Tcpdump - ලිනක්ස් විධාන - යුනික්ස් අණ

නාමය

tcpdump - ජාලය මත ඩම්ප් ගමනාගමනය

සිනෝපස්

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F ගොනුව ]

[ -i අතුරු මුහුණත ] [ -m මොඩියුලය ] [ -r ගොනුව ]

[ -slaplen ] [ -T වර්ගය ] [ -U පරිශීලකයා ] [ -w ගොනුව ]

[ අහෝ: අල්: රහස් ] [ ප්රකාශනය ]

විස්තර

Tcpdump බූලීය ප්රකාශනයට අනුරූප වන ජාල අතුරු මුහුණතක් මත පැකැට්ටු ශීර්ෂයන් මුද්රණය කරයි. තවද එය -w ධජය සමඟ ක්රියාත්මක විය හැකිය, පසුකාලීන විශ්ලේෂණය සඳහා ගොනු පැකට් දත්ත සුරැකීමට සහ / හෝ -r ධජය සමඟ එය පැකැට්ටු කියවීමට වඩා සුරක්ෂිත පැකැට්ටු ගොනුවක් කියවීමට හේතු වන අතර එය එය කියවීමට ඉඩ ඇත. ජාල අතුරුමුහුණතකි. සෑම අවස්ථාවකදීම, ප්රකාශ ප්රකාශයට ගැලපෙන පැකට්ටු පමණක් tcpdump විසින් සකසන ලදි.

Tcpdump මඟින්, -c ධජය සමඟ ධාවනය නොකරන්නේ නම්, SIGINT සංඥාව මඟින් එය බාධා වන තෙක් පැකට්ටුව අත්පත් කර ගැනීම දිගටම කරගෙන යනු ඇත (උදාහරණ ලෙස ඔබේ අක්රිය චරිතය, සාමාන්යයෙන් පාලනය-C) ටයිප් කිරීම හෝ SIGTERM සංඥාව (1) විධානය); එය -c ධජය සමඟ ධාවනය කර ඇත්නම්, එය SIGINT හෝ SIGTERM සංඥාව මඟින් බාධා වන තෙක් පැකැට්ටු අල්ලා ගනු ඇත, හෝ නියමිත පැකේජ ගණන සකසා ඇත.

Tcpdump මඟින් පැකට් අල්ලා ගන්නා විට, එය වාර්තා කරනු ඇත:

'filter by received' '(මෙම තේරුම මඟින් ඔබ විසින් tcpdump ක්රියාත්මක වන මෙහෙයුම් පද්ධතිය මත පදනම්ව ඇති අතර, මෙහෙයුම් පද්ධතිය සැකසූ ආකාරය මත රඳා පවතී) ෆිල්ටරයේ ප්රකාශනය මගින් ඒවා එකිනෙකට ගැලපේ යනවද, අනෙක් පැත්තෙන් එය පෙරහන් ප්රකාශයෙන් ගැලපෙන පැකට්ටු පමණක් ගණන් කළ අතර එය tcpdump විසින් සකසන ලදි);

("kernel by dropped") පැකැට්ටු (මෙය පහත සඳහන් පැකැට්ටු සංඛ්යාව, බෆර් ඉඩ නොමැති නිසා, මෙහෙයුම් පද්ධතිය තුල තිබෙන පැකැට්ටු අල්ලා ගැනීමේ යාන්ත්රණය මඟින් මෙහෙයුම් පද්ධතිය මඟින් එම තොරතුරු යෙදුම් වෙත වාර්තා කරයි නම්, එය ක්රියාත්මක වේ නම්; නොඑසේ නම් එය 0 ලෙස සටහන් වනු ඇත.

බොහෝ BSDs වැනි SIGINFO සංඥාව සඳහා වන SIGINFO සංඥාව මත පදනම් වේ, එය SIGINFO සංඥාවක් ලබා ගන්නා විට (උදාහරණ ලෙස, ඔබගේ `` තත්වයේ '' අකුරු, සාමාන්යයෙන් control-T) ටයිප් කර, සහ දිගටම පැකැට්ටු අල්ලා ගනු ඇත .

ජාල අතුරුමුහුණතකි කියවීමේ කියවීම ඔබට විශේෂ වරප්රසාද තිබිය හැක:

SunOS 3.x හෝ 4.x යටතේ NIT හෝ BPF යටතේ:

ඔබ / dev / nit හෝ / dev / bpf * වෙත කියවීමට ඉඩ තිබිය යුතුය.

