Tcpdump - Linux కమాండ్ - యునిక్స్ కమాండ్

NAME

ఒక నెట్వర్క్లో tcpdump - డంప్ ట్రాఫిక్

సంక్షిప్తముగా

tcpdump [ -adeflnNOpqRStuvxX ] [ -c లెక్కింపు ]

[ -C file_size ] [ -F ఫైల్ ]

[ -i ఇంటర్ఫేస్ ] [ -m మాడ్యూల్ ] [ -r ఫైలు ]

[ -s snaplen ] [ -T రకం ] [ -U యూజర్ ] [ -w ఫైల్ ]

[ -E algo: రహస్య ] [ వ్యక్తీకరణ ]

వివరణ

Tbpdump బూలియన్ వ్యక్తీకరణకు సరిపోయే నెట్వర్క్ ఇంటర్ఫేస్లో ప్యాకెట్ల శీర్షికలను ముద్రిస్తుంది. ఇది కూడా -w ఫ్లాగ్తో అమలు చేయబడుతుంది, ఇది ప్యాకెట్ డేటాను తరువాత విశ్లేషణ కోసం మరియు / లేదా -h ఫ్లాగ్తో సేవ్ చేస్తుంది, ఇది ప్యాకెట్లను చదవడానికి కాకుండా సేవ్ చేసిన ప్యాకెట్ ఫైల్ నుండి చదవడానికి కారణమవుతుంది నెట్వర్క్ ఇంటర్ఫేస్ నుండి. అన్ని సందర్భాలలో, వ్యక్తీకరణకు సరిపోలే ప్యాకెట్లు tcpdump చేత ప్రాసెస్ చేయబడతాయి.

Tcpdump , -c ఫ్లాగ్తో రన్ కాకపోతే, SIGINT సంకేతం (ఉదాహరణకు, మీ అంతరాయక అక్షరాలను టైప్ చేయడం ద్వారా, సాధారణంగా నియంత్రణ- C) లేదా SIGTERM సిగ్నల్ (సాధారణంగా కిల్ (1) కమాండ్); -c జెండాతో రన్ చేస్తే, అది SIGINT లేదా SIGTERM సిగ్నల్ లేదా పాకెట్ల నిర్దిష్ట సంఖ్యలో ప్రాసెస్ చేయబడటం వలన అది ప్యాకెట్లను పట్టుకుంటుంది.

ప్యాకెట్లను సంగ్రహిస్తూ tcpdump ముగుస్తుంది, అది యొక్క గణనలను నివేదిస్తుంది:

ప్యాకెట్లను `` వడపోత ద్వారా అందుకుంది '' (ఈ అర్ధం మీరు OS పై ఆధారపడి ఉంటుంది, ఇది మీరు tcpdump ను నడుపుతున్నారని మరియు బహుశా OS కాన్ఫిగర్ చేయబడిన మార్గంలో ఆధారపడి ఉంటుంది - కమాండ్ లైన్లో ఒక వడపోత నిర్దేశించినట్లయితే, కొన్ని ఓఎస్ఎస్లలో ప్యాకెట్లను అవి వడపోత వ్యక్తీకరణతో సరిపోలుతున్నాయని మరియు ఇతర OS లపై వడపోత వ్యక్తీకరణతో సరిపోయే ప్యాకెట్లు మాత్రమే లెక్కించబడతాయి మరియు tcpdump చేత ప్రాసెస్ చేయబడ్డాయి);

ప్యాకెట్లు `` కెర్నల్చే పడిపోయాయి '' (ఇది బఫర్ స్థలం లేకపోవటం వలన ప్యాకెట్ల సంఖ్య, OS లో రిపోర్ట్ చేసే సమాచారం OS లో నివేదించినట్లయితే, ఇది tcpdump నడుస్తున్న OS లో ప్యాకెట్ సంగ్రహణ విధానం ద్వారా; లేకపోతే, ఇది 0 గా నివేదించబడుతుంది).

SIGINFO సిగ్నల్ వంటి SIGINFO సిగ్నల్కు మద్దతు ఇచ్చే ప్లాట్ఫారమ్లలో, ఇది ఒక SIGINFO సిగ్నల్ (ఉదాహరణకు, మీ `` స్థితి '' అక్షరాన్ని టైప్ చేయడం ద్వారా, సాధారణంగా నియంత్రణ- T) టైప్ చేసి, ప్యాకెట్లను .

నెట్వర్క్ ఇంటర్ఫేస్ నుండి ప్యాకెట్లను చదవడం మీకు ప్రత్యేక అధికారాలు అవసరమని ఉండవచ్చు:

NIT లేదా BPF తో SunOS 3.x లేదా 4.x కింద:

మీరు / dev / nit లేదా / dev / bpf * కు యాక్సెస్ను చదవాలి.

DLPI తో Solaris కింద:

మీరు నెట్వర్క్ నకిలీ పరికరానికి చదవడానికి / వ్రాసే యాక్సెస్ కలిగి ఉండాలి, ఉదా. / Dev / le . సోలారిస్ యొక్క కొన్ని వెర్షన్లలో, tcpdump సంచార రీతిలో సంగ్రహించటానికి అనుమతించటానికి సరిపోదు; సోలారిస్ యొక్క ఆ సంస్కరణలపై, మీరు రూట్ అయి ఉండాలి, లేదా tcpdump తప్పనిసరిగా రూట్ చేయడానికి సెటూయిడ్ను తప్పనిసరిగా ఇన్స్టాల్ చేయాలి, ఇది సంకరమైన మోడ్లో సంగ్రహించడానికి. మీరు సంక్లిష్ట మోడ్లో పట్టుకోకపోతే చాలామంది (బహుశా అన్ని) ఇంటర్ఫేస్లు, మీరు ఏ అవుట్గోయింగ్ ప్యాకెట్లను చూడలేరని గమనించండి, కాబట్టి సంక్లిష్ట మోడ్లో చేయని క్యాప్చర్ చాలా ఉపయోగకరంగా ఉండకపోవచ్చు.

DLPI తో HP-UX క్రింద:

మీరు తప్పక root లేదా tcpdump తప్పక root కి సెటూట్ చేయాలి.

IRIX కింద స్నూప్తో:

మీరు తప్పక root లేదా tcpdump తప్పక root కి సెటూట్ చేయాలి.

Linux కింద:

మీరు తప్పక root లేదా tcpdump తప్పక root కి సెటూట్ చేయాలి.

Ultrix మరియు డిజిటల్ UNIX / Tru64 కింద UNIX:

ఏదైనా వినియోగదారుడు నెట్వర్క్ ట్రాఫిక్ను tcpdump తో పట్టుకోవచ్చు. అయినప్పటికీ, సూపర్-యూజర్ pfconfig (8) ను ఉపయోగించి ఆ ఇంటర్ఫేస్లో ప్రత్యామ్నాయ -మోడ్ ఆపరేషన్ను ఎనేబుల్ చేయకపోతే వినియోగదారుడు (సూపర్-యూజర్ కూడా కాదు) ఒక ప్రత్యామ్నాయంలో ప్రత్యామ్నాయ మోడ్లో సంగ్రహించవచ్చు , ) ఇంటర్ఫేస్పై సూపర్-యూజర్ కాపీ-ఆల్-మోడ్ ఆపరేషన్ను pfconfig వుపయోగించి, ఇంటర్ఫేస్లో ఉపయోగకరమైన ప్యాకెట్ క్యాప్చర్ను ఉపయోగించుకోకపోతే, ఇంటర్ఫేస్లో యంత్రం ద్వారా పంపిన లేదా పంపిన ఏకీకృత ట్రాఫిక్ను క్యాప్చర్ చేయవచ్చు. -అన-మోడ్ ఆపరేషన్, లేదా రెండు ఆపరేషన్ రీతులు, ఆ ఇంటర్ఫేస్లో ప్రారంభించబడతాయి.

BSD కింద:

మీరు / dev / bpf * కు యాక్సెస్ను చదవాలి.

సేవ్ చేయబడిన ప్యాకెట్ ఫైల్ను పఠించడం ప్రత్యేక అధికారాలను అవసరం లేదు.

OPTIONS

-a

నెట్వర్క్ మరియు ప్రసార చిరునామాలను పేర్లకు మార్చడానికి ప్రయత్నం.

-c

COUNT ప్యాకెట్లను స్వీకరించిన తర్వాత నిష్క్రమించండి.

-C

ఒక ముడి ప్యాకెట్ను సేవ్ ఫైల్కు రాయడానికి ముందు, file_size కంటే ఫైల్ ప్రస్తుతం పెద్దది కాదా అని తనిఖీ చేయండి, అలా అయితే, ప్రస్తుత savefile ను మూసివేసి, క్రొత్తదాన్ని తెరవండి. మొదటి savefile తరువాత -f జెండర్తో పేరు పెట్టబడిన తరువాత Savefiles పేరుతో ఒక సంఖ్యను కలిగి ఉంటుంది, ఇది 2 తరువాత మొదలుకొని పైకి కొనసాగుతుంది. File_size యూనిట్లు మిలియన్ల బైట్లు (1,000,000 బైట్లు, 1,048,576 బైట్లు కాదు).

-d

సంకలనం చేసిన పాకెట్-మ్యాచింగ్ కోడ్ని మానవ రీడబుల్ రూపంలో ప్రామాణిక అవుట్పుట్ మరియు ఆపడానికి డంప్ చేయండి.

-dd

ప్యాకెట్-మ్యాచింగ్ కోడ్ను C ప్రోగ్రామ్ ఫ్రాగ్మెంటుగా డంప్ చేయండి.

-ddd

ప్యాకెట్-సరిపోలే కోడ్ను దశాంశ సంఖ్యల వలె (కౌంట్తో ముందే) డంప్ చేయండి.

-e

ప్రతి డంప్ పంక్తిలో లింక్-స్థాయి శీర్షికను ముద్రించండి.

-E

Algo ని ఉపయోగించండి : IPsec ESP ప్యాకెట్లను వ్యక్తీకరించడానికి రహస్య . అల్గోరిథంలు డెస్- సిబిసి , 3 డిఎస్-సిబిసి , బ్లోఫిష్- సిబిసి , rc3-cbc , cast128-cbc లేదా none . డిఫాల్ట్ des-cbc . Tcpdump ని గూఢ లిపి ఎనేబుల్ చేయబడితే, ప్యాకెట్లను డిక్రిప్టు చేయగల సామర్ధ్యం మాత్రమే ఉంటుంది. ESP రహస్య కీ కోసం ascii టెక్స్ట్ రహస్య. మేము ఈ సమయంలో ఏకపక్ష బైనరీ విలువను తీసుకోలేము. ఈ ఎంపికను RFC2406 ESP, RFC1827 ESP కాదు. ఎంపికను డీబగ్గింగ్ ప్రయోజనాలకు మాత్రమే, మరియు ఈ ఎంపికను నిజంగా `రహస్య 'కీతో నిరుత్సాహపరుస్తుంది. IPsec రహస్య కీని ఆదేశ పంక్తికి ప్రదర్శించడం ద్వారా మీరు ఇతరులకు ps (1) మరియు ఇతర సందర్భాలలో కనిపించేలా చూస్తారు .

-f

ప్రింట్ 'విదేశీ' ఇంటర్నెట్ చిరునామాలు ప్రతీకగా కాకుండా (ఈ ఎంపికను సన్ యొక్క yp సర్వర్లో తీవ్రమైన మెదడు నష్టం కలిగించడానికి ఉద్దేశించబడింది --- ఇది సాధారణంగా ఎన్నో స్థానిక ఇంటర్నెట్ నంబర్లను అనువదిస్తుంది).

-F

వడపోత వ్యక్తీకరణకు ఇన్పుట్గా ఫైల్ను ఉపయోగించండి. కమాండ్ లైన్పై ఇచ్చిన అదనపు వ్యక్తీకరణ విస్మరించబడుతుంది.

-i

ఇంటర్ఫేస్లో వినండి. నిర్దేశించకపోతే, tcpdump సిస్టమ్ ఇంటర్ఫేస్ జాబితాను తక్కువ సంఖ్యలో, కాన్ఫిగర్ అప్ ఇంటర్ఫేస్ (లూప్బ్యాక్ మినహాయించి) కోసం శోధిస్తుంది. తొలి మ్యాచ్ ఎంచుకోవడం ద్వారా టైలు విరిగిపోతాయి.

2.2 లేదా తదుపరి కెర్నల్లతో లైనక్స్ సిస్టమ్స్లో, "ఏ" యొక్క ఇంటర్ఫేస్ వాదనను అన్ని ఇంటర్ఫేస్ల నుండి ప్యాకెట్లను పట్టుకోడానికి ఉపయోగించవచ్చు. 'ఏ' 'పరికరంలోని సంగ్రహాలూ సంభవనీయ మోడ్లో చేయలేదని గమనించండి.

-l

స్టెవాట్ లైన్ బఫర్ చేయబడుతుంది. డేటాను సంగ్రహించేటప్పుడు మీరు చూడాలనుకుంటే ఉపయోగపడుతుంది. ఉదా,
`` tcpdump -l | టీ 'లేదా' 'tcpdump -l> డాట్ & టెయిల్-ఎఫ్ దట్' '.

-m

ఫైల్ మాడ్యూల్ నుండి SMI MIB మాడ్యూల్ నిర్వచనాలను లోడ్ చేయండి. Tcpdump లోకి అనేక MIB గుణకాలు లోడ్ చేయుటకు ఈ ఐచ్చికము చాలాసార్లు వాడబడుతుంది.

-n

హోస్ట్ చిరునామాలను పేర్లకు మార్చకండి. ఇది DNS శోధనలను నివారించడానికి ఉపయోగించబడుతుంది.

-nn

ప్రోటోకాల్ మరియు పోర్ట్ సంఖ్యలను పేర్లకు మార్చడం లేదు.

-n

హోస్ట్ పేర్ల డొమైన్ పేరు అర్హతను ప్రింట్ చేయవద్దు. ఉదా, మీరు ఈ జెండాని ఇచ్చినట్లయితే, అప్పుడు tcpdump `` nic.ddn.mil '' కు బదులుగా `` nic '' ను ముద్రిస్తుంది.

-O

ప్యాకెట్-సరిపోలే కోడ్ ఆప్టిమైజర్ను అమలు చేయవద్దు. మీరు Optimizer లో బగ్ ను అనుమానించినప్పుడు మాత్రమే ఇది ఉపయోగపడుతుంది.

-p

ఇంటర్ఫేస్ను సంక్లిష్ట మోడ్లో ఉంచవద్దు. కొన్ని ఇతర కారణాల వలన ఇంటర్ఫేస్ పరస్పర మోడ్లో ఉండవచ్చని గమనించండి; అందువలన, '-p' కోసం 'ఈథర్ హోస్ట్ {local-hw-addr} లేదా ఈథర్ ప్రసారం' కోసం సంక్షిప్త పదంగా ఉపయోగించలేము.

-q

త్వరిత (నిశ్శబ్ద?) అవుట్పుట్. తక్కువ ప్రోటోకాల్ సమాచారం ముద్రించండి కాబట్టి అవుట్పుట్ పంక్తులు తక్కువగా ఉంటాయి.

-R

పాత స్పెసిఫికేషన్ (RFC1825 నుండి RFC1829 కు) ఆధారంగా ESP / AH ప్యాకెట్లను ఊహించుకోండి. పేర్కొన్నట్లయితే, tcpdump రీప్లే నిరోధం ఫీల్డ్ను ముద్రించదు. ESP / AH స్పెసిఫికేషన్లో ప్రోటోకాల్ వర్షన్ ఫీల్డ్ లేనందున, tcpdump ESP / AH ప్రోటోకాల్ యొక్క వెర్షన్ను రాబట్టదు .

-r

ఫైలు నుండి ప్యాకెట్లను చదవండి (ఇది -w ఐచ్చికంతో సృష్టించబడింది). ఫైల్ `` - '' ఉంటే ప్రామాణిక ఇన్పుట్ ఉపయోగించబడుతుంది.

-S

TCP సీక్వెన్స్ నంబర్ల కంటే సంపూర్ణ ముద్రణ.

-s

68 యొక్క డిఫాల్ట్ (SunOS యొక్క NIT తో, కనిష్ట నిజానికి 96) కాకుండా ప్రతి ప్యాకెట్ నుండి డేటా యొక్క Snarf snaplen బైట్లు. 68 బైట్లు IP, ICMP, TCP మరియు UDP కోసం సరిపోతాయి, కాని పేరు సర్వర్ మరియు NFS ప్యాకెట్ల నుండి ప్రోటోకాల్ సమాచారాన్ని కత్తిరించవచ్చు (క్రింద చూడండి). పరిమిత స్నాప్షాట్ కారణంగా అవుట్పుట్లో సూచించబడిన ప్యాకెట్లు `` [| ప్రోటో ] '', పేరు ప్రోటోకాల్ స్థాయి పేరు ప్రోటో అనే పేరు ఏర్పడింది. పెద్ద స్నాప్షాట్లను తీసుకొని రెండు ప్యాకెట్లను ప్రాసెస్ చేయడానికి సమయం పడుతుంది మరియు ప్యాకెట్ బఫరింగ్ మొత్తాన్ని తగ్గిస్తుంది. ఇది ప్యాకెట్లను కోల్పోవడానికి కారణం కావచ్చు. మీకు ఆసక్తి ఉన్న ప్రోటోకాల్ సమాచారాన్ని స్నాప్లైన్ అతిచిన్న సంఖ్యకు మీరు పరిమితం చేయాలి. స్నాప్లైన్ను 0 కి సెట్ చేయడం అంటే మొత్తం ప్యాకెట్లను పట్టుకోవడానికి అవసరమైన పొడవును ఉపయోగించడం.

-T

పేర్కొన్న రకాన్ని అర్థం చేసుకోవడానికి " వ్యక్తీకరణ " ద్వారా ఫోర్స్ ప్యాకెట్లను ఎంపిక చేస్తారు. ప్రస్తుతం తెలిసిన రకాలు cnfp (సిస్కో నెట్ఫ్లో ప్రోటోకాల్), rpc (రిమోట్ ప్రొసీజర్ కాల్), rtp (రియల్-టైమ్ అప్లికేషన్స్ ప్రోటోకాల్), rtcp (రియల్-టైం అప్లికేషన్స్ కంట్రోల్ ప్రొటోకాల్), snmp (సింపుల్ నెట్వర్క్ మేనేజ్మెంట్ ప్రోటోకాల్), VAT (విజువల్ ఆడియో టూల్ ), మరియు wb (పంపిణీ వైట్ బోర్డు).

-t

ప్రతి డంప్ లైన్లో ఒక స్టాంప్ ప్రింట్ చేయవద్దు .

-tt

ప్రతి డంప్ లైన్లో ఫార్మాట్ చేయని సమయ ముద్ర.

-U

యూజర్ ప్రాథమిక ID సమూహం వినియోగదారు మరియు సమూహం ID కు యూజర్ ID ను రూట్ అధికారాలను మరియు మార్పులను డ్రాప్స్ చేస్తుంది.

గమనిక! వేరే ఏదీ పేర్కొనకపోతే, Red Hat Linux స్వయంచాలకంగా "pcap" కు ప్రత్యేక అధికారాలను వదిలివేస్తుంది.

-ttt

ప్రతి డంప్ పంక్తిలో ప్రస్తుత మరియు మునుపటి పంక్తి మధ్య ఒక డెల్టా (సూక్ష్మ సెకన్లలో) ముద్రించండి.

-tttt

ప్రతి డంప్ పంక్తిలో తేదీ ముగిసే డిఫాల్ట్ ఫార్మాట్లో టైమ్స్టాంప్ను ముద్రించండి.

-u

Unecoded NFS హ్యాండిల్స్ ముద్రించు.

-v

(కొంచెం ఎక్కువ) వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, ఒక IP ప్యాకెట్లో నివసించడానికి, గుర్తింపును, మొత్తం పొడవు మరియు ఎంపికల సమయాన్ని ముద్రిస్తుంది. IP మరియు ICMP శీర్షిక చెక్సమ్ను ధృవీకరించడం వంటి అదనపు ప్యాకెట్ సమగ్రత తనిఖీలను కూడా ప్రారంభిస్తుంది.

-vv

మరింత వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, అదనపు ఖాళీలను NFS ప్రత్యుత్తరం ప్యాకెట్ల నుండి ముద్రించబడతాయి మరియు SMB ప్యాకెట్లను పూర్తిగా డీకోడ్ చేయబడతాయి.

-vvv

మరింత వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, telnet SB ... SE ఐచ్ఛికాలు పూర్తిగా ముద్రించబడతాయి. -X టెలెనెట్ ఎంపికలు హెక్స్లో ముద్రించబడతాయి.

మీరు- W

ముడి ప్యాకెట్లను అన్వయించడం మరియు వాటిని ముద్రించడం కాకుండా ఫైల్ చేయడానికి వ్రాయండి. అవి -r ఐచ్ఛికంతో ముద్రించబడతాయి. ఫైలు `` - '' ఉంటే ప్రామాణిక అవుట్పుట్ ఉపయోగించబడుతుంది.

-x

ప్రతి ప్యాకెట్ (దాని లింక్ స్థాయి హెడర్ను మైనస్) హెక్స్లో ముద్రించండి. మొత్తం ప్యాకెట్ లేదా స్నాప్లైన్ బైట్స్ యొక్క చిన్నవి ముద్రించబడతాయి. ఇది మొత్తం లింక్ లేయర్ ప్యాకెట్ అని గమనించండి, కాబట్టి ప్యాడ్ (ఉదా. ఈథర్నెట్) లింక్ పొరల కోసం, పాడింగ్ పైట్లు కూడా అవసరమైన పాడింగ్ కంటే ఎక్కువ పొర ప్యాకెట్ తక్కువగా ఉన్నప్పుడు ముద్రించబడతాయి.

-X

హెక్స్ను ముద్రిస్తున్నప్పుడు, అష్టీని కూడా ముద్రించండి. -x కూడా సెట్ చేయబడితే, ప్యాకెట్ను హెక్స్ / అస్సీలో ముద్రిస్తుంది. కొత్త ప్రోటోకాల్స్ విశ్లేషించడానికి ఇది చాలా సులభ ఉంది. -x కూడా సెట్ చేయకపోయినా, కొన్ని ప్యాకెట్ల యొక్క కొన్ని భాగాలు హెక్స్ / అస్సిసిలో ముద్రించబడవచ్చు.

వ్యక్తీకరణ

ప్యాకెట్లను ఎక్కడ వదిలేస్తారో ఎంపిక చేస్తుంది. వ్యక్తీకరణ ఇవ్వబడకపోతే, నికర అన్ని ప్యాకెట్లను డంప్ చేయబడుతుంది. లేకపోతే, వ్యక్తీకరణ అనేది 'నిజమైనది' కోసం మాత్రమే ప్యాకెట్లను వదిలేయబడుతుంది.

వ్యక్తీకరణలో ఒకటి లేదా అంతకంటే ఎక్కువ ప్రైమటివ్లు ఉంటాయి. ప్రైమటివ్స్ సాధారణంగా ఒక id (పేరు లేదా సంఖ్య) ఒకటి లేదా అంతకన్నా ఎక్కువ క్వాలిఫైయర్ల ముందు ఉంటాయి. మూడు విభిన్న రకాలైన క్వాలిఫైయర్లు ఉన్నాయి:

రకం

అర్హతలు ఏమిటంటే ID పేరు లేదా సంఖ్యను సూచిస్తుంది. సాధ్యమయ్యే రకాలు హోస్ట్ , నెట్ మరియు పోర్ట్ . ఉదా, `హోస్ట్ ఫూ ',` నికర 128.3', `పోర్ట్ 20 '. ఏ రకం క్వాలిఫైయర్ లేకపోతే, హోస్ట్ ఊహించబడుతుంది.

dir

క్వాలిఫైర్లు ఒక నిర్దిష్ట బదిలీ దిశను మరియు / లేదా ఐడి నుండి పేర్కొంటాయి. సాధ్యమైన ఆదేశాలు src , dst , src లేదా dst మరియు src మరియు dst . ఉదా, `src foo ',` dst net 128.3', `src లేదా dst పోర్ట్ ftp-data '. ఏ డీ క్వాలిఫైయర్ లేకపోతే, src లేదా dst ఊహిస్తారు. 'నల్లీ' లింక్ పొరలు (అనగా స్లిప్ వంటి ప్రోటోకాల్లను సూచించడానికి బిందువు) కోసం ఇన్బౌండ్ మరియు అవుట్బౌండ్ క్వాలిఫయర్లు కావలసిన దిశను పేర్కొనడానికి ఉపయోగించవచ్చు.

ప్రోటో

క్వాలిఫైర్లు ఒక నిర్దిష్ట ప్రోటోకాల్కు ఆటని నియంత్రిస్తాయి. సాధ్యమయ్యే ప్రోటోస్: ఈథర్ , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp మరియు udp . ఉదా, `ఈథర్ src foo ',` arp net 128.3', `tcp port 21 '. ప్రోటో క్వాలిఫైయర్ లేనట్లయితే, రకానికి చెందిన అన్ని ప్రోటోకాల్లు ఊహించబడతాయి. ఉదా, `src foo 'అంటే` (ip లేదా arp లేదా rarp) src foo' (తరువాతి చట్టపరమైన సింటాక్స్ కాదు), `net bar 'అంటే` (ip లేదా arp లేదా rarp) నెట్ బార్' మరియు 'port 53' `(tcp లేదా udp) పోర్ట్ 53 '.

[`fddi 'నిజానికి` ఈథర్' కోసం ఒక అలియాస్; ఈ పార్సర్ వాటిని పేర్కొన్న నెట్వర్క్ ఇంటర్ఫేస్లో ఉపయోగించిన డేటా లింక్ స్థాయిని సూచిస్తుంది. '' FDDI శీర్షికలు ఈథర్నెట్-వంటి మూలం మరియు గమ్య చిరునామాలను కలిగి ఉంటాయి మరియు తరచుగా ఈథర్నెట్-వంటి ప్యాకెట్ రకాలను కలిగి ఉంటాయి, కాబట్టి మీరు ఈ FDDI ఫీల్డ్లలో సారూప్య ఈథర్నెట్ క్షేత్రాలతోనే. FDDI శీర్షికలు కూడా ఇతర రంగాలను కలిగి ఉంటాయి, కానీ మీరు వాటిని ఫిల్టర్ ఎక్స్పెషన్లో స్పష్టంగా పేర్కొనలేరు.

అదేవిధంగా, `ఈర్ 'కోసం` tr' అలియాస్; FDDI శీర్షికల గురించి మునుపటి పేరా యొక్క ప్రకటనలు కూడా టోకెన్ రింగ్ శీర్షికలకు వర్తిస్తాయి.]

పైకి అదనంగా, నమూనాను అనుసరించని కొన్ని ప్రత్యేక "ప్రాచీన" కీలక పదాలు ఉన్నాయి: గేట్వే , ప్రసారం , తక్కువ , ఎక్కువ మరియు అంకగణిత వ్యక్తీకరణలు. ఇవి అన్ని క్రింద వివరించబడ్డాయి.

మరిన్ని సంక్లిష్టమైన వడపోత వ్యక్తీకరణలు పదాలు మరియు , లేదా మూలాన్ని కలపకుండా ఉపయోగించడం ద్వారా నిర్మించబడతాయి. ఉదా, `హోస్ట్ ఫూ మరియు పోర్ట్ ఫోర్ట్ కాదు మరియు పోర్ట్ ftp-data 'కాదు. టైపింగ్ను సేవ్ చేయడానికి, ఒకేలా క్వాలిఫైయర్ జాబితాలను తొలగించవచ్చు. ఉదా, `tcp dst పోర్ట్ ftp లేదా ftp-data లేదా డొమైన్ 'సరిగ్గా` tcp dst పోర్ట్ ftp లేదా tcp dst పోర్ట్ ftp-data లేదా tcp dst పోర్ట్ డొమైన్.

అనుమతించదగిన ప్రాథమికాలు:

dst హోస్ట్ హోస్ట్

ప్యాకెట్ యొక్క IPv4 / v6 గమ్యం ఫీల్డ్ హోస్ట్ అయినట్లయితే, అది చిరునామా లేదా పేరు కావచ్చు.

src హోస్ట్ హోస్ట్

ప్యాకెట్ యొక్క IPv4 / v6 మూల క్షేత్రం హోస్ట్ అయితే ట్రూ.

హోస్ట్ హోస్ట్

ప్యాకెట్ యొక్క IPv4 / v6 మూలం లేదా గమ్యం హోస్ట్ అయితే ట్రూ. పైన హోస్ట్ ఎక్స్ప్రెషన్స్లో ఏవైనా కీలక పదాలతో, ip , arp , rarp , లేదా ip6 తో ముందే చేయబడతాయి:

ip హోస్ట్ హోస్ట్

ఇది సమానంగా ఉంటుంది:

ఈథర్ ప్రొటో \ ip మరియు హోస్ట్ హోస్ట్

హోస్ట్ బహుళ IP చిరునామాలతో ఒక పేరు అయితే, ప్రతి చిరునామా మ్యాచ్ కోసం తనిఖీ చేయబడుతుంది.

ఈథర్ dst ehost

ఇథర్నెట్ గమ్య చిరునామా ehost అయితే ట్రూ. Ehost / etc / ethers నుండి లేదా ఒక సంఖ్య (సంఖ్యా ఫార్మాట్ కోసం ఈథర్లు (3N) చూడండి) గా ఉండవచ్చు.

ఈథర్ src ehost

ఇథర్నెట్ సోర్స్ చిరునామా ehost ఉంటే ట్రూ.

ఈథర్ హోస్ట్ ఎహోస్ట్

ఈథర్నెట్ మూలం లేదా గమ్యం చిరునామా ఉంటే అది నిజమే.

గేట్వే హోస్ట్

వాస్తవానికి ప్యాకెట్ హోస్ట్గా గేట్వేగా ఉపయోగించినట్లయితే ట్రూ. అంటే, ఈథర్నెట్ మూలం లేదా గమ్యస్థాన చిరునామా హోస్ట్ కాని IP మూలం లేదా ఐపి గమ్యం హోస్ట్ కాదు . హోస్ట్ తప్పనిసరిగా ఒక పేరు అయి ఉండాలి మరియు యంత్రం యొక్క హోస్ట్-నేమ్-ఐ-పి-ఐ-పిన్ రిజల్యూషన్ పరిష్కార యంత్రాంగం (హోస్ట్ పేరు ఫైల్, DNS, NIS, మొదలైనవి) మరియు యంత్రం యొక్క హోస్ట్-నేమ్-టు-ఈథర్నెట్-అడ్రస్ రిజల్యూషన్ యంత్రాంగం (/ etc / ethers, మొదలైనవి). (సమానమైన వ్యక్తీకరణ

ఈథర్ హోస్ట్ ఎహోస్ట్ మరియు హోస్ట్ హోస్ట్ కాదు

ఇది host / ehost కొరకు పేర్లు లేదా సంఖ్యలతో వాడవచ్చు.) ఈ సింటాక్స్ ఈ సమయంలో IPv6- ప్రారంభించబడిన ఆకృతీకరణలో పనిచేయదు.

dst net net

పాకెట్ యొక్క IPv4 / v6 గమ్యం చిరునామా నికర నెట్వర్క్ సంఖ్యను కలిగి ఉంటే ట్రూ. నికర / etc / networks నుండి లేదా ఒక నెట్వర్క్ నంబరు గాని కావచ్చు ( వివరాలకు నెట్వర్క్లను చూడండి).

src నెట్ నికర

పాకెట్ యొక్క IPv4 / v6 సందేశ చిరునామా నెట్ యొక్క నెట్వర్క్ సంఖ్యను కలిగి ఉంటే ట్రూ.

నెట్ నికర

పాకెట్ యొక్క IPv4 / v6 మూలం లేదా గమ్యస్థాన చిరునామాను నెట్ వర్క్ యొక్క నెట్వర్క్ సంఖ్య కలిగి ఉంటే ట్రూ.

నికర నెట్ మాస్క్ నెట్ మాస్క్

IP చిరునామా ఖచ్చితమైన నెట్మాస్క్తో నికరతో సమానంగా ఉంటే . Src లేదా dst తో అర్హత పొందవచ్చు. IPv6 నెట్ కొరకు ఈ వాక్యనిర్మాణం చెల్లుబాటు కాదని గమనించండి.

నెట్ నెట్ / లెన్

IPv4 / v6 చిరునామా నికర మాస్క్ లెన్ బిట్స్ వెడల్పుతో సమానమైతే ట్రూ. Src లేదా dst తో అర్హత పొందవచ్చు.

dst పోర్ట్ పోర్ట్

పాకెట్ ip / tcp, ip / udp, ip6 / tcp లేదా ip6 / udp మరియు పోర్ట్ యొక్క గమ్యం పోర్ట్ విలువ కలిగివుంటే ట్రూ. పోర్ట్ / etc / services లో ఉపయోగించే సంఖ్య లేదా పేరు ( tcp (4P) మరియు udp (4P) లో చూడవచ్చు. ఒక పేరు ఉపయోగించినట్లయితే, పోర్ట్ సంఖ్య మరియు ప్రోటోకాల్ రెండూ తనిఖీ చేయబడతాయి. ఒక సంఖ్య లేదా సందిగ్ధమైన పేరు వాడబడుతుంటే, పోర్టు సంఖ్య మాత్రమే తనిఖీ చేయబడుతుంది (ఉదా., Dst పోర్ట్ 513 tcp / లాగిన్ ట్రాఫిక్ మరియు udp / ట్రాఫిక్ను ప్రింట్ చేస్తుంది మరియు పోర్ట్ డొమైన్ tcp / డొమైన్ మరియు udp / డొమైన్ ట్రాఫిక్ రెండింటినీ ప్రింట్ చేస్తుంది).

src పోర్ట్ పోర్ట్

పాకెట్ పోర్ట్ యొక్క మూలం పోర్ట్ విలువ కలిగివుంటే ట్రూ.

పోర్ట్ పోర్ట్

ప్యాకెట్ యొక్క సోర్స్ లేదా గమ్యం పోర్ట్ అయినట్లయితే, పోర్ట్ అవుతుంది . పైన పేర్కొన్న పోర్ట్ ఎక్స్ప్రెషన్స్లో కీలక పదాలు, tcp లేదా udp లతో ముందటివిగా ఉంటాయి :

tcp src పోర్ట్ పోర్ట్

ఇది సోర్స్ పోర్టు పోర్టు మాత్రమే tcp ప్యాకెట్లను సరిపోతుంది.

తక్కువ పొడవు

ప్యాకెట్ పొడవు కంటే పొడవు లేదా సమానంగా ఉన్నట్లయితే ట్రూ. ఇది సమానం

len <= పొడవు .

ఎక్కువ పొడవు

ప్యాకెట్ పొడవు ఎక్కువ లేదా పొడవుకు సమానంగా ఉన్నట్లయితే ట్రూ. ఇది సమానం

len> = పొడవు .

ip ప్రోటో ప్రోటోకాల్

ప్యాకెట్ అనేది ఐపి ప్యాకెట్ (ట్రూ ప్రోటోకాల్ రకం ప్రోటోకాల్ యొక్క IP (4P) చూడండి. ప్రోటోకాల్ ఐ.పి.ఎమ్పి , ఐసిఎంపి 6 , igmp , igrp , పిమ్ , అహ్ , ఎఎస్పి , వ్ర్రబ్ , udp లేదా tcp పేర్లలో ఒక సంఖ్య లేదా ఒకటి. గుర్తింపుదారులు tcp , udp , మరియు icmp లు కూడా కీలకమైనవి మరియు C- షెల్ లో \\ వెనుక ఉన్న బ్యాక్లాష్ (\) ద్వారా తప్పించుకోవాలి. ఈ ఆదిమ ప్రోటోకాల్ శీర్షిక గొలుసును వెంటాడదు.

ip6 ప్రోటో ప్రోటోకాల్

ప్యాకెట్ అనునది ప్రోటోకాల్ టైప్ ప్రోటోకాల్ యొక్క IPv6 పాకెట్. ఈ ఆదిమ ప్రోటోకాల్ శీర్షిక గొలుసును వెంటాడదు.

ip6 ప్రోటోకాన్ ప్రోటోకాల్

ప్యాకెట్ IPv6 ప్యాకెట్ అయితే, దాని ప్రోటోకాల్ శీర్షిక చైన్లో టైప్ ప్రోటోకాల్తో ప్రోటోకాల్ శీర్షిక ఉంటుంది. ఉదాహరణకి,

ip6 ప్రోటోచ్ 6

ప్రోటోకాల్ హెడర్ చైన్లో TCP ప్రోటోకాల్ శీర్షికతో ఏదైనా IPv6 ప్యాకెట్కు సరిపోతుంది. IPv6 శీర్షిక మరియు TCP హెడర్ మధ్య, ప్యాకెట్, ఉదాహరణకు, ధృవీకరణ శీర్షిక, రౌటింగ్ శీర్షిక లేదా హాప్-హాప్ ఎంపిక హెడర్ కలిగి ఉండవచ్చు. ఈ ఆదిమ ద్వారా విడుదలైన BPF కోడ్ సంక్లిష్టమైనది మరియు tcpdump లో BPF ఆప్టిమైజర్ కోడ్ ద్వారా ఆప్టిమైజ్ చేయబడదు, కాబట్టి ఇది కొంతవరకు నెమ్మదిగా ఉంటుంది.

ip ప్రోటోకాన్ ప్రోటోకాల్

IP6 ప్రోటోకాన్ ప్రోటోకాల్కు సమానమైనది, కానీ ఇది IPv4 కోసం.

ఈథర్ ప్రసారం

ప్యాకెట్ ఒక ఈథర్నెట్ ప్రసార ప్యాకెట్ అయితే ట్రూ. ఈథర్ కీవర్డ్ ఐచ్ఛికం.

ip ప్రసారం

ప్యాకెట్ అనేది ఒక IP ప్రసార ప్యాకెట్ అయితే ట్రూ. ఇది అన్ని సున్నాలను మరియు అన్ని-వాటి ప్రసారాల కన్వెన్షన్లను తనిఖీ చేస్తుంది మరియు స్థానిక సబ్నెట్ ముసుగును చూస్తుంది.

ఈథర్ మల్టీకస్ట్

ప్యాకెట్ ఒక ఈథర్నెట్ మల్టికాస్ట్ ప్యాకెట్ అయితే ట్రూ. ఈథర్ కీవర్డ్ ఐచ్ఛికం. ఇది ఈథర్ [0] & 1! = 0 'కోసం సంక్షిప్త రూపం.

ip మల్టికాస్ట్

ప్యాకెట్ అనేది IP మల్టికాస్ట్ ప్యాకెట్ అయితే ట్రూ.

ip6 మల్టీకాస్ట్

ప్యాకెట్ అనేది IPv6 మల్టీకాస్ట్ ప్యాకెట్ అయితే ట్రూ.

ఈథర్ ప్రొటో ప్రోటోకాల్

ప్యాకెట్ ఈథర్ రకం ప్రోటోకాల్ అయితే ట్రూ. ప్రోటోకాల్ IP , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx లేదా netbeui పేర్లలో ఒక సంఖ్య లేదా ఒకటి. ఈ ఐడెంటిఫైయర్ లు కూడా కీలకమైనవి మరియు బ్యాక్లాష్ (\) ద్వారా తప్పించుకోవాలి.

ఈ ప్రోటోకాల్లలో చాలా వరకు , FDDI (ఉదా., ` Fddi ప్రోటోకాల్ ఆర్ప్ ') మరియు టోకెన్ రింగ్ (ఉదా., ట్రో ప్రొటోకాల్ ఆర్ప్ ) యొక్క విషయంలో, ప్రోటోకాల్ గుర్తింపు 802.2 లాజికల్ లింక్ కంట్రోల్ (LLC) శీర్షిక నుండి వస్తుంది సాధారణంగా FDDI లేదా టోకెన్ రింగ్ శీర్షిక పైన పొరలుగా ఉంటుంది.

FDDI లేదా టోకెన్ రింగ్లో చాలా ప్రోటోకాల్ ఐడెంటిఫైయర్లకు ఫిల్టర్ చేసేటప్పుడు, tcpdump SNAP ఆకృతిలోని ఒక LLC శీర్షిక యొక్క ప్రోటోకాల్ ఐడి ఫీల్డ్ను 0x000000 యొక్క ఒక సంస్థ యూనిట్ ఐడెంటిఫయర్ (OUI) తో చుట్టబడిన ఈథర్నెట్ కోసం తనిఖీ చేస్తుంది; ఇది ప్యాక్ SNAP ఆకృతిలో 0x000000 యొక్క OUI తో ఉన్నదో లేదో తనిఖీ చేయదు.

ఇది మినహాయింపులు ఐసో , దీనికి DSAP (డెస్టినేషన్ సర్వీస్ యాక్సెస్ పాయింట్) మరియు LLC శీర్షిక, STP మరియు నెట్బియా యొక్క SSAP (మూలం సర్వీస్ యాక్సెస్ పాయింట్) క్షేత్రాలను తనిఖీ చేస్తుంది, ఇక్కడ అది LLC శీర్షిక యొక్క DSAP ను తనిఖీ చేస్తుంది, 0x080007 యొక్క OUI మరియు Appletalk ఎటైప్తో SNAP- ఫార్మాట్ ప్యాకెట్ కోసం తనిఖీ చేస్తుంది.

ఈథర్నెట్ విషయంలో, tcpdump ఈ ప్రోటోకాల్స్కు ఈథర్నెట్ రకాన్ని తనిఖీ చేస్తుంది; మినహాయింపులు iso , sap మరియు netbeui , ఇది ఒక 802.3 ఫ్రేమ్ కొరకు తనిఖీ చేసి FDDI మరియు టోకెన్ రింగ్, అటాక్ కోసం LLC శీర్షికను తనిఖీ చేస్తుంది, ఇక్కడ ఎటాక్టాక్ ఎటిప్ కోసం ఒక ఈథర్నెట్ చట్రంలో మరియు FDDI మరియు టోకెన్ రింగ్, ఆరప్ కోసం SNAP- ఫార్మాట్ ప్యాకెట్, ఇది యాప్టాల్క్ ARP ఎటిప్ట్ కోసం ఒక ఈథర్నెట్ ఫ్రేమ్ లేదా ఒక 802.2 SNAP చట్రం 0x000000 యొక్క OUI తో, మరియు IPX లో తనిఖీ చేస్తుంది, ఇక్కడ IPX ఎటిప్ప్ కోసం తనిఖీ చేస్తుంది ఒక ఈథర్నెట్ ఫ్రేమ్, LLC శీర్షికలో IPX DSAP, 802.3 ఐపిఎక్స్ యొక్క ఎల్.వి.ఎల్ శీర్షిక ఎన్కప్స్యులేషన్ మరియు ఒక SNAP చట్రంలో IPX ఎటిప్ట్.]

decnet src host

DECNET సోర్స్ చిరునామా హోస్ట్ అయినట్లయితే, ఇది `` 10.123 '' లేదా ఒక DECNET హోస్ట్ పేరు యొక్క చిరునామాగా ఉండవచ్చు. [DECNET అమలు చేయడానికి కాన్ఫిగర్ చేసిన Ultrix వ్యవస్థల్లో DECNET హోస్ట్ పేరు మద్దతు మాత్రమే అందుబాటులో ఉంది.]

decnet dst host

DECNET గమ్యం చిరునామా హోస్ట్ అయితే ట్రూ.

డెన్నెట్ హోస్ట్ హోస్ట్

DECNET మూలం లేదా గమ్యం చిరునామా హోస్ట్ అయితే ట్రూ.

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

దీని కోసం సంక్షిప్తాలు:

ఈథర్ ప్రమో పే

ఇక్కడ p పైన ఉన్న ప్రోటోకాల్లలో ఒకటి.

లాట్ , moprc , mopdl

దీని కోసం సంక్షిప్తాలు:

ఈథర్ ప్రమో పే

ఇక్కడ p పైన ఉన్న ప్రోటోకాల్లలో ఒకటి. Tcpdump ప్రస్తుతం ఈ ప్రోటోకాల్స్ ను ఎలా అన్వయించాలో తెలియదు.

vlan [vlan_id]

ప్యాకెట్ IEEE 802.1Q VLAN ప్యాకెట్ అయితే ట్రూ. [Vlan_id] తెలుపబడితే, ప్యాకేజీలో పేర్కొన్న vlan_id ఉంది . వ్యక్తీకరణలో ఎదుర్కొన్న మొదటి విలన్ కీవర్డ్ ప్యాకెట్ ఒక VLAN పాకెట్ అని భావనలో మిగిలిన వ్యక్తీకరణకు డీకోడింగ్ ఆఫ్సెట్లను మారుస్తుందని గమనించండి.

tcp , udp , icmp

దీని కోసం సంక్షిప్తాలు:

ip ప్రోటో p లేదా ip6 ప్రోటో p

ఇక్కడ p పైన ఉన్న ప్రోటోకాల్లలో ఒకటి.

ఐసో ప్రోటో ప్రోటోకాల్

ప్యాకెట్ అనేది OSI ప్యాకెట్ యొక్క ప్రోటోకాల్ టైప్ ప్రోటోకాల్ . ప్రోటోకాల్ అనేది క్లాన్ , ఎస్సి లేదా ఐసిస్ అనే పేర్లలో ఒకటి లేదా ఒకటి.

clnp , esis , isis

దీని కోసం సంక్షిప్తాలు:

ఐసో ప్రోటో పి

ఇక్కడ p పైన ఉన్న ప్రోటోకాల్లలో ఒకటి. Tcpdump ఈ ప్రోటోకాల్స్ను అన్వయించే అసంపూర్ణమైన పనిని గమనించండి.

expr relap expr

సత్యసంబంధమైన స్థిరాంకాలు (ప్రామాణిక C సింటాక్స్లో వ్యక్తీకరించబడతాయి), సాధారణ ద్వియాంశ ఆపరేటర్లు [++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ " , -, *, /, &, |], పొడవు ఆపరేటర్లు మరియు ప్రత్యేక ప్యాకెట్ డేటా యాక్సెసర్లు. ప్యాకెట్ లోపల డేటాను ప్రాప్తి చేయడానికి, ఈ క్రింది వాక్యనిర్మాణాన్ని ఉపయోగించండి:

ప్రోటో [ expr : పరిమాణం ]

ప్రోటో ఈథర్, fddi, tr, ppp, స్లిప్, లింక్, ip, arp, rarp, tcp, udp, icmp లేదా ip6 ఒకటి , మరియు ఇండెక్స్ ఆపరేషన్ కొరకు ప్రోటోకాల్ పొరను సూచిస్తుంది. ( ఈథర్, fddi, tr, ppp, స్లిప్ మరియు లింక్ అన్ని లింక్ పొరను చూడండి.) టిసిపి, udp మరియు ఇతర ఉన్నత-పొర ప్రోటోకాల్ రకాలను IPv4 కు మాత్రమే వర్తిస్తాయి, ఇది IPv6 కాదు (ఇది భవిష్యత్తులో పరిష్కరించబడుతుంది). సూచించబడిన ప్రోటోకాల్ పొరకు సంబంధించి బైట్ ఆఫ్సెట్, expr ద్వారా ఇవ్వబడుతుంది. పరిమాణం ఐచ్ఛికం మరియు ఆసక్తి రంగంలో బైట్ల సంఖ్యను సూచిస్తుంది; ఇది ఒకటి, రెండు, లేదా నాలుగు, మరియు ఒకదానికి అప్రమేయం కావచ్చు. కీవర్డ్ లెన్ సూచించిన పొడవు ఆపరేటర్ ప్యాకెట్ పొడవును ఇస్తుంది.

ఉదాహరణకు, ` ఈథర్ [0] & 1! = 0 'అన్ని బహుళ ప్రసార ట్రాఫిక్లను క్యాచ్ చేస్తుంది. వ్యక్తీకరణ ` ip [0] & 0xf! = 5 'అన్ని ఐపి ప్యాకెట్లను ఎంపికలతో కలుపుతుంది . వ్యక్తీకరణ ` ip [6: 2] & 0x1fff = 0 'మాత్రమే విడదీయబడని datagrams మరియు ఫ్రాగ్మెంటెడ్ datagrams యొక్క సున్నా సున్నా. ఈ చెక్ tcp మరియు udp సూచిక కార్యకలాపాలకు పరిపూర్ణంగా వర్తించబడుతుంది. ఉదాహరణకు, TCP [0] ఎల్లప్పుడూ TCP శీర్షిక యొక్క మొదటి బైట్ అని అర్థం, మరియు ఎప్పుడూ ఒక జోక్యం యొక్క మొదటి బైట్ అర్థం.

కొన్ని ఆఫ్సెట్లు మరియు క్షేత్ర విలువలు సంఖ్యా విలువలుగా కాకుండా పేర్ల వలె వ్యక్తీకరించబడతాయి. కింది ప్రోటోకాల్ హెడర్ ఫీల్డ్ ఆఫ్సెట్లు అందుబాటులో ఉన్నాయి: icmptype (ICMP రకం ఫీల్డ్), icmpcode (ICMP కోడ్ ఫీల్డ్), మరియు tcpflags (TCP ఫ్లాగ్స్ ఫీల్డ్).

క్రింది ICMP రకం క్షేత్ర విలువలు అందుబాటులో ఉన్నాయి: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolic , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -ststampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

క్రింది TCP జెండాలు క్షేత్ర విలువలు అందుబాటులో ఉన్నాయి: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

ఉపయోగాలు మిళితం చేయవచ్చు:

ప్రైమటివ్స్ మరియు ఆపరేటర్ల యొక్క కుండలీకరణ సమూహం (కుండలీకరణాలు షెల్కు ప్రత్యేకంగా ఉంటాయి మరియు తప్పించుకోవాలి).

నిరాకరణ (` ! 'లేదా` లేదు ').

కంకమేనేషన్ (` && ' లేదా` మరియు ').

ప్రత్యామ్నాయం (` || లేదా` లేదా ').

నిరాకరణ అత్యధిక ప్రాధాన్యత ఉంది. ప్రత్యామ్నాయం మరియు అనుసంధానం సమాన ప్రాధాన్యత మరియు అసోసియేట్ ఎడమ నుండి కుడికి ఉంటాయి. స్పష్టమైన మరియు సంజ్ఞలు, కాదు సమ్మోహనచర్య, ఇప్పుడు కలయిక కోసం అవసరం.

ఒక కీవర్డ్ లేకుండా ఒక ఐడెంటిఫైయర్ ఇవ్వబడితే, ఇటీవలి కీవర్డ్ ఊహించబడుతుంది. ఉదాహరణకి,

హోస్ట్ vs మరియు ఏస్

చిన్నది

హోస్ట్ vs మరియు హోస్ట్ ఏస్ కాదు

ఇది గందరగోళంగా ఉండకూడదు

కాదు (హోస్ట్ vs లేదా ఏస్)

ఎక్స్ప్రెషన్ వాదనలు tcpdump ను ఒక వాదనగా లేదా బహుళ వాదనలుగా పొందవచ్చు, ఏది ఎక్కువ అనుకూలమైనది. సాధారణంగా, వ్యక్తీకరణ షెల్ మెటాచరాక్టర్లను కలిగి ఉంటే, అది ఒక సింగిల్, కోటెడ్ ఆర్గ్యుమెంట్ గా ఉత్తీర్ణమవుతుంది. బహుళ వాదనలు పదనిరూపణకు ముందు ఖాళీలతో కలుపుతాయి.

ఉదాహరణలు

Sundown నుండి వచ్చిన లేదా బయలుదేరే అన్ని ప్యాకెట్లను ప్రింట్ చేసేందుకు:

tcpdump హోస్ట్ సన్డౌన్

హేలియోస్ మరియు వేడి లేదా ఏస్ మధ్య ట్రాఫిక్ ముద్రించడానికి:

tcpdump హోస్ట్ హేలియోస్ మరియు \ (హాట్ లేదా ఏస్ \)

ఏసి మరియు హేలియోస్ తప్ప ఏ హోస్ట్కు మధ్య అన్ని IP ప్యాకెట్లను ప్రింట్ చేయడానికి:

tcpdump ip హోస్ట్ ఏస్ మరియు హేలియోస్ కాదు

బర్కిలీలో స్థానిక హోస్ట్ల మరియు అతిధేయల మధ్య అన్ని ట్రాఫిక్లను ముద్రించడానికి:

tcpdump net ucb-ether

ఇంటర్నెట్ గేట్వే స్నూప్ ద్వారా అన్ని ftp ట్రాఫిక్ను ప్రింట్ చేసేందుకు : (వ్యక్తీకరణ కుండలని వివరించే (మిస్-) నుండి షెల్ను నిరోధించడానికి ఉటంకించబడింది.

tcpdump 'గేట్వే స్నూప్ మరియు (పోర్ట్ ftp లేదా ftp-data)'

ట్రాఫిక్ను ముద్రించడం లేదా స్థానిక ఆతిథేయాల కోసం ఉద్దేశించినది కాదు (మీరు మరొక వలయానికి గేట్వే చేస్తే, ఈ విషయాన్ని మీ స్థానిక నెట్ లో ఎప్పటికీ చేయకూడదు).

tcpdump ip మరియు net netnet కాదు

స్థానిక TCP సంభాషణ యొక్క ప్రారంభ మరియు ముగింపు ప్యాకెట్లను (SYN మరియు FIN ప్యాకెట్లను) ముద్రించడానికి.

tcpdump 'tcp [tcpflags] & (tcp-sync | tcp-fin)! = 0 మరియు src మరియు dst net localnet '

గేట్వే స్నూప్ ద్వారా పంపబడిన 576 బైట్లు కంటే ఎక్కువ ఐపి ప్యాకెట్లను ముద్రించడానికి:

tcpdump 'గేట్వే స్నూప్ మరియు ip [2: 2]> 576'

ఈథర్నెట్ ప్రసారం లేదా మల్టికాస్ట్ ద్వారా పంపబడని IP ప్రసారం లేదా బహుళ ప్రసార ప్యాకెట్లను ముద్రించడానికి:

tcpdump 'ఈథర్ [0] & 1 = 0 మరియు ip [16]> = 224'

ప్రతిధ్వని అభ్యర్ధనలు / ప్రత్యుత్తరాలు కాని (అంటే, పింగ్ ప్యాకెట్లకు కాదు) అన్ని ICMP ప్యాకెట్లను ముద్రించటానికి:

tcpdump 'icmp [icmptype]! = icmp-echo మరియు icmp [icmptype]! = icmp-echoreply'

అవుట్పుట్ ఫార్మాట్

Tcpdump యొక్క అవుట్పుట్ ప్రొటోకాల్ ఆధారపడి ఉంటుంది. కింది ఫార్మాట్లలో చాలా క్లుప్త వివరణ మరియు ఉదాహరణలు ఇవ్వబడ్డాయి.

లింక్ స్థాయి శీర్షికలు

'-e' ఎంపిక ఇవ్వబడినట్లయితే, లింక్ స్థాయి శీర్షిక ముద్రించబడుతుంది. ఈథర్నెట్స్లో, మూలం మరియు గమ్య చిరునామాలు, ప్రోటోకాల్ మరియు ప్యాకెట్ లెంత్ ముద్రించబడతాయి.

FDDI నెట్వర్క్లపై, '-e' ఎంపికను tcpdump `ఫ్రేమ్ నియంత్రణ 'ఫీల్డ్, మూలం మరియు గమ్య చిరునామాలు మరియు ప్యాకెట్ పొడవు ముద్రించడానికి కారణమవుతుంది. (`ఫ్రేమ్ నియంత్రణ 'ఫీల్డ్ ప్యాకెట్ యొక్క మిగిలిన వివరణను నిర్దేశిస్తుంది, సాధారణ ప్యాకెట్లను (IP డేటాగ్రామ్లను కలిగి ఉన్నవి)' async 'ప్యాకెట్లు, ఉదాహరణకు 0 మరియు 7 మధ్య ప్రాధాన్య ప్రాధాన్యతతో, ఉదాహరణకు,` async4 '. ప్యాకెట్లను ఒక 802.2 తార్కిక లింక్ కంట్రోల్ (LLC) ప్యాకెట్ను కలిగి ఉన్నట్లు భావించబడుతుంది, ఇది LLC డాటాగ్రామ్ లేదా SNAP ప్యాకెట్ అని పిలువబడకపోతే LLC శీర్షిక ముద్రించబడుతుంది.

టోకెన్ రింగ్ నెట్వర్క్లలో, '-e' ఐచ్చికం tcpdump ను `యాక్సెస్ కంట్రోల్ 'మరియు` ఫ్రేమ్ కంట్రోల్' ఫీల్డ్స్, మూలం మరియు గమ్య చిరునామాలను, మరియు ప్యాకెట్ పొడవును ప్రింట్ చేస్తుంది. FDDI నెట్వర్క్ల మాదిరిగా, ప్యాకెట్లను LLC ప్యాకెట్ను కలిగి ఉన్నట్లు భావించబడుతుంది. '-e' ఎంపిక తెలుపబడిందా లేదా అనేదానితో సంబంధం లేకుండా మూలం-రౌండెడ్ ప్యాకెట్ల కోసం మూల రౌటింగ్ సమాచారం ముద్రించబడుతుంది.

(NB: RFC-1144 లో వివరించిన SLIP కుదింపు అల్గోరిథంతో క్రింది వివరణ ఉంది.)

SLIP లింక్లపై, ఒక దిశ సూచిక (బయటి కోసం `I ',' O '' అవుట్బౌండ్ కోసం), ప్యాకెట్ రకం మరియు కుదింపు సమాచారం ముద్రించబడతాయి. ప్యాకెట్ రకం మొదట ముద్రించబడుతుంది. మూడు రకాలు ip , utcp మరియు ctcp . Ip ప్యాకెట్ల కోసం తదుపరి లింక్ సమాచారం ముద్రించబడదు. TCP ప్యాకెట్ల కోసం, కనెక్షన్ ఐడెంటిఫైయర్ రకం తర్వాత ముద్రించబడుతుంది. ప్యాకెట్ కంప్రెస్ చేయబడితే, దాని ఎన్కోడ్ హెడర్ ముద్రించబడి ఉంటుంది. ప్రత్యేక కేసులు * S + n మరియు * SA + n గా ముద్రించబడతాయి, ఇక్కడ n అనేది క్రమ సంఖ్య (లేదా వరుస సంఖ్య మరియు అక్) మారిపోయిన మొత్తం. ఇది ప్రత్యేక సందర్భంలో లేకపోతే, సున్నా లేదా మరిన్ని మార్పులు ముద్రించబడతాయి. ఒక మార్పును డెల్టా (+ n లేదా -n) లేదా ఒక కొత్త విలువతో, U (తక్షణ పాయింటర్), W (విండో), A (ack), S (సీక్వెన్స్ సంఖ్య) మరియు I (ప్యాకెట్ ID) (= n). చివరిగా, ప్యాకెట్ మరియు సంపీడన శీర్షిక పొడవులోని డేటా మొత్తం ముద్రించబడతాయి.

ఉదాహరణకు, క్రింది పంక్తి ఒక అవుట్బౌండ్ కంప్రెస్డ్ TCP ప్యాకెట్ను, అవ్యక్త కనెక్షన్ ఐడెంటిఫైయర్తో చూపిస్తుంది; ack 6 ద్వారా మార్చబడింది, సీక్వెన్స్ సంఖ్య 49, మరియు ప్యాకెట్ ID 6 ద్వారా; డేటా యొక్క 3 బైట్లు మరియు సంపీడన శీర్షిక యొక్క 6 బైట్లు ఉన్నాయి:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP ప్యాకెట్లు

Arp / rarp అవుట్పుట్ అభ్యర్థన రకం మరియు దాని వాదనలు చూపిస్తుంది. ఈ ఫార్మాట్ స్వీయ వివరణాత్మకమైనది. ఇక్కడ హోస్ట్ rtsg నుండి హోస్ట్ csam కు `rlogin 'ప్రారంభం నుండి తీసుకోబడిన చిన్న నమూనా:

ఆర్ప్ ఎవరు కలిగి ఉంది csam చెప్పండి rtsg arp ప్రత్యుత్తరం csam- వద్ద CSAM

ఇంటర్నెట్ లైన్ హోస్ట్ సమ్మ్ యొక్క ఈథర్నెట్ అడ్రస్ కోసం అడుగుతూ ఒక ఆర్ప్ ప్యాకెట్ను RTSG పంపింది. ఈథర్నెట్ చిరునామాతో సామ్ ప్రత్యుత్తరాలు (ఈ ఉదాహరణలో, ఈథర్నెట్ చిరునామాలు కేప్స్ మరియు ఇంటర్నెట్ అడ్రెస్ లలో తక్కువ కేసులో ఉన్నాయి).

మేము tcpdump -n చేసినట్లయితే ఇది తక్కువ పునరావృతమవుతుంది:

అర్మ్ ఎవరు 128.3.254.6 కు 128.3.254.68 అర్ప్ జవాబును 128.3.254.6 ఉంది- 02: 07: 01: 00: 01: 01: c4

మేము tcpdump -e చేసినట్లయితే, మొదటి ప్యాకెట్ ప్రసారం మరియు రెండోది పాయింట్ నుండి టు పాయింట్ కనిపిస్తుంది.

RTSG బ్రాడ్కాస్ట్ 0806 64: arp whos కలిగి csam చెప్పండి rtsg CSMS RTSG 0806 64: arp ప్రత్యుత్తరం CSAM ఉంది-వద్ద

మొదటి ప్యాకెట్ కోసం ఈథర్నెట్ సోర్స్ చిరునామా RTSG అని చెప్పింది, ఈ గమ్యం ఎథెర్నెట్ ప్రసార చిరునామా, రకం ఫీల్డ్ హెక్స్ 0806 (రకం ETHER_ARP) మరియు మొత్తం పొడవు 64 బైట్లు.

TCP ప్యాకెట్లు

(NB: RFC-793 లో వివరించిన TCP ప్రోటోకాల్తో ఈ క్రింది వివరణ అనుబంధం ఉంది.మీరు ప్రోటోకాల్కు తెలియకపోతే, ఈ వివరణ లేదా tcpdump మీకు బాగా ఉపయోగపడవు .)

ఒక TCP ప్రోటోకాల్ లైన్ సాధారణ ఫార్మాట్:

src> dst: flags data-seqno ack విండో తక్షణ ఎంపికలు

Src మరియు dst మూలం మరియు గమ్యం IP చిరునామాలు మరియు పోర్ట్సు. ఫ్లాగ్లు S (SYN), F (FIN), P (PUSH) లేదా R (RST) లేదా ఒకే ఒక్క ``. (ఏ జెండాలు). డేటా-సెక్నో ఈ ప్యాకెట్లోని డేటా కవర్ చేయబడిన సీక్వెన్స్ స్పేస్ యొక్క భాగాన్ని వర్ణిస్తుంది (క్రింద ఉదాహరణ చూడండి). Ack ఈ కనెక్షన్లో ఇతర దిశకు అనుగుణంగా వచ్చే తదుపరి డేటా యొక్క శ్రేణి సంఖ్య. విండో ఈ కనెక్షన్ లో ఇతర దిశలో అందుబాటులో స్వీకరించే బఫర్ స్థలం బైట్లు సంఖ్య. ప్యాక్లో 'అత్యవసర' డేటా ఉందని అర్గ్ సూచిస్తుంది. ఐచ్ఛికాలు కోణం బ్రాకెట్లలో (ఉదా., ) జతచేయబడిన TCP ఎంపికలు.

Src, dst మరియు జెండాలు ఎల్లప్పుడూ ఉంటాయి. ఇతర రంగాలు ప్యాకెట్ యొక్క TCP ప్రోటోకాల్ హెడర్ యొక్క విషయాలపై ఆధారపడతాయి మరియు తగినట్లయితే మాత్రమే ఉత్పత్తి అవుతాయి.

హోస్ట్ rtsg నుండి rlogin యొక్క ప్రారంభ భాగం csam ను హోస్ట్ చేయండి .

rtsg.1023> csam.login: S 768512: 768512 (0) గెలు 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. లాగిన్:. ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: పి 1: 2 (1) ack 21 విజయం 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 అత్యవసర 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 విజయం 4077 అత్యవసర 1

మొదటి లైన్ మాట్లాడుతూ tcp port 1023 rtsg నందు csam న ప్రవేశమును ప్రవేశపెట్టటానికి ప్యాకెట్ పంపెను. S అనేది SYN జెండా సెట్ చేయబడిందని సూచిస్తుంది. ప్యాకెట్ సీక్వెన్స్ నంబర్ 768512 మరియు దీనిలో డేటా లేదు. (నోటిఫికేషన్ మొదటిది: చివరిది (nbytes) 'అనగా' శ్రేణి సంఖ్యలు మొదటిదానిని కానీ వినియోగదారు డేటా యొక్క nbytes బైట్లు ఇది చివరిది కాదు. ') అంటే పిగ్గీ-బ్యాక్డ్ మక్క, అందుబాటులో స్వీకరించే విండో 4096 బైట్లు మరియు 1024 బైట్లు ఒక mss అభ్యర్థిస్తోంది ఒక గరిష్ట-విభాగంలో-పరిమాణం ఎంపిక ఉంది.

RSG యొక్క SYN కోసం ఒక పిగ్గీ-బ్యాక్డ్ మక్కని కలిగి ఉన్న తప్ప, సలాం ఇలాంటి ప్యాకెట్తో ప్రత్యుత్తరం ఇస్తుంది. Rtsg అప్పుడు సక్స్ సిమ్స్ యొక్క SYN. `. ' జెండాలు సెట్ చేయబడలేదు. ప్యాకెట్ ఏ డేటాను కలిగి లేనందున డేటా శ్రేణి సంఖ్య లేదు. అక్ సీక్వెన్స్ నంబర్ చిన్న పూర్ణాంకం (1) అని గమనించండి. మొదటిసారి tcpdump tcp ` సంభాషణ'ను చూస్తుంది, ఇది ప్యాకెట్ నుండి వరుస సంఖ్యను ముద్రిస్తుంది. సంభాషణ యొక్క తరువాతి ప్యాకెట్లలో, ప్రస్తుత పాకెట్ యొక్క సీక్వెన్స్ సంఖ్య మరియు ఈ ప్రారంభ సీక్వెన్స్ సంఖ్య మధ్య వ్యత్యాసం ముద్రించబడుతుంది. దీని అర్థం, సంభాషణ యొక్క డేటా స్ట్రీమ్లో మొదటి బైట్ స్థానాలు (మొదటి డేటా ప్రతి దిశలో `1 'అని పిలుస్తారు) ద్వారా మొదటిసారి సరాసరి సంఖ్యలను అర్థం చేసుకోవచ్చు. `S 'ఈ లక్షణాన్ని ఓవర్రైడ్ చేస్తుంది, ఫలితంగా అసలు సీక్వెన్స్ నంబర్లు అవుట్పుట్ అవుతాయి.

6 వ లైన్లో, rtsg csam 19 బైట్ల డేటాను పంపుతుంది (rtsg -> csam వైపు సంభాషణలో 2 నుంచి 20 వరకు బైట్లు). ప్యాకెట్లో PUSH జెండా సెట్ చేయబడింది. 7 వ లైన్లో, సామ్ అది rtsg ద్వారా పంపబడిన డేటా అందుకుంటుంది బైట్ 21 తో కాదు. ఈ డేటా చాలా స్పష్టంగా సాకెట్ బఫర్ లో కూర్చొని సామ్ యొక్క స్వీకరించే విండో 19 బైట్లు చిన్న సంపాదించింది నుండి. ఈ ప్యాకెట్లో సమ్మేట్ కూడా ఒక బైట్ డేటాను rtsg కు పంపుతుంది. 8 వ మరియు 9 వ పంథాల్లో, CSMS అత్యవసర, పిట్ డేటాను రెండు బైట్లు rtsg కి పంపుతుంది.

స్నాప్షాట్ చిన్నదైతే tcpdump పూర్తి TCP హెడర్ని పట్టుకోక పోయినట్లయితే , ఇది దాని యొక్క శీర్షిక యొక్క ఎక్కువ సంఖ్యను అంచనా వేస్తుంది మరియు తర్వాత `` | tcp ] '' మిగిలినవి అర్థం చేసుకోలేమని సూచించడానికి. శీర్షికలో ఒక బోగస్ ఐచ్చికాన్ని (పొడవు ఉన్న దానిలో చిన్నది లేదా అంతకంటే పెద్దదిగా ఉన్నది) ఉన్నట్లయితే , tcpdump అది `` చెడ్డ ఆప్షన్ '' గా నివేదిస్తుంది మరియు ఏ ఇతర ఎంపికలను (అది చెప్పడం సాధ్యం కాదు) వారు ఎక్కడ ప్రారంభించారో). హెడింగ్ పొడవు సూచించినట్లయితే, అయితే ఐపి డేటాగ్రామ్ పొడవు చాలాకాలం కానట్లయితే , అది నిజంగానే ఉంటుంది, tcpdump అది `` చెడ్డ hdr పొడవు` అని నివేదిస్తుంది.

నిర్దిష్ట జెండా కాంబినేషన్లతో TCP ప్యాకెట్లను సంగ్రహించడం (SYN-ACK, URG-ACK, మొదలైనవి)

TCP శీర్షిక యొక్క నియంత్రణ బిట్స్ విభాగంలో 8 బిట్లు ఉన్నాయి:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

మేము TCP కనెక్షన్ను స్థాపించడంలో ఉపయోగించిన ప్యాకెట్లను చూడాలనుకుంటున్నారని ఊహించండి. కొత్త కనెక్షన్ను ప్రారంభించినప్పుడు TCP ఒక 3-మార్గం హ్యాండ్షేక్ ప్రోటోకాల్ను ఉపయోగిస్తుంది. TCP నియంత్రణ బిట్స్ సంబంధించి కనెక్షన్ సీక్వెన్స్

1) కాలర్ SYN పంపుతుంది

2) గ్రహీత SYN, ACK తో స్పందిస్తుంది

3) కాలర్ ACK పంపుతుంది

ఇప్పుడు SYN బిట్ సమితి (పాప్ట్ 1) మాత్రమే ఉన్న ప్యాకెట్లను సంగ్రహించడంలో మాకు ఆసక్తి ఉంది. స్టెప్ 2 (SYN-ACK), కేవలం సాదా ప్రారంభ SYN నుండి ప్యాకెట్లను మేము కోరుకోవచ్చని గమనించండి. Tcpdump సరైన ఫిల్టర్ ఎక్స్ప్రెషన్.

ఎంపికలు లేకుండా TCP శీర్షిక యొక్క నిర్మాణం గుర్తుకు:

0 15 31 ----------------------------------------------- ------------------ | మూలం పోర్ట్ | గమ్యం పోర్ట్ | -------------------------------------------------- --------------- | సీక్వెన్స్ సంఖ్య | -------------------------------------------------- --------------- | రసీదు సంఖ్య | -------------------------------------------------- --------------- | HL | rsvd | సి | ఇ | యు | ఎ | పి | ఆర్ | ఎస్ | ఎఫ్ | విండో పరిమాణం | -------------------------------------------------- --------------- | TCP చెక్సమ్ | అత్యవసర పాయింటర్ | -------------------------------------------------- ---------------

ఎంపికలు ఉన్నట్లయితే ఒక TCP శీర్షిక సాధారణంగా 20 ఆక్టెట్ల డేటాను కలిగి ఉంటుంది. గ్రాఫ్ యొక్క మొదటి పంక్తిలో అష్టులు 0 - 3 ఉంటుంది, రెండవ పంక్తి ఆక్టేట్స్ 4 - 7 లను చూపిస్తుంది.

0 తో లెక్కించటం మొదలుపెట్టి, సంబంధిత TCP నియంత్రణ బిట్స్ ఆక్టేట్ 13 లో ఉన్నాయి:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | సి | ఇ | యు | ఎ | పి | ఆర్ | ఎస్ | ఎఫ్ | విండో పరిమాణం | ---------------- | --------------- | --------------- | - --------------- | | 13 వ ఆక్టెట్ | | |

లెట్ యొక్క ఆక్టెట్ సంఖ్య వద్ద ఒక సమీప వీక్షణ కలిగి. 13:

| | | --------------- | | సి | E | U | ఒక | పి | R | S | F | | --------------- | | 7 5 3 0 |

ఇవి ఆసక్తికరంగా ఉన్న TCP నియంత్రణ బిట్స్. మేము ఈ ఆక్టెట్లోని బిట్స్ను 0 నుండి 7 నుండి కుడికి ఎడమవైపుకు లెక్కించాము, కాబట్టి PSH బిట్ బిట్ సంఖ్య 3, URG బిట్ సంఖ్య 5 అయితే.

SYN సమితితో మాత్రమే ప్యాకెట్లను పట్టుకోవాలని మేము కోరుకుంటున్నాము. ఒక TCP డాటాగ్రామ్ దాని శీర్షికలో SYN బిట్ సమితితో వస్తే, ఆక్టెట్ 13 కి ఏమి జరుగుతుందో చూద్దాం:

| సి | E | U | ఒక | పి | R | S | F | | --------------- | | 0 0 0 0 0 0 0 1 0 | | | --------------- | | 7 6 5 4 3 2 1 0 |

నియంత్రణ బిట్స్ విభాగాన్ని చూస్తే మనం కేవలం బిట్ సంఖ్య 1 (SYN) సెట్ చేయబడిందని చూద్దాం.

ఆక్టేట్ సంఖ్య 13 అనునది 8-బిట్ సంతకం చేయని పూర్ణాంకం నెట్వర్క్ బైట్ ఆర్డర్లో, ఈ ఆక్టెట్ యొక్క బైనరీ విలువ

00000010

మరియు దాని దశాంశ ప్రాతినిధ్యం ఉంది

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

మనము దాదాపు పూర్తి చేసాము ఎందుకంటే ఇప్పుడు SYN మాత్రమే సెట్ చేయబడితే, TCP హెడర్లో 13 వ ఆక్టెట్ యొక్క విలువ, నెట్వర్క్ బైట్ ఆర్డర్లో 8-బిట్ సంతకం చేయని పూర్ణాంకం వలె వివరించబడినప్పుడు, సరిగ్గా 2 ఉండాలి.

ఈ సంబంధం వంటి వ్యక్తం చేయవచ్చు

tcp [13] == 2

SYN సెట్ మాత్రమే కలిగి ఉన్న ప్యాకెట్లను చూడడానికి tcpdump కోసం వడపోతగా ఈ వ్యక్తీకరణను ఉపయోగించవచ్చు.

tcpdump -i xl0 tcp [13] == 2

ఈ వ్యక్తీకరణ "TCP డేటాగ్రామ్ యొక్క 13 వ ఆక్టెట్ దశాంశ విలువ 2 ను కలిగి ఉంటుంది", ఇది ఖచ్చితంగా మనకు కావలసినది.

ఇప్పుడు, మనము SYN ప్యాకెట్లను పట్టుకోవలసి ఉందని అనుకోండి, ACK లేదా ఏ ఇతర TCP నియంత్రణ బిట్ ఒకే సమయంలో సెట్ చేయబడినప్పుడు మేము పట్టించుకోరు. SYN-ACK సమితితో TCP డాటాగ్రాం వచ్చినప్పుడు ఆక్టేట్ 13 కి ఏమి జరుగుతుందో చూద్దాం:

| సి | E | U | ఒక | పి | R | S | F | | --------------- | | 0 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

ఇప్పుడు బిట్స్ 1 మరియు 4 లు 13 వ అక్టెట్ లో సెట్ చేయబడ్డాయి. ఆక్టేట్ 13 బైనరీ విలువ

00010010

ఇది దశాంశానికి అనువదిస్తుంది

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

ఇప్పుడు tcpdump వడపోత వ్యక్తీకరణలో tcp [13] == 18 'ను ఉపయోగించలేము, ఎందుకంటే అది SYN-ACK సమితిని కలిగి ఉన్న ఆ ప్యాకెట్లను మాత్రమే ఎంపిక చేస్తుంది, కానీ SYN సమితితో మాత్రమే కాదు. SYN సెట్ చేయబడినంతవరకు ACK లేదా ఏదైనా ఇతర నియంత్రణ బిట్ సెట్ చేయబడినప్పుడు మేము పట్టించుకోవని గుర్తుంచుకోండి.

మా లక్ష్యాన్ని సాధించడానికి, మనము తార్కికంగా మరియు ఆక్టేట్ 13 యొక్క బైనరీ విలువను SYN బిట్ను కాపాడటానికి కొన్ని ఇతర విలువతో అవసరం. SYN ఏ సందర్భంలోనైనా సెట్ చేయాలని మేము కోరుతున్నామని మాకు తెలుసు, కాబట్టి మేము 13 వ ఆక్టేట్లో ఒక SYN యొక్క బైనరీ విలువతో తార్కికంగా మరియు విలువను చేస్తాము:

00010010 SYN-ACK 00000010 SYN మరియు 00000010 (మనకు SYN) మరియు 00000010 (మేము SYN కావాలి) -------- -------- = 00000010 = 00000010

ACK లేదా మరొక TCP నియంత్రణ బిట్ సెట్ చేయబడిందో లేదో ఈ మరియు ఆపరేషన్ ఒకే ఫలితాన్ని అందిస్తుంది. ఈ విలువ యొక్క ఫలితం మరియు విలువ యొక్క ఫలితం 2 (బైనరీ 00000010), కాబట్టి SYN తో ప్యాకెట్ల కోసం ఈ క్రింది సంబంధాన్ని సెట్ చేయాల్సి ఉందని మాకు తెలుసు.

(ఆక్టేట్ 13 విలువ) మరియు (2)) == (2)

ఇది tcpdump ఫిల్టర్ ఎక్స్ప్రెషన్ కు మనకు చూపుతుంది

tcpdump -i xl0 'tcp [13] & 2 == 2'

షెల్ నుండి మరియు ('&') ప్రత్యేక పాత్రను దాచడానికి మీరు సింగిల్ కోట్లు లేదా బాక్ స్లాష్ను వ్యక్తీకరణలో ఉపయోగించాలని గమనించండి.

UDP పాకేజీలు

UDP ఫార్మాట్ ఈ రకమైన ప్యాకెట్ ద్వారా ఉదహరించబడింది:

actinide.who> broadcast.who: udp 84

హోస్ట్ ఆక్టినైడ్ నందు , పోర్ట్ ప్రసారము , ఇంటర్నెట్ బ్రాడ్ కాంటాక్ట్ నందు ఎవరు పోర్టు చేయుటకు udp datagram ను పంపిన పోర్ట్. ప్యాకెట్లో యూజర్ డేటా యొక్క 84 బైట్లు ఉన్నాయి.

కొన్ని UDP సేవలు గుర్తించబడతాయి (మూలం లేదా గమ్యం పోర్ట్ సంఖ్య నుండి) మరియు అధిక స్థాయి ప్రోటోకాల్ సమాచారం ముద్రించబడతాయి. ముఖ్యంగా, డొమైన్ నేమ్ సేవ అభ్యర్థనలు (RFC-1034/1035) మరియు సన్ RPC కాల్స్ (RFC-1050) NFS కు.

UDP పేరు సర్వర్ అభ్యర్థనలు

(NB: RFC-1035 లో వివరించిన డొమైన్ సేవా ప్రోటోకాల్తో ఈ క్రింది వివరణ అనుబంధం ఉంది.మీరు ప్రోటోకాల్కు తెలియకపోతే, ఈ క్రింది వర్ణన గ్రీకులో రాసినట్లు కనిపిస్తుంది.)

పేరు సర్వర్ అభ్యర్థనలు ఫార్మాట్ చేయబడ్డాయి

src> dst: id op? flags qtype qclass name (len) h2opolo.1538> helios.domain: 3+ ఎ? ucbvax.berkeley.edu. (37)

హోస్ట్ h2opolo ఒక చిరునామా రికార్డు కోసం హేలియోస్ న డొమైన్ సర్వర్ అడిగారు (qtype = A) పేరు ucbvax.berkeley.edu సంబంధం . ప్రశ్న ఐడి `3 '. '+' సూత్రప్రాయంగా కావలసిన పతాకం సెట్ చేయబడిందని సూచిస్తుంది. ప్రశ్న పొడవు 37 బైట్లు, UDP మరియు IP ప్రోటోకాల్ శీర్షికలతో సహా కాదు. Query ఆపరేషన్ సాధారణ ఒకటి, ప్రశ్న , కాబట్టి op field తొలగించబడింది. Op ఏదైనా ఉంటే, అది `3 'మరియు' + 'మధ్య ముద్రించబడి ఉండేది. అదేవిధంగా, qclass సాధారణ ఒకటి, C_IN , మరియు విస్మరించబడింది. ఏ ఇతర qclass వెంటనే 'A' తర్వాత ముద్రించబడి ఉండేది.

కొన్ని క్రమరాహిత్యాలు తనిఖీ చెయ్యబడతాయి మరియు చదరపు బ్రాకెట్లలో జతచేయబడిన అదనపు రంగాల్లో ఫలితమౌతుంది: ఒక ప్రశ్నకు సమాధానం ఉంటే, అధికారం రికార్డులు లేదా అదనపు రికార్డుల విభాగం, అకౌంట్ , ఎన్సౌంట్ లేదా ఆర్కౌంట్ను `[ n ]", [ n ] ] 'లేదా `[ n au]" ఇక్కడ తగిన సంఖ్య. ప్రత్యుత్తరం ఇచ్చిన బిట్లలో ఏదైనా (AA, RA లేదా rcode) సెట్ చేయబడినా లేదా 'సున్నా' అయినా బిట్స్ రెండు మరియు మూడు బైట్లు లో సెట్ చేయబడితే, `[b2 & 3 = x ] 'ముద్రించబడుతుంది, ఇక్కడ x అనేది హెక్స్ విలువ శీర్షిక బైట్లు రెండు మరియు మూడు.

UDP పేరు సర్వర్ ప్రతిస్పందనలు

పేరు సర్వర్ ప్రతిస్పందనలు ఫార్మాట్ చేయబడ్డాయి

src> dst: id op rcode flags a / n / au తరగతి తరగతి డేటా (len) helios.domain> h2opolo.1538: 3 3/3/7 ఒక 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

మొదటి ఉదాహరణలో, helios ప్రశ్న 3 h2opolo నుండి 3 సమాధానం రికార్డులు, 3 నేమ్ సర్వర్ రికార్డులు మరియు 7 అదనపు రికార్డులతో స్పందిస్తుంది. మొదటి జవాబు రికార్డు రకం A (చిరునామా) మరియు దీని డేటా ఇంటర్నెట్ చిరునామా 128.32.137.3. ప్రతిస్పందన మొత్తం పరిమాణం UDP మరియు IP శీర్షికలను మినహాయించి, 273 బైట్లు. A రికార్డు యొక్క క్లాస్ (C_IN) వలె OP (ప్రశ్న) మరియు స్పందన కోడ్ (NoError) తొలగించబడ్డాయి.

రెండవ ఉదాహరణలో, హేలియోస్ జవాబు లేని డొమైన్ (NXDomain) యొక్క ప్రతిస్పందన కోడ్తో సమాధానమివ్వకుండా స్పందించింది, సమాధానాలు లేవు, ఒక పేరు సర్వర్ మరియు అధికార రికార్డులు లేవు. `* ' అధికారిక జవాబు బిట్ సెట్ చేయబడిందని సూచిస్తుంది. సమాధానాలు లేనందున, రకం, తరగతి లేదా డేటా ముద్రించబడలేదు.

కనిపించే ఇతర జెండా అక్షరాలు `- '(పునరావృత అందుబాటులో, RA, సెట్ చేయలేదు ) మరియు` | (ట్రంకేటెడ్ సందేశం, TC, సెట్). `ప్రశ్న 'విభాగంలో సరిగ్గా ఒక ఎంట్రీ ఉండకపోతే,` [ n q]' ముద్రించబడుతుంది.

పేరు సర్వర్ అభ్యర్ధనలు మరియు స్పందనలు పెద్దవిగా ఉంటాయి మరియు 68 బైట్లు యొక్క డిఫాల్ట్ స్నాప్లైన్ ప్రింట్ చేయడానికి తగినంత ప్యాకెట్ను పట్టుకోకపోవచ్చు . మీరు పేరు సర్వర్ ట్రాఫిక్ను తీవ్రంగా దర్యాప్తు చేయాలంటే, స్నాప్లైన్ను పెంచడానికి -s జెండాను ఉపయోగించండి. ` s 128 'నాకు బాగా పనిచేసింది.

SMB / CIFS డీకోడింగ్

tcpdump ఇప్పుడు UDP / 137, UDP / 138 మరియు TCP / 139 పై డేటా కోసం చాలా విస్తృతమైన SMB / CIFS / NBT డీకోడింగ్ కలిగివుంది. IPX మరియు NetBEUI SMB డేటా యొక్క కొన్ని పురాతన డీకోడింగ్ కూడా జరుగుతుంది.

డిఫాల్ట్ గా చాలా తక్కువ డీకోడ్ చేయబడుతుంది, మరింత వివరంగా డీకోడ్ చేస్తే -v ఉపయోగించబడుతుంది. -ఒక సింగిల్ SMB ప్యాకెట్తో ఒక పేజీ లేదా అంతకంటే ఎక్కువ పట్టవచ్చు, కాబట్టి నిజంగానే అన్ని-గోరి వివరాలు కావాలనుకుంటే- మాత్రమే వాడండి.

మీరు యూనికోడ్ తీగలను కలిగి ఉన్న SMB సెషన్ల డీకోడింగ్ చేస్తున్నట్లయితే, మీరు పర్యావరణ వేరియబుల్ USE_UNICODE 1 ను సెట్ చేయాలని అనుకోవచ్చు. యూనికోడ్ వర్గాల స్వీయ-విశ్లేషణకు ఒక పాచ్ స్వాగతం అవుతుంది.

SMB ప్యాకెట్ ఫార్మాట్లలో మరియు అన్ని te ఫీల్ లు www.cifs.org లేదా మీకు ఇష్టమైన samba.org మిర్రర్ సైట్ పై పబ్ / samba / specs / డైరెక్టరీని చూడండి. SMB పాచెస్ ఆండ్రూ ట్రిడ్గెల్ (tridge@samba.org) చే వ్రాయబడింది.

NFS అభ్యర్థనలు మరియు ప్రత్యుత్తరాలు

సన్ NFS (నెట్వర్క్ ఫైల్ సిస్టమ్) అభ్యర్థనలు మరియు ప్రత్యుత్తరాలు ముద్రించబడ్డాయి:

src.xid> dst.nfs: len op args src.nfs> dst.xid: ప్రత్యుత్తరం stat len ​​op results సుషీ 6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 రీడ్ లింక్ "../var" sushi201B> wrl.nfs: 144 లుక్ fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi201b: ప్రత్యుత్తరం ok 128 శోధన fh 9,74 / 4134.3150

మొదటి పంక్తిలో, హోస్ట్ సుషీ ఐడి 6709 తో ఒక లావాదేవీని పంపుతుంది (src హోస్ట్ క్రింది సంఖ్య లావాదేవీ ఐడి కాదు , మూలం పోర్ట్ కాదు). UDP మరియు IP శీర్షికలను మినహాయించి, అభ్యర్థన 112 బైట్లు. ఈ ఆపరేషన్ ఫైల్ హ్యాండిల్ (fh) 21,24 / 10.731657119 పై ఒక రీడ్లింక్ (సింబాలిక్ లింకును చదవడం). (ఈ సందర్భంలో, అదృష్టంగా ఉంటే, ఫైల్ హ్యాండిల్ను ఒక ప్రధాన, చిన్న పరికర సంఖ్య జతగా చెప్పవచ్చు, దీని తరువాత ఇనోడ్ సంఖ్య మరియు తరం సంఖ్య.) రైట్ ప్రత్యుత్తరాలు 'సరే' లింక్ యొక్క కంటెంట్లతో.

మూడవ పంక్తిలో, సుశి డైరెక్టరీ ఫైలులో ' xcolors ' అనే పేరును చూసేందుకు Wrl ను అడుగుతుంది 9,74 / 4096.6878. ముద్రించిన డేటా ఆపరేషన్ రకంపై ఆధారపడి ఉంటుంది. ఒక NFS ప్రోటోకాల్ స్పెక్స్తో కలిపి చదివినట్లయితే ఈ ఫార్మాట్ స్వీయ వివరణగా ఉద్దేశించబడింది.

-v (verbose) జెండా ఇవ్వబడితే, అదనపు సమాచారం ముద్రించబడుతుంది. ఉదాహరణకి:

sushi.1372a> wrl.nfs: 148 చదవండి fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: ప్రత్యుత్తరం ok 1472 చదవండి REG 100664 ఐడిలు 417/0 sz 29388

(-V కూడా ఈ ఉదాహరణ నుండి తొలగించిన IP శీర్షిక TTL, ID, పొడవు మరియు ఫ్రాగ్మెంటేషన్ ఫీల్డ్లను ముద్రిస్తుంది.) మొదటి పంక్తిలో, సుష్ బుల్ ఆఫ్సెట్లో ఉన్న ఫైల్ను 21,11 / 12.195 నుండి 8192 బైట్లు చదవడానికి రెల్ల్ను అడుగుతుంది 24576. Wrl ప్రత్యుత్తరాలు `సరే '; రెండవ పంక్తిలో చూపించిన ప్యాకెట్ ప్రత్యుత్తరం యొక్క మొదటి భాగం, అందుకే 1472 బైట్లు మాత్రమే (ఇతర బైట్లు తరువాతి శకాలలో అనుసరించబడతాయి, కానీ ఈ శకలాలు NFS లేదా UDP శీర్షికలను కలిగి ఉండవు మరియు కనుక ముద్రించబడవు, ఉపయోగించిన వడపోత వ్యక్తీకరణపై ఆధారపడి). -v జెండా ఇచ్చినందున, కొన్ని ఫైల్ గుణాలు (ఫైల్ డేటాకు అదనంగా ఇవ్వబడ్డాయి) ముద్రించబడతాయి: ఫైల్ రకం (సాధారణ ఫైల్ కోసం, `REG ''), ఫైల్ మోడ్ (ఆక్టల్లో), uid మరియు gid, మరియు ఫైల్ పరిమాణం.

ఒకవేళ -v జెండా ఒకటి కన్నా ఎక్కువ ఉంటే, ఇంకా మరిన్ని వివరాలు ముద్రించబడతాయి.

NFS అభ్యర్ధనలు చాలా పెద్దవిగా ఉన్నాయి మరియు snaplen పెరిగినప్పుడు చాలా వివరాలు వివరింపబడవు . NFS ట్రాఫిక్ను చూడటానికి ' -s 192 ' ని ఉపయోగించి ప్రయత్నించండి.

NFS స్పీడ్ ప్యాకెట్ లు RPC ఆపరేషన్ను స్పష్టంగా గుర్తించవు. బదులుగా, tcpdump "ఇటీవలి" అభ్యర్థనలను ట్రాక్ చేస్తుంది మరియు వాటిని లావాదేవీ ID ని ఉపయోగించి ప్రత్యుత్తరాలకు సరిపోతుంది. ప్రత్యుత్తరం సంబంధిత అభ్యర్థనను అనుసరించకపోతే, అది పార్శ్వంగా ఉండకపోవచ్చు.

AFS అభ్యర్థనలు మరియు ప్రత్యుత్తరాలు

Transarc AFS (ఆండ్రూ ఫైల్ సిస్టమ్) అభ్యర్థనలు మరియు ప్రత్యుత్తరాలు ముద్రించబడ్డాయి:

src.sport> dst.dport: rx ప్యాకెట్-రకం src.sport> dst.dport: rx ప్యాకెట్-రకం సేవ కాల్ కాల్-పేరు వాదనలు src.sport> dst.dport: rx ప్యాకెట్-రకం సేవ ప్రత్యుత్తరం కాల్-పేరు అర్క్స్ ఎల్విస్. 7001> pike.afsfs: rx data fs call fid 536876964/1/1 ".newsrc.new" కొత్త fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs పేరుమార్చు

మొదటి వరుసలో, హోస్ట్ ఎల్విస్ ఒక RX ప్యాకెట్ను పైక్కి పంపుతుంది. ఇది RS డేటా ప్యాకెట్ (fserver) సేవకు, మరియు ఒక RPC కాల్ ప్రారంభంలో ఉంది. 536876964/1/1 యొక్క పాత డైరెక్టరీ ఫైల్ ఐడి మరియు `. న్యూస్క్రీన్.న్యూ' యొక్క పాత ఫైల్ పేరు, మరియు 536876964/1/1 యొక్క కొత్త డైరెక్టరీ ఫైల్ ఐడి మరియు` క్రొత్త ఫైల్పేరు 'పేరుతో RPC కాల్ పేరు మార్చబడింది. newsrc '. హోస్ట్ పైక్ ఒక RPC పేరుతో పునఃప్రారంభం కాల్కు స్పందిస్తుంది (ఇది విజయవంతమైంది, ఎందుకంటే ఇది ఒక డేటా పాకెట్ మరియు విరమణ ప్యాకెట్ కాదు).

సాధారణంగా, అన్ని AFS RPC లు కనీసం RPC కాల్ పేరు ద్వారా డీకోడ్ చేయబడతాయి. చాలా AFS RPC లలో కనీసం కొన్ని వాదనలు డీకోడ్ చేయబడ్డాయి (సాధారణంగా మాత్రమే 'ఆసక్తికరమైన' వాదనలు, ఆసక్తికరంగా కొంత వివరణకు).

ఈ ఫార్మాట్ స్వీయ-వర్ణన కోసం ఉద్దేశించబడింది, కానీ ఇది AFS మరియు RX యొక్క పనితీరు గురించి తెలియకుండా ఉన్న వ్యక్తులకు ఉపయోగకరంగా ఉండదు.

-v (verbose) జెండా రెండుసార్లు ఇవ్వబడితే, RX కాల్ ID, కాల్ సంఖ్య, సీక్వెన్స్ నంబర్, సీరియల్ నంబర్ మరియు RX ప్యాకెట్ ఫ్లాగ్స్ వంటి రసీదు ప్యాకెట్లను మరియు అదనపు శీర్షిక సమాచారం ముద్రించబడుతుంది.

-v జెండా రెండుసార్లు ఇవ్వబడితే, RX కాల్ ID, సీరియల్ నంబర్ మరియు RX పాకెట్ జెండాలు వంటి అదనపు సమాచారం ముద్రించబడుతుంది. MTU సంప్రదింపు సమాచారం కూడా RX ack ప్యాకెట్ల నుండి ముద్రించబడుతుంది.

-v జెండా మూడుసార్లు ఉంటే, భద్రతా సూచిక మరియు సేవ ఐడి ముద్రించబడతాయి.

Ubik బెకన్ ప్యాకెట్లను మినహాయించి, విరమణ పాకెట్ల కొరకు లోపం సంకేతాలు ముద్రించబడతాయి (ఎందుకంటే, Ubik ప్రోటోకాల్కు ఓటు వేయడానికి ఉపసంహరణ ప్యాకెట్లను ఉపయోగించడం జరుగుతుంది).

AFS అభ్యర్ధనలు చాలా పెద్దవి మరియు స్నాప్లైన్ పెంచకపోతే చాలా వాదనలు ముద్రించబడవు. AFS ట్రాఫిక్ను చూడటానికి ` -s -256 'ని ఉపయోగించి ప్రయత్నించండి.

AFS ప్రత్యుత్తర ప్యాకెట్లు RPC ఆపరేషన్ను స్పష్టంగా గుర్తించవు. బదులుగా, tcpdump "ఇటీవలి" అభ్యర్థనలను ట్రాక్ చేస్తుంది మరియు కాల్ సంఖ్య మరియు సేవ ID ఉపయోగించి ప్రత్యుత్తరాలకు వాటిని సరిపోతుంది. ప్రత్యుత్తరం సంబంధిత అభ్యర్థనను అనుసరించకపోతే, అది పార్శ్వంగా ఉండకపోవచ్చు.

KIP యాపిల్టాక్ (UDP లో DDP)

UDP డేటాగ్రామ్లలో కట్టబడిన ఆపిల్టాల్క్ DDP ప్యాకెట్లను డి-పికెట్లు (అనగా, అన్ని UDP హెడర్ సమాచారం విస్మరించబడుతున్నాయి) డి-కప్పబడినది మరియు డంప్ చేయబడతాయి. /etc/atalk.names ఫైలు పేర్లకు appletalk నెట్ మరియు నోడ్ సంఖ్యలను అనువదించడానికి ఉపయోగించబడుతుంది. ఈ ఫైల్లోని లైన్లు ఫారమ్ను కలిగి ఉంటాయి

సంఖ్య పేరు 1.254 ఈథర్ 16.1 icsd-net 1.254.110 ace

మొదటి రెండు పంక్తులు ఆపిల్ టాక్ నెట్వర్క్ల పేర్లు ఇస్తాయి. మూడవ లైన్ ఒక ప్రత్యేక హోస్ట్ పేరును ఇస్తుంది (ఒక హోస్ట్ సంఖ్యలో 3 వ ఆక్టెట్ ద్వారా నికర నుండి వేరు చేయబడుతుంది - నికర సంఖ్యలో రెండు ఆక్టెట్లు ఉండాలి మరియు హోస్ట్ సంఖ్య మూడు ఆక్టెట్లను కలిగి ఉండాలి .) సంఖ్య మరియు పేరు వేరు చేయాలి తెల్ల ద్వారా (ఖాళీలు లేదా టాబ్లు). /etc/atalk.names ఫైలు ఖాళీ పంక్తులు లేదా వ్యాఖ్య పంక్తులు కలిగి ఉండవచ్చు (ఒక "#" తో మొదలయ్యే పంక్తులు).

యాపిల్టాల్క్ చిరునామాలు రూపంలో ముద్రించబడ్డాయి:

net.host.port 144.1.209.2> icsd-net.112.220 కార్యాలయం .2> icsd-net.112.220 jssmag.149.235> icsd-net.2

( /etc/atalk.names ఉనికిలో లేవు లేదా కొన్ని appletalk హోస్ట్ / నికర సంఖ్య కొరకు ఎంట్రీని కలిగి ఉండకపోతే, చిరునామాలు సంఖ్యా రూపంలో ముద్రించబడతాయి.) మొదటి ఉదాహరణలో, NBP (DDP పోర్ట్ 2) ని 144.1 నోట్ 209 ని నెట్ IX నోడ్ 112 యొక్క పోర్ట్ 220 లో వినిపిస్తుంది. రెండవ మూలం సోర్స్ నోడ్ యొక్క పూర్తి పేరు (`కార్యాలయం ') అన్నది తప్ప మిగిలినదే. Ixd-net NBP పోర్ట్ (ప్రసారం చిరునామా (255) సంఖ్య హోస్ట్ సంఖ్యతో నికర పేరు సూచించబడిందని గమనించండి - ఈ కారణం వలన ఇది ఒక మంచి ఆలోచన, మూడవ లైన్ పంక్తి 235 నుండి నెట్ జెస్మాగ్ నోడ్ 149 లో పంపబడుతుంది. /etc/atalk.names లో విభిన్న నోడ్ పేర్లు మరియు నికర పేర్లు ఉంచడానికి).

NBP (పేరు బైండింగ్ ప్రోటోకాల్) మరియు ATP (యాపిల్టాల్క్ లావాదేవీ ప్రోటోకాల్) ప్యాకెట్లను వాటి యొక్క విషయాలు వివరించబడ్డాయి. ఇతర ప్రోటోకాల్స్ ప్రోటోకాల్ పేరుని డంప్ చేస్తాయి (లేదా ప్రోటోకాల్కు పేరును నమోదు చేయనట్లయితే) మరియు ప్యాకెట్ పరిమాణం.

NBP ప్యాకెట్లను క్రింది ఉదాహరణలు వలె ఆకృతి చేశారు:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: లేజర్వెట్రిటర్ @ *" jssmag.209.2> icsd-net.112.220: nbp- ప్రత్యుత్తరం 190: "RM1140: లేజర్వ్రిటర్ @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: లేజర్వెట్రిటర్ @ *" 186

మొదటి పంక్తి నికర ఐసెడ్ హోస్ట్ 112 ద్వారా పంపబడిన లేజర్ రైటర్లకు పేరు మరియు ఒక నెట్ వర్క్ లుక్ అభ్యర్థన మరియు నెట్ జెస్మాగ్ ప్రసారం. శోధన కోసం nbp ఐడి 190. రెండవ పంక్తి ఈ అభ్యర్థనకు ప్రత్యుత్తరం ఇచ్చింది (ఇది అదే ఐడిని కలిగి ఉన్నట్లు గమనించండి) హోస్ట్ jssmag.209 నుండి పోర్ట్ 250 లో నమోదైన "RM1140" పేరుతో ఉన్న లేజర్రైటర్ వనరు కలిగి ఉందని పేర్కొంది. మూడవ పంక్తి 186 లో హోస్ట్ టెక్చ్పిట్ లేజర్రైటర్ "టెక్ప్పిట్" నమోదు చేసుకున్నట్లు పేర్కొన్న మరొక అభ్యర్థన.

ATP ప్యాకెట్ ఫార్మాటింగ్ క్రింది ఉదాహరణచే ప్రదర్శించబడింది:

jsmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jsmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios Heli.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 8 ప్యాకెట్లను (`0-7> ') వరకు అభ్యర్థించడం ద్వారా హోస్ట్ హేలియోస్తో లావాదేవీ ఐడి 12266 ను ప్రారంభిస్తుంది. లైన్ చివరిలో హెక్స్ సంఖ్య అభ్యర్థనలోని `userdata 'ఫీల్డ్ యొక్క విలువ.

8 512-బైట్ ప్యాకెట్లతో హేలియోస్ స్పందిస్తుంది. లావాదేవి ఐడిని అనుసరిస్తున్న `: అంకెల 'లావాదేవీలో ప్యాకెట్ సీక్వెన్స్ నంబర్ను ఇస్తుంది మరియు పేన్లలోని సంఖ్య ప్యాకెట్లో డేటా మొత్తం, ఎగువ శీర్షికను మినహాయించి ఉంటుంది. ప్యాకెట్ 7 పై `* 'EOM బిట్ సెట్ చేయబడిందని సూచిస్తుంది.

Jssmag.209 అప్పుడు ప్యాకెట్లను 3 & 5 పునఃరూపకల్పన చేయమని అభ్యర్థిస్తుంది. హేలియోస్ వాటిని పంపుతుంది అప్పుడు jssmag.209 లావాదేవీలను విడుదల చేస్తుంది. చివరగా, jssmag.209 తదుపరి అభ్యర్థనను ప్రారంభిస్తుంది. అభ్యర్థనపై `* 'XO (` సరిగ్గా ఒకసారి') సెట్ చేయబడలేదని సూచిస్తుంది .

IP ఫ్రాగ్మెంటేషన్

ఫ్రాగ్మెంటుడ్ ఇంటర్నెట్ డేటాగ్రామ్లు ముద్రించబడతాయి

(frag id : size @ offset +) (frag id : size @ offset )

(మొదటి రూపం మరింత శకలాలు ఉన్నట్లు సూచిస్తుంది రెండవది ఇది చివరి భాగాన్ని సూచిస్తుంది.)

ఐడి ఫ్రాగ్మెంట్ ఐడి. ఐపి హెడర్ మినహా సైజు శకలాలు (బైట్లులో). అసలు డేటాగ్రామ్లో ఈ భాగాన్ని ఆఫ్సెట్ (బైట్లలో) ఆఫ్సెట్.

ప్రతి భాగానికి తులనాత్మక సమాచారం అవుట్పుట్ అవుతుంది. మొట్టమొదటి భాగం అధిక స్థాయి ప్రోటోకాల్ శీర్షికను కలిగి ఉంటుంది మరియు ప్రోటోకాల్ సమాచారం తర్వాత స్ఫుటమైన సమాచారం ముద్రించబడుతుంది. మొట్టమొదటి తర్వాత ఉన్న శకలాలు ఎటువంటి ఉన్నత స్థాయి ప్రోటోకాల్ శీర్షికను కలిగి ఉండవు మరియు స్ఫుర్ సమాచారం మూలం మరియు గమ్య చిరునామాల తర్వాత ముద్రించబడుతుంది. ఉదాహరణకు, ఇక్కడ arizona.edu నుండి lbl-rtsg.arpa కు CSNET కనెక్షన్లో 576 బైట్ డేటాగ్రామ్లను నిర్వహించడానికి కనిపించని ఒక భాగం లో భాగం:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. అక్ 1536 విజయం 2560

ఇక్కడ గమనించదగిన కొన్ని విషయాలు ఉన్నాయి: మొదట, 2 వ శ్రేణిలోని చిరునామాలు పోర్ట్ సంఖ్యలను కలిగి ఉండవు. ఎందుకంటే TCP ప్రోటోకాల్ సమాచారం మొదటి భాగం లో ఉంది మరియు మేము తర్వాత శకలాలు ప్రింట్ చేసినప్పుడు పోర్ట్ లేదా సీక్వెన్స్ నంబర్లు ఏమిటో తెలియదు. సెకను, మొదటి వరుసలో TCP సీక్వెన్స్ సమాచారము 308 బైట్లు వాడుకరి డేటాలో ఉన్నట్లయితే, నిజానికి, 512 బైట్లు (మొదటి ఫ్రాగ్లో 308 మరియు రెండవది 204) ఉన్నాయి. మీరు సీక్వెన్స్ స్థలంలో రంధ్రాలు వెతుకుతున్నారా లేదా ప్యాకెట్లతో అక్సెస్తో సరిపోలడానికి ప్రయత్నిస్తున్నట్లయితే, ఇది మీకు మోసం చేయగలదు.

IP తో ఒక ప్యాకెట్ ఫ్రాగ్మెంటు జెండా ఒక ట్రైలింగ్ (DF) తో గుర్తించబడింది.

సమయముద్రలు

డిఫాల్ట్గా, అవుట్పుట్ పంక్తులు అన్నింటికంటే ఒక సమయ ముద్ర. స్టాంప్లో ప్రస్తుత గడియారం సమయం

HH: mm: ss.frac

కెర్నెల్ యొక్క గడియారం వలె ఖచ్చితమైనది. సమయ ముద్ర మొదటిసారి కెర్నెల్ ప్యాకెట్ ను ప్రతిబింబిస్తుంది. ఈథర్నెట్ ఇంటర్ఫేస్ వైర్ నుండి ప్యాకెట్ను తీసివేసినప్పుడు మరియు కెర్నెల్ 'కొత్త ప్యాకెట్' అంతరాయం కలుగజేసినప్పుడు మధ్య సమయ వ్యవధిని పరిగణించటానికి ఎటువంటి ప్రయత్నం చేయలేదు.

ఇది కూడ చూడు

ట్రాఫిక్ (1 సి), నిట్ (4 పి), bpf (4), pcap (3)

ముఖ్యమైనది: మీ కంప్యుటర్లో కమాండ్ ఎలా ఉపయోగించబడుతుందో చూడుటకు man command ( % man ) ఉపయోగించండి.