02: 07: 01: 00: 01: c4

Se avemu avutu fattu tcpdump -e , u fattu chì u primu paese hè radiu è u sicondu hè u visu punticu è visibiliu:

RTSG Broadcast 0806 64: arp chì hà csam dit rtsg CSAM RTSG 0806 64: arp answer csam hè-in CSAM

Per u primu paese questu hè chì l'indirizzu d'esempiu ethernet hè RTSG, u destinazione hè l'indirizzu broadcast broadcast di ethernet, u tipu campu cuntenutu 0806 hehe (tipu ETHER_ARP) è a durata era 64 bytes.

Pakotti TCP

(NB: A seguente scrittura assume familiarità cù u protocolu TCP scrittu in RFC-793. Se ùn cunnosci micca u protocolu, nè sta description nè tcpdump seranu di assai usi.)

U formatu generale di una linea di protucussu TCPC hè:

src> dst: flags data-seqno ack window urgent options

Src è dst sò l'origine è l'indirizzu IP di destinazione è i porti. I banditi sò qualchi cunbinazione di S (SYN), F (FIN), P (PUSH) o R (RST) o un solu ". (senza bandieri). Data-seqno descriva a parte di u spaziu di sequenze chjucu da e dati in questu packet (vede l'esempiu below). Ack hè un numaru di securità di a data di seguente chì spetta l'altra direzione nant'à sta cunnessione. A finestra hè u numaru di bytes di u spaziu di ricercà spaziu dispunibule l'altra direzione nant'à sta cunnessione. Urg si indica chì ci hè una dati urgente in u paese. L'opzioni sò tcp opzioni enclosed in angle brackets (per esempiu, ).

Src, dst è bandieri sò sempre prisenti. L'altri campi dipennenu di u cuntenutu di l'intesta di u protocolu di u pacchettu tcp è sò sviluppati solu se appropritatu.

Eccu a parte d'apertura di un rlogin da u rtsg d'accede à a csam amici .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. login:. ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 vanu 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

A prima linea dice chì u portu 1090 tcp in rtsg mandò un pacìficu à u purtellu di cunnessione in csam. U S indica chì a bandiera SYN hè statu stabilitu. U numicu di u secondu packet era 768512 è ùn cuntene nunda dati. (A notazione hè prima primu: l'ultima (nbytes) 'chì significa' numeri di seqüència nant'à a prima , ma micca cumprese l' ultima chì hè nbytes bytes di data d'utilizatori. ') Ùn era micca persu curretta, a finestra rimpiava disponible era 4096 bytes è Ci era una opere di dimensione màsima di dimensione chì dumandenu un mss di 1024 bytes.

Csam contesta cù un pianu simili, cellu ùn anche un incontru parchinu per SYN rtsg. Rtsg accaghjate di SYN. U `. significa micca bandieri sò stati. U paese ùn cuntene nisuna dati chì ùn ci hè nunda di securità di data. Innota chì u numbru in seccu è un numaru tutale (1). U primu tempu tcpdump vede una conversazione tcp, stampate u numicu di seqüència da u pacchetta. À i paesi suttastanti da a cunversazione, a diffarenza di u numaru di securità di u pacchettu è questu numaru in secutu iniziale hè stampatu. Questu significa chì i numeri di seqüència dopu a prima pò esse interpretatu cum'è posizzioni relative byte in u flussu di data di cunversazione (cù a prima data byte chì ogni direzione hè "1"). «-S» anularà a so funzione, chì pruvucarà u nùmmuru di u sequenze uriginali.

In a 6e linea, rtsg envia csam 19 bytes di data (bytes 2 à 20 à a rtsg -> csam di a conversazione). A bandiera PUSH hè stallata in u pacchetta. U 7 di a linea, csam dice chì i ricunniscenu a dati enviati da rtsg up but not included byte 21. A maiò parte di sti dati hè apparentamente à pusà nantu à u buffu di u bascu mentri a finestra di csam's receau hè stata 19 bytes più chjuca. Csam envià ancu un byte di dati à rtsg in stu paquetu. In i 8 e 9 linii, csam envia duie bytes di urgente, impastu i dati à rtsg.

Se a snapshot era chjucu chì u tcpdump ùn hà micca captu u cuttinu TCP, interpreteghja quant'è in a cabina cumu pò è poi ponu rapportu `` [| tcp ] '' per indicà chì u restu ùn pò esse interpretatu. Se l'intrecciate cuntene una opción falsa (una cun una larghezza chì hè o troppu chjucu o più di l'ultima fini), tcpdump informa ch'ella hè " cellu " è ùn interpreta micca di più (perchè ùn ponu esse dichjaratu unni partianu). Se a longa di a cabeceira indetta l'opzioni sò prisenti, ma u longu di u datagramma IP ùn hè micca tantu tempu per l'opzioni à realità esse, tcpdump informa com'è `` [ bad hdr length ] ''.

Capisce paquets TCP cù combinazioni di bandiera particulare (SYN-ACK, URG-ACK, etc.)

Ci hè 8 bits in a traccia di pezzi di cuntrollu di u cume di TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Cumpitendu chì vulemu vede paquetes utilizati per stabilisce una cunnessione di TCP. Ricurdà chì TCP utilizeghja un protokollu di stazione di stazione di u 3 in modu di inizià una nova cunnessione; a secùnea di cunnessione in quantu à i bits di cuntrollu TCP hè

1) Caller Mandarà SYN

2) U rispondenu risponde cù SYN, ACK

3) Caller Mandarà ACK

Avà avemu interessatu à piglià pacchettii chì sò solu u settore SYN bit (Pass 1). Avemu chì ùn avemu micca pacchi di paese da u passu 2 (SYN-ACK), solu una primaria iniziale di SYN. Ciò chì avemu bisognu hè una sprissione di filtrezione per tcpdump .

Retour à l'estruzione di un TCP header senza opzioni:

0 15 31 ----------------------------------------------- ------------------ | portu fonte | destinazione portu. | -------------------------------------------------- --------------- | numaru in seccu | -------------------------------------------------- --------------- | numaru di ricunniscenza. | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | grandària di finestra | -------------------------------------------------- --------------- | TCP checksum | urgente pointer | -------------------------------------------------- ---------------

Un encabezamiento TCP generalmente tenia 20 octets di data, à menu chì e disposti ùn sò prisentate. A prima linea di u grafu cuntene octeti 0 - 3, a seconda linea mostra octeti 4 - 7 etc.

Accuminciannu a cuntari 0, i bits pertinenti di cuntroltu TCP sò cuntenuti in u 13 octet:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | grandària di finestra | ---------------- | --------------- | --------------- | - --------------- | | 13 octet | | |

Avemu un appretjatu vicinu à l'octitu nè. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | 7 5 3 0 |

Questi sò i pezzi di cuntroltu di TCP chì avemu intesu interessate. Avemu numeratu u bitte in questu octet da 0 à 7, dritta à left, perchè u bit PSH hè un pezzu 3, mentre chì u bit URG hè numero 5.

Pensemu chì vulemu catturà paceti cù solu settore SYN. Avemu veru chì succede à l'octitu 13 si u datagram TCP ghjuntu cù a SYN bit set in u so cabidettu:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

In vista à a seccu di cuntrolli bits, vedemu chì solu un nicu pocu 1 (SYN) hè stallatu.

Assumintendu chì u numellu d'octeto 13 hè un inturnieru unsigned 8-bit in ordine di òpere di rete, u valore bariuu di stu octitu hè

00000010

è a so rappresentanza decimali hè

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Avemu casi fattu, perchè oghje sapemu chì, se solu SYN hè stituitu, u valore di u 13 octet in u cume di TCP, quandu hè interpretatu cum'è un intossidu 8-bit unsigned in u ordinali bytes di a rete, deve esse exactu 2.

Sta rilazione si pò esse espressa cum'è

tcp [13] == 2

Puderemu esse l'espressione comu filtru per tcpdump per vede paquetes chì sò solu SYN.

tcpdump -i xl0 tcp [13] == 2

L'espressione "dice chì u 13 octet di u datagram TCP hà u valore decimale 2", chì hè esattamente ciò chì vulemu.

Avà, assicùtemi chì avemu bisognu di i paesaggio SYN, ma ùn avemu micca cura si ACK o qualsiasi pezzu di cuntroltu TCP hè stallatu à u stessu tempu. Veju ciò chì passa à u octitu 13 quandu un datagrama TCP cù SYN-ACK set arrivà:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

I bits 1 è 4 sò stati in u 13 octet. U valore bariuu di l'octituu 13 hè

00010010

chì traduces a decimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Avà ùn pudemu micca esse aduprà "tcp [13] == 18 'in l'espressione di filtre tcpdump , perchè ellu selezziunate solu quelli paquetes chì sò SYN-ACK set, ma micca quelli chì sò solu SYN. Ricurdativi chì ùn avemu micca cura si ACK o qualsiasi autre bellu di cuntrollu hè stabilitu finu à u SYN hè stallatu.

Per ghjunghje à a nostra mira, avemu bisognu di LOGICAL E U valore bariuu di l'octitu 13 cun qualchì altru valuri per a priservà a SYN bit. Sapemu chì vulemu SYN per esse stabilitu in ogni casu, cusì avemu logicamenti E U valore in u 13 octet cù u valore binaru di un SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (vulemu SYN) E 00000010 (vulemu SYN) -------- -------- = 00000010 = 00000010

Avemu chì l'operazione AND duveranu u stessu risultatu independentamente chì ACK o un altru pichju di TCP hè stabilitu. A rappresentanza decimale di u valore E u risultatu di questa operazione hè 2 (binariu 00000010), cusì chì sapemu chì per paceti cù SYN hà stabilitu a rilazioni chì seguite hà mantendu vera:

((valore di u octitu 13) E (2)) == (2)

Questu averebbi à l'espressione di filtre tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Avete chì avete aduprà cumunità unica o una vuzzatta in l'espressione per ocultar u caratteru speciale AND ("&") da u cunchju.

Paquetes UDP

U format UDP hè illustratu di stu paese rwho:

actinide.who> broadcast.who: udp 84

Questu dice chì u portu chì nantu à l' agenti actinidi hà mandatu un datagrama udp à u portu chì in a radiu d' ospiti, l'indirizzu di broadcast di Internet. U pacchju cuntò 84 bytes di data di l'utilizatori.

Certi servizii UDP sò ricunnisciuti (da u numeru di u portu di destinazione o di u destinazione) è l'infurmazione di u protocolu di u nivellu altu. In particulari, dumande di serviziu di dumande di u duminiu (RFC-1034/1035) è Sun RPC chjamati (RFC-1050) à NFS.

UDP Mandatu di u Server

(NB: A seguente scrittura assume familiarità cù u prubleanu di u serviziu di u duminiu scrittu in RFC-1035. Se ùn cunnosci micca prublemi cù u prubleanu, a seguente scrittura pare chì esse scritta in grecu.)

Ogni dumanda di u servore di u servitore sò furmatu

src> dst: id op? bandiera qtype qclass nome (len) h2opolo.1538> hellios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Host h2opolo hà dumandatu u servitore di domini nantu à elli per una rettitudine di indirizzu (qtype = A) associatu cù u nome ucbvax.berkeley.edu. L'identità di ricerca hè "3". A '+' indica chì u bandiera desitvatu di recursione hè stata definita. A dumanda di quistione era 37 bytes, senza nclusa i UDC è i protocoli di u protocolu IP. L'operazione di ricerca era u normale, Query , per chì u campu op hè omitted. Se l'op avia statu qualcosa cosa, era stampatu trà u 3 è di u +. In u stessu, a crescente era a norma, C_IN , è omessi. Qualchidunu altru avissi statu stampatu immediatamenti dopu à u "A".

Uni pochi anomalji sò verificati è ponu esse risultati in fieldti extra enclosed in square brackets: Se una query cuntene una risposta, l'auturizazione di ricordi o altri registri, ancount , nscount , o arcount stampate «[ n a]», [ n n ] 'o' [ n au] 'induve n hè u cuntestu adattatu. Se qualchidunu di i bits risposta sò stampati (AA, RA o rcode) o qualsiasi di i boni di «must be zero» sò settati in bytes duie è trè, «[b2 & 3 = x ]» hè stampatu, induve x hè u valore di u header bytes duie è trè.

UDP Nom de risposta di servise

I risposti di u servore di nome sò furmatu cum'è

src> dst: id op rcode flags a / n / u type data class (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

In u primu esempiu, helios risponde à una query id 3 da h2opolo cù 3 risultati di ricerca, 3 servitori di registra è 7 ricordi supplementari. U primu rapportu risposta hè tipu A (indirizzu) è e so dati hè l'indirizzu internet 128.32.137.3. U diminuitu tutali di a risposta hè 273 bytes, esclusione UDP è IP headers. L'op (Query) è u còdice di risposta (NoError) si omessi, cum'è a class (C_IN) di l'A record.

In u sicondu esempiu, i risichi risponde à a quistione 2 cun un codice di risposta di duminiu esistenti (NXDomain) senza risposte, un servitore di nome è senza alcuna scrittura. U `* 'indica chì u rispettu autoritario hè stituitu. Siccome ùn ci era micca risposte, ùn era micca tipu, classe o dati.

L'altri caratteri bandiera chì ponu appare sò «-» (recursione dispunibile, RA, micca stabilitu) è «|» (messu truncatu, TC, stabilitu). Se a sección 'pregunta' ùn cuntene micca una sola entry, `[ n q] 'hè stampata.

Innota chì i dumande esse dumandate u risposti di u servente di u nome è u snaplen predeterminatu di 68 bytes ùn pò micca abbastanza abbastanza di u packet per imprimir. Aduprà a bandiera -s per incrementà a snaplen se avete bisognu di studià per u trafficu di u servore di nome. -S 128 "hà travagliatu bè per mè.

Decoding SMB / CIFS

tcpdump incù issa scunnificazione larga SCSI / CIFS / NBT per i ducumenti per UDP / 137, UDP / 138 è TCP / 139. Una dicisionazione primitiva di IPX è di NetBEUI SMB sò ancu fatti.

Per automaticamente un decode minimu hè fattu, cun un decode più detallatu fà se -v hè utilatu. Fate chì hè avvistatu chì cù u pacìficu SMB solu pò piglià una pàgina o più, cusì solu l'utilizanu -v si veramente vanu tutti i vostri dittii.

Se se deve scelte sessione SMB chì cuntenenu e unicode string, pudete desiderate stabilisce l'usàbile di l'ambizioni USE_UNICODE à 1. Un parche per autodetitizzioni unificatori unicode seria aggradisce.

Per infurmazioni nantu à u formatu di pezzi SMB è quale tutti i campi medite alcuni vede www.cifs.org o u publicu / samba / specs / directory in u vostru spaziu favuritu samba.org. I pezzi SMB sò scritte da Andrew Tridgell (tridge@samba.org).

E solicitudes e replicate di NFS

Nazione Sun NFS (Network File System) e risposte sò stampati com'è:

src.xid> dst.nfs: len op args src.nfs> dst.xid: stat stat stat len ​​op sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 ligami di libri "../var" sushi.201b> wrl.nfs: 144 cercanu fh 9,74 / 4096,6878 "xcolors" wrl.nfs> sushi.201b: risposta ok 128 cerculu fh 9,74 / 4134.3150

In a prima linea, oghjettu di ghjinnaghju mandatu una transazzione cù id 6709 a wrl (nota chì u numaru dopu à l'uspitanti src hè una identità di transazzione, micca u portu d'origine). A dumanda era 112 bytes, escludennu l'encapçalazione UDP è IP. L'operazione hè stata una ligatura ligata (ligami simbulu simbulu) nantu à u testu manicu ( fh ) 21,24 / 10.731657119. (Se unu hè a furtuna, cum'è in stu casu, u manicu di l'architettura pò esse interpretatu cum'è un paru di numeri di numerusori minimu , seguitatu da u numaru inodore è u numaru di generazione). Wrl responde 'ok' cù u cuntenutu di u link.

In a terza linea, u sushi dumanda wrl per attruverà u nome " xcolors " in u repertoriu di registramentu 9,74 / 4096.6878. Nota chì a data stampata dependa u tipu di operazione. U furmatu hè dumandatu à esse esse accuratatu se leghje cù un spec di u protocolu NFS.

Se l'indicazione -v (verbose) hè datu, l'infurmazioni cuntenute hè stampatu. Per esempiu:

sushi.1372a> wrl.nfs: 148 leghje fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: risposta ok 1472 leghjie micca Reg 100664 ids 417/0 sz 29388

(-v custodierà stampà l'intuccionu IP TTL, ID, largu è i campi di frammentazione, chì sò omessi da stu esempiu.) In u primu ligna, u sushi dumanda a lettura di u 8192 bytes da u 21,11 / 12,195, 24576. Wrl responde 'ok'; U pacettu di u pacchettu nantu à a siconda linea hè u primu fragilamentu di a risposta, è dunque hè solu 1472 bytes longu (l'altri byte seguitaranu in frammenti sussegutenti, ma sti frammenti ùn anu micca NFS o ancu UDP header è perchè ùn hè micca stampatu, sicondu l'espressioni di filtre). Perchè a bandiera v hè datu, alcuni di l'attributi di u schedariu (chì sò tornati in più di i ducumenti di l'archive) sò stampati: u tipu di archiu ("REG", per un schedariu regulare), u modalità file (in octal), l'uid è gid, è u grandu di l'archive.

Se u bandiera -v hè datu più di una volta, ancu più dittiti sò stampati.

Avete chì e solicitudes NFS sò assai grande è più parte di i dettu ùn sarà micca stampatu menu se snaplen hè crescitu. Pruvate di " -s 192 " per vede u trafficu NFS.

U pacchete di risposta di NFS ùn anu micca identificatu espliċitamente l'operazione RPC. Invece, tcpdump conserve a pista di dumande "recenti", è parmetti cù a risposta cù l'identità di transazzione. Sì una risposta ùn seguita micca a dumanda pertinente, ùn puderia micca stata.

Appenazioni di l'AFS è Rispondi

L'amministrazione di Transarc AFS (Andrew File System) e risposte sò stampati com'è:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx packet-type service call call-name args src.sport> dst.dport: rx packet-type service reply call-name args elvis. 7001> pike.afsfs: rx data fs call rename old fid 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs reply rename

In a prima linea, elvis elvis envia un pakkett RX à piace. Hè un paginu di datu RX à u serviziu di fs (schedariu), è hè l'iniziu di una chjamata RPC. A chjamata RPC era un nome di reelammu, cù l'anticu annu di scripta di 536876964/1/1 è un vechju filename di `.newsrc.new ', è un novu identificatore di l'annuariu di 536876964/1/1 è un novu filename di'. newsrc '. U pikkin à u rispittallu responde cun una risposta di RPC à a cambia di rinomata (chì hè statu successu, perchè era un pacìtticu di dati è micca pacu d'abort).

In generale, tutti l'AFS RPCs sò decodificati almenu da u nome di RPC chjamatu. A maggiuranza di l'AFS RPC sò almenu arcuni di l'argumenti decode (in generale solu l'argumenti 'interessanti', per una certa definición di interessante).

U formatatu hè dumandatu à esse discrive, ma ùn saria micca utili à e persone chì ùn sò micca familiarizati cù u travagliu di AFS è RX.

Se u bandiera -v (verbose) hè datu duie volte, paese di ricunniscenza è infurmazione altri hè stampatu, cum'è l'ID di u RX, u numicu di u telefunu, u numaru in securità, u numaru di seriale è i bandieri packet RX.

Se u bandiera -v hè datu duie volte, l'infurmazioni cuntenute hè stampatu, cum'è l'identità di telefone RX, numero di seriale è i bandieri packet RX. L'infurmazione di negoziu MTU hè ancu stampatu da pacchi acock RX.

Se u bandiera -v hè datu trè volte, l'indici di u safety è l'identità di serviziu ci sò stampati.

I codici di errore sò stampati per abort packets, cù l'eccezzioni di i paesi d'Ubik (oghji à l'abort packets sò usati per significate un votu di sì ubligatoriu Ubik).

Avete chì e solicitudes AFS sò assai grande è parechji di l'argumenti ùn saranu micca stampati p'asempiu chì snaplen hè crescente. Pruvate usà ' -s 256 ' per guardà trafficu AFS.

I pacchi di risposte AFS ùn anu micca identificatu espliċitu l'operazione RPC. Invece, tcpdump conserve a pista di dumande "recenti", è si parvene à i risposti cù u numeru di u telefunu è u identità di serviziu. Sì una risposta ùn seguita micca a dumanda pertinente, ùn puderia micca stata.

KIP Appletalk (DDP in UDP)

Appletalk DDP pakettamenti encapsulated in UDP datagrammi sò encapsulati è dumped cum'è paquetes DDP (per esempiu, tutte e infurmazioni di a UDP in u ghjornu hè scurtatu). U file /etc/atalk.names hè stata utilizata per traduzirà u nfermolu di appletalk è node in nomi. Linii in questu fugliu tenenu a forma

nomu di u 1.254 èther 16.1 icsd-net 1.254.110 ace

I primi dui linii dettu i nomi di i riti di appletalk. A terza linea hè stata un nome di un uspitalu particulari (un postu hè distinatu da una rete per u 3 octet in u numiru - un nettu neu devi deve duie octeti è un numaru d'accettante deve dettiru trè octeti.) U numaru è u nomu deve esse separati per spazi bianchi (espunenti o tabulature). U schedariu /etc/atalk.names possu cuntenuti linii in biancu o cumuli di cunnessione (lini cheini cù un #).

L'indirizzu Appletalk sò stampati in a forma:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Se l'/ etc/atalk.names ùn sianu micca o ùn cuntene un ingaghjamentu per certi appaltamentu / numeru netu, l'indirizzu sò stampati in forma numèrica). In u primu esempiu, NBP (DDP port 2) nantu à a reta 144.1 U node 209 vi mannava à ciò chì tocca à u portu 220 di u node netti netti spessi 112. A seconda linea hè a stessa, salvu chjamatu u nomu chjamatu di u node fonte ('office '). A terza linea hè un mannatu da u portu 235 nantu à u nottu nativu 149 nant'à u portu NBC è di l'icsd-net (nota chì l'indirizzu di broadcast (255) hè indicatu da un nome netu senza numero d'amputatore - per questa mutivu hè una bona idea per guardà nomi di u node è i netti neti solu in /etc/atalk.names).

U NBP (protokollu di ligami) è ATP (Appoliteu u prublemu di transaczione) sò u vostru contu interpretatu. L'altri protoculi justificà u nome di protokollu (o numme si u nome ùn hè registratu per u prublefu) è u pacchetta.

U pacenti NBP sò furmatu cum'è l'esempi seguenti:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

U primu ligna hè una dumanda di circunsioni per i lasergritori mannati da u net icsd l'anfitricu 112 è difende in nettu ghjessmag. U nbp id per u prezzi hè 190. A seconda linea mostra una risposta per sta dumanda (nota chì hè u stessu id) da u locale jssmag.209 chì dice chì hà un capitu laserwriter chjamatu "RM1140" in u portu 250. U terzu hè una altra risposta per a listessa ordine per esse urdinatore techpit hè u laserphriter "techpit" rigistratu nantu à u portu 186.

U formatting packet ATP hè statu dimustratu da stu esempiu:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 cresce aduprate a transazione di u 12266 cun elli chì si stende accunsente à 8 paquetes (u «<0-7> '). U numaru di hex à a fine di a linea hè u valore di u campu 'userdata' in a dumanda.

HELIOS responde cù 8 paesi di 512-byte. U numellu: dopu l'identità di transaccione aghjunghjenu u numicu di securie di packet in a transazzione è u numeru in parechje hè a quantità di dati in u pacchettu, escludendu l'encapçale ATP. U `* 'in u packet 7 indica chì u pocu di EOM hè stata data.

Jssmag.209 dumanda cusì chì i paceti 3 è 5 sò ritransmiminitizzati. HELIOS torna a vede in seguitu jssmag.209 allatta a transazzione. Infine, jssmag.209 inizio à a prublema propria. U «*» nantu à a dumanda indicare chì XO ('un'attera puntualmente') hè statu micca stabilitu.

IP Fragmentation

U datagrammi di Internet frammentati sò stampati

(frag ID : size @ offset +) (frag ID : size @ offset )

(A prima forma denota chì ci sò più fragments. U sicuru indicanu chì questu hè l'ultimu fragmentu).

Id è l'id fragment. U diminuu hè u tagliu di fragmentu (in bytes) senza cundizione l'intestammu IP. Offset hè questu fragnu (in bytes) in u datagram originale.

A informazione di fragmentu hè signalatu per ogni fragmentu. U primu pezzu cuntene l'altru di u protocolu di u nivellu altu è l'informazione per fugliale hè stampatu dopu l'infurmazione di u protocolu. Fragmenti dopu à u prima ùn cuntenenu micca un intrudu di u protocolu di u nivellu più altu è l'indipendente di fogliu hè stampatu da l'indirizzu fonte è di destinazione. Per esempiu, quì hè una parte di un ftp da arizona.edu à lbl-rtsg.arpa nantu à una cunnessione CSNET chì ùn mancu ùn mancanu 576 bytes di datagrammi:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 vanu 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 vende 2560

Ci hè parechje cose per falla quì: Prima, i indirizzi in a 2a linea ùn anu micca numbei di portu. Questu hè chì l'infurmazione di u protocolu TCP hè tutta in u primu fragmentu è ùn avemu micca idea chì u numaru di portu o securità sò quandu imprima i travaglii laterali. Sicunna, l'informazione di a seccuenza tcp in a prima linea hè stampata cum'è s'ellu ci era 308 bytes di data d'utilizatori quannu, in fattu, ci sò 512 bytes (308 in a prima fraga è 204 in a seconda). Sè vo site circate di voce in u spaziu di a secunna o à pruvà à affruntà acchi cù paquetes, questu pò ripusà.

Un pacìcu cù l'IP micca fragatto bandiera hè marcatu cun un difinimentu (DF) .

Timestamps

Per automaticamente, tutti i làrici di u viaghju sò preceduti da una marca timesta. U timestamp hè u tempu di u clocklike in a forma

hh: mm: ss.frac

è hè cusì precisu com'è u clock's kernel. U timestamp riflesse u tempu chì u kernel hà vistu u paese. Nisun tentativu hè fatta à contu per u lagu di u tempu entre quandu l'interfaccia d'ethernet eliminò u pacchettu da u filatu è quandu u kernel servì u "paese novu" interrompe.

VEU TALLAHU

trafficu (1C), nit (4P), bpf (4), pcap (3)

Impurtante: Utilizà l'ordine di u manu ( % man ) per vede cumu u cumandimu hè usatu in u vostru urdinatore particulari.