DLPI සමඟ සෝලාරී යටතේ:

ඔබ ජාලයේ ව්යාජ උපකරණයට කියවීමට / ලිවීමට ප්රවේශ විය යුතුය, උදා. / Dev / le . කෙසේ වෙතත්, සොලාරිස්ගේ අවම වශයෙන් සමහර අනුවාදවලදී, කෙසේ වෙතත්, විචාරශීලී ප්රකාරයේදී tcpdump ඉඩ ලබා ගැනීමට මෙය ප්රමාණවත් නොවේ; සෝලරිස් හි එම අනුවාදයන් මත, ඔබ root විය යුතුය, නැතහොත් විචලන ආකාරයෙන් අල්ලා ගැනීම සඳහා rootTeuid ස්ථාපනය කිරීමට tcpdump ස්ථාපනය කල යුතුය. බොහෝ (සමහරවිට සියලු) අතුරුමුහුණත් මත ඔබ නොසැලකිලිමත් ආකාරයකින් අල්ලා නොගන්නේ නම්, ඔබ පිටතට යන පැකැට්ටු දැකිය නොහැකි වන පරිදි, නොසැලකිලිමත් ප්රකාරයේදී සිදු නොකළ ග්රහණය ඉතා ප්රයෝජනවත් නොවේ.

HP-UX සමඟ DLPI යටතේ:

ඔබ root විය යුතුය හෝ tcpdump root බවට rootup ස්ථාපනය කළ යුතුය.

IRIX යටතේ snoop සමඟ:

ඔබ root විය යුතුය හෝ tcpdump root බවට rootup ස්ථාපනය කළ යුතුය.

Linux යටතේ

ඔබ root විය යුතුය හෝ tcpdump root බවට rootup ස්ථාපනය කළ යුතුය.

Ultrix සහ ඩිජිටල් UNIX / Tru64 UNIX යටතේ:

ඕනෑම පරිශීලකයෙකු tcpdump සමඟ ජාල තදබදය ග්රහණය කර ගත හැක. කෙසේ වෙතත්, සුපිරි පරිශීලකයා (සුපිරි පරිශීලකයා පවා නොවේ) අතුරු මුහුණතක් තුල නොසැලකිලිමත් ආකාරයකින් අල්ලා ගත හැක, සුපිරි පරිශීලකයා pfconfig (8) භාවිතයෙන් විවේචනාත්මක -මාතයේ ක්රියාකාරීත්වය සක්රීය කර ඇති අතර, පරිශීලකයා (සුපිරි පරිශීලකයා පවා නොවේ ) සුපිරි පරිශීලකයා pfconfig භාවිතයෙන් පිටපත්-සියලු-මාතය ක්රියාකාරීත්වය සක්රීය කර ඇත, අතුරු මුහුණත තුල ඇති ප්රයෝජනවත් පැකට් අල්ලා ගැනීම සඳහා ඇතැම් විට විවේචනාත්මක -ප්රකාරය හෝ පිටපත -all-mode මෙහෙයුම්, හෝ දෙකම මෙහෙයුම් ආකාර දෙකම, එම අතුරුමුහුණත මත සක්රිය කළ යුතුය.

BSD යටතේ:

ඔබ / dev / bpf * වෙත ප්රවේශය කියවිය යුතුවේ .

සුරක්ෂිත පැකට් ගොනුව කියවීම විශේෂ වරප්රසාද අවශ්ය නොවේ.

විකල්ප

-ඒ

ජාල මාරු කිරීම සහ ලිපිනයන්හි නම් විකාශනය කිරීමට උත්සාහ කිරීම.

-c

පැකට්ටු ලබා ගැනීමෙන් පසු පිටවීම.

-C

අමු පැකට්ටුවක් සුරකින ගොනුවක් ලිවීමට පෙර, file_size වඩා විශාල වේ දැයි පරික්ෂා කර බලන්න, එසේ නම්, වත්මන් සුරකින ගොනුව වසා නව එකක් විවෘත කරන්න. පළමු ෆේස් ෆයිෆ් ෆයිල්ස් ෆයිල් ෆයිල්ස් පසුව, -W ධජය සමඟ නිශ්චිතව දක්වන ලද නමක්, එය පසුව අංකයක් සහිතව, 2 සිට ඉදිරියට ගෙනයන්න. File_size ඒකක බයිට් මිලියන ගණනක් ( බයිටේනට් 1000,000, බයිට් 1,048,576 නොවේ).

-d

සම්මත කියවීම් නිපදවන්න සහ නතර කිරීමට මිනිසා කියවිය හැකි ආකෘතියකින් සම්පාදනය කරන ලද පැකට්ටු-ගැලපීමේ කේතය ඉවත් කරන්න.

-dd

C වැඩසටහන් ගොනුවක් ලෙස ඩම්ප් පැකට්-ගැලපීමේ කේතය.

-ddd

දශම සංඛ්යා වශයෙන් (ඩයිවර්ට් පැකට්-ගැලපීමේ කේතය) (පෙර ගණනය කිරීමෙන් පෙර).

-ඊ

එක් එක් ඩම්ප් රේඛාවේදී සම්බන්ධක මට්ටමේ ශීර්ෂය මුද්රණය කරන්න.

-ඊ

අල්ට්රා භාවිතා කරන්න : decrypting IPsec ESP පැකට් සඳහා රහස් . ඇල්ගොරිතම විය හැක des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc හෝ කිසිවක් නැත . ප්රකෘතිය යනු des-cbc වේ. පැකේජ විභේා්කරණය කිරීමේ හැකියාව tcpdump සක්රිය කළ හැකිනම් සක්රීයව පවතී. ESP රහස් යතුරක් සඳහා ASCII රහස රහස්ය කරයි. මේ මොහොතේ අත්තනෝමතික ද්විමය වටිනාකමක් අපට ලබා ගත නොහැක. මෙම විකල්පය RFC2406 ESP උපකල්පනය කරයි, RFC1827 ESP නොවේ. මෙම විකල්පය දෝෂහරණය සඳහා පමණි. සැබවින්ම රහස් යතුර සමඟ මෙම විකල්පය භාවිතා කිරීම අධෛර්යමත් කරවයි. IPsec රහස් යතුර විධාන රේඛාව වෙත ඉදිරිපත් කිරීමෙන් ඔබ එය අන් අයට පෙනෙන අතර, PS (1) සහ වෙනත් අවස්ථාවන්හිදී එය දැකගත හැකිය.

-එම්

"විදේශීය" අන්තර්ජාල ලිපිනයන් සංකේතාත්මකව වඩා සංඛ්යාත්මකව (සබ්එම් සේවාදායකයේ දී බරපතල මොළයේ හානි සිදුවීම සඳහා මෙම විකල්පය භාවිතා කිරීමට අදහස් කරනු ඇත --- සාමාන්යයෙන් එය දේශීය නොවන අංකයන් සදාකාලිකවම අඳිනු ලබන්නේය).

-F

පෙරහන් ප්රකාශනය සඳහා ආදාන ලෙස ගොනු භාවිතා කරන්න. විධාන රේඛාවේ ඇති අතිරේක ප්රකාශනයක් නොසලකා හරිනු ලැබේ.

-මම

අතුරු මුහුණතේ සවන් දෙන්න. නොතිබූ නම්, tcpdump අවම අංකනය සඳහා පද්ධති අතුරුමුහුණත ලැයිස්තුව සොයයි, වින්යාසගතවු අතුරු මුහුණත (ලූප් බැක් හැර). මුල්ම තරගය තෝරා ගැනීමෙන් සම්බන්ධ වී තිබේ.

ලිනක්ස් පද්ධති මත 2.2 හෝ ඊට වැඩි කර්නල් සහිතව, `` ඕනෑම '' අතුරුමුහුණත් පරාමිතියක් සියළුම අතුරුමුහුණත් වලින් පැකට් ලබාගත හැකිය. '' කිසිඳු '' උපකරණයක් මත අල්ලා ගැනීම නොහොබිනා ආකාරයකින් සිදු නොකරන බව සලකන්න.

-එම්

Stdout රේඛා බෆරයක් බවට පත් කරන්න. එය ග්රහණය කරගන්නා විට දත්ත දැකීමට අවශ්ය නම් ප්රයෝජනවත් වේ. උදාහරණයක් වශයෙන්,
`` tcpdump -l | tee dat '' හෝ `` tcpdump -l> dat & tail -f dat ''.

-එම්

ගොනු මොඩියුලය මගින් SMI MIB මොඩියුල නිර්ණයන් ප්රවේශ කරන්න. මෙම විකල්පය tcpdump වෙත MIB මොඩියුලයන් කිහිපයක් පැටවීම සඳහා කිහිප වතාවක් භාවිතා කළ හැකිය.

-n

නමට ලිපිනයන් අනුචලනය කරන්න එපා. DNS විමසීම් මඟහරවා ගැනීමට මෙය භාවිතා කළ හැක.

-එන්

ප්රොටෝකෝලය සහ වරාය අංක ආදි ලෙස පරිවර්තනය නොකළ යුතුය.

-N

ධාරක නාම නාමයන් සඳහා වසම් නාමය සුදුසුකම් මුද්රණය නොකරන්න. උදාහරණයක් ලෙස, ඔබ මෙම ධජය ලබා දෙන්නේ නම්, tcpdump `` nic '' nic '' වෙනුවට `` nic.ddn.mil '' මුද්රණය කරනු ඇත.

-O

පැකට්-ගැලපුම් කේත ප්රශස්තිකරණය ක්රියාත්මක නොකරන්න. මෙය ප්රයෝජනවත් වන්නේ ඔබ සෙවුම් යන්ත්රයේ දෝශයක් සැක කළහොත් පමණි.

-ප

අනවශ්ය ආකාරයේ අතුරු මුහුණතක් බවට පත් නොකරන්න . වෙනත් හේතුවක් නිසා අතුරු මුහුණත වෙනස්කම් සිදු විය හැකිය. එබැවින් `-p 'ඊතර් ධාරක {local-hw-addr} හෝ ඊතර් විකාශනය සඳහා කෙටි යෙදුමක් ලෙස භාවිතා කළ නොහැක.

- q

ඉක්මන් (නිහඬ?) ප්රතිදානය. අඩු ප්රොටෝකෝලය තොරතුරු මුද්රණය කරන්න. නිමැවුම් රේඛාවන් කෙටි වේ.

-ආර්

පැරණි පිරිවිතර මත පදනම්ව ESP / AH පැකැට්ටුව අනුමත කළ යුතුය (RFC1825 සිට RFC1829). නිශ්චිතව දක්වා ඇතිනම්, tcpdump නැවත ධාවනය වැළැක්වීෙම් ක්ෂේත්රය මුද්රණය නොකෙරේ. ESP / AH පිරිවිතරයේ කිසිදු ප්රොටෝකෝලක සංස්කරණ ක්ෂේත්රයක් නොමැති බැවින් tcpdump ESP / AH ප්රොටොකෝලයෙහි අනුවාදය අඩු කළ නොහැක.

-ආ

ගොනුවේ සිට පැකට් කියවීම (-w විකල්පය සමඟ සාදන ලද). ගොනුව `` - '' නම් සම්මත ආදාන භාවිතා වේ.

- එස්

TCP නිඛිල සංඛ්යා වෙනුවට සාපේක්ෂව වඩා නිරපේක්ෂ මුද්රණය කරන්න.

-ස

පැකැට්ටුව 68 ට පෙරනිමියෙන් නොව දත්ත ගබඩාවෙන් දත්ත ගබඩාව සනස්ට් (SunOS හි NIT සමඟ අවම වශයෙන් සත්ය 96). IPB, ICMP, TCP සහ UDP සඳහා බයිට් 68 ක් ප්රමාණවත් වේ. නම සේවාදායකයේ සහ NFS පැකැට්ටු වෙතින් ප්රොටොසොපදින තොරතුරු (පහත බලන්න). සීමාසහිත සළකුණක් නිසා කපා ඇති පැකට්ටු `` [[ proto ] '', ප්රෝටෝ යනු කප්පාදු සිදු වී ඇති ප්රොටෝකෝලයේ මට්ටමේ නමයි. විශාල සැණිසිලි ප්රමාණයන් ලබා ගැනීම සඳහා පැකැට්ටු සැකසීමට කාලය ගතවන කාලය වැඩි කර ඇති අතර, ඵලදායීව, පැකට් තන්තු බහාලන ප්රමාණය අඩු කරයි. මෙය පැකැට්ටු අහිමි විය හැක. ඔබ උනන්දුවක් දක්වන ප්රොටොකෝල තොරතුරු අල්ලා ගන්නා කුඩාම අංකයට සීමා කළ යුතු වේ. 0 සිට 0 දක්වා වන සකසා ගැනීම නම් සම්පූර්ණ පැකැට්ටු අල්ලා ගැනීමට අවශ්ය දිග භාවිතා කරන්න.

-ටී

" ප්රකාශනය " විසින් තෝරාගත් බලකා පැකැට්ටුව නිශ්චිත වර්ගය අර්ථ නිරූපනය කළ යුතුය. දැනට හැඳින්වෙන වර්ග නම් cnfp (Cisco NetFlow ප්රොටෝකෝලය), rpc (දුරස්ථ ක්රියා පටිපාටිය), rtp (රියල් ටයිම් යෙදුම් ප්රොටෝකෝලය), rtcp (රියල් ටයිම් යෙදුම් පාලන ප්රොටොකෝලය), snmp (සරල ජාල කළමනාකරණ ප්රොටොකෝලය), වීට් ), සහ wb ( බෙයාර් පුවරුව බෙදාහරින).

-ටී

එක් එක් ඩම්ප් රේඛාව මත ටයිම්ස්ටැම්ප් මුද්රණය නොකරන්න .

- ටී

එක් එක් ඩම්ප් රේඛාවක් මත නොතිබූ කාලෝචිත පත්රයක් මුද්රණය කරන්න.

-U

පරිශීලක වරප්රසාද සහ පරිශීලක හැඳුනුම් අංකය පරිශීලක සහ කණ්ඩායම් හැඳුනුම්පතේ මූලික පරිශීලකයාගේ පරිශීලකයාට කපා.

සටහන! Red Hat Linux ස්වයංක්රීයව පරිශීලකයාට `` pcap '' වරප්රසාද ලබා දෙයි.

-ඇට්

එක් එක් ඩම්ප් පේලියෙහි වත්මන් හා පෙර පේළිය අතර ඩෙල්ටා (ක්ෂුද්ර තත්පර වල) මුද්රණය කරන්න.

-ඇත්ත

පෙරනිමි ආකෘතියේ කාල සටහනක් එක් එක් ඩම්ප් රේඛාව මත දිනයක් අනුගමනය කරයි.

-අ

අනේවාසික NFS හැසිරවීම මුද්රණය කරන්න.

-v

(ස්වල්ප වශයෙන් වැඩි) සංකීර්ණ ප්රතිදානය. උදාහරණයක් ලෙස, IP පැකට්ටුවක ජීවත්වීමට, හඳුනා ගැනීම, සම්පූර්ණ දිග සහ විකල්පයන් මුද්රණය කරනු ලැබේ. IP සහ ICMP ශීර්ෂක චෙක්සම් තහවුරු කිරීම වැනි අතිරේක පැකට් සම්පූර්ණ අක්ෂි පිරික්සීම සඳහා ඉඩ සලසයි.

-vv

වඩාත් නපුරු ප්රතිදානය. උදාහරණයක් ලෙස, අතිරේක ක්ෂේත්ර NFS පැකට්ටු වලින් මුද්රණය කර ඇති අතර SMB පැකට්ටු සම්පූර්ණයෙන්ම විකේතනය කර ඇත.

-vvv

වඩාත් නපුරු ප්රතිදානය. උදාහරණයක් ලෙස, telnet SB ... SE විකල්ප සම්පූර්ණයෙන්ම මුද්රණය වේ. -X ටෙලි ජාල විකල්පයන් හෙක්ටෙයාරයකින් ද මුද්රණය කර ඇත.

වයි

අමු පැකැට්ටු අමූලිවීම හා මුද්රණය කිරීම වෙනුවට ගොනුවට ලියන්න. ඔවුන් පසුව -r විකල්පය සමඟ මුද්රණය කළ හැකිය. ගොනුව `` - '' නම් සම්මත ප්රතිදානය භාවිතා වේ.

-x

එක් එක් පැකට්ටුව මුද්රණය කිරීම (හෙක්ටයාර් එකේ සම්බන්ධක මට්ටමේ ශීර්ෂය අඩු) මුද්රණය කරන්න. සම්පූර්ණ පැකට්ටුවක හෝ බිංදු බයිට් වලින් කුඩා ප්රමාණයක් මුද්රණය කරනු ලැබේ. මෙම සම්බන්ධක ස්ථර පැකේජය වන්නේ සමස්ත ලින්ක්-ස්ලේට් පැකට් එකයි. එම නිසා ඊතර්නෙට් (ඊතර්නෙට්) යන බහාලුම් ස්ථර සඳහා අවශ්ය වේලාවට වඩා වැඩි ස්ථර පැකට් එකකට වඩා කෙටි වේ.

-X

Hex එක මුද්රණය කරන විට, ascii ද මුද්රණය කරන්න. එබැවින් -x ස්ථාපනය කර තිබේ නම්, පැකට්ටුව hex / ascii ලෙස මුද්රණය කර ඇත. නව ප්රොටොකෝල විශ්ලේෂණය කිරීම සඳහා මෙය ඉතා ප්රයෝජනවත් වේ. -x ස්ථාපනය නොකළ වුවද, සමහර පැකට්ටු සමහර කොටස් hex / ascii ලෙස මුද්රණය කළ හැකිය.

ප්රකාශනයකි

කුමන පැකැට්ටුව ඉවත් කරනවාදැයි තෝරන්න. ප්රකාශනයක් ලබා නොදුනහොත්, ජාලය මත සියලු පැකට්ටු ඉවත් කරනු ලැබේ. එසේ නොමැතිනම්, ප්රකාශය සත්යයක් වන පැකේජ පමණි.

ප්රකාශනය එක් හෝ වැඩි ප්රාථමිකයන්ගෙන් සමන්විත වේ . Primitivists සාමාන්යයෙන් එක් හෝ වැඩි සුදුසුකම් ඇති සුදුසුකම් ඇති අයෙකු (නම හෝ අංකය) වලින් සමන්විත වේ. සුදුසුකම් වර්ග තුනක් තිබේ:

වර්ගයකි

සුදුසුකම් හඳුනාගැනීමේ අංකය සඳහන් වන්නේ කුමන ආකාරයේ නමක් හෝ සංඛ්යාවක් යන්නයි. හැකි ආකාර වනුයේ සත්කාරක , ජාල සහ වරාය . උදාහරණයක් ලෙස, 'සත්කාරක foo', 'net 128.3', 'port 20'. වර්ගය වර්ගීකරණයක් නොමැතිනම්, ධාරකය උපකල්පනය කෙරේ.

ඩිරා

සුදුසුකම්: විශේෂිත මාරු කිරීමේ දිශාව සහ / හෝ හැඳුනුම් අංකයෙන් සඳහන් කරන්න . හැකි උපරිම වන්නේ src , dst , src හෝ dst සහ src සහ dst . උදා., `Src foo ',` dst net 128.3', `src හෝ dst port ftp-data '. ඩිර ක්රිප්ටික් නොමැති නම්, src හෝ dst උපකල්පනය කර ඇත. 'Null' සබැඳි ස්ථර සඳහා (උදා: ස්ලිප් වැනි ලක්ෂ්යයන් වෙතට යොමු කිරීම) බාහිර හා පිටතට යන සුදුසුකම් ලිවීමට අපේක්ෂිත දිශාව නියම කිරීම සඳහා භාවිතා කල හැක.

ප්රෝටෝ

සුදුසුකම් තරඟකරුට විශේෂිත ප්රොටෝකෝලයකට සීමා කිරීම. හැකි ප්රෝටෝස් වේ: ඊතර් , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp සහ udp . උදාහරණයක් ලෙස, `ether src foo ',` arp net 128.3', `tcp port 21 '. ප්රෝටෝ ගුණාත්මක භාවයක් නොමැති නම්, වර්ගය සමඟ අනුකූල වන සියලු ප්රොටොකෝල උපකල්පනය කරනු ලැබේ. නිදසුනක් ලෙස, `src foo 'යනු` (ip හෝ arp හෝ rarp) src foo' (අන්තිමයන් නීත්යානුකූල නොවන syntax) නොවේ, 'net bar' යනු 'ip or arp or rarp) net bar' සහ 'port 53' යනු `(tcp හෝ udp) port 53 '.

[`fddi 'යනු' ether 'සඳහා අන්වර්ථයක් වෙයි. parser එක සමාන ලෙස අර්ථ දැක්වෙන්නේ '' නිශ්චිත ජාල අතුරුමුහුණතක් සඳහා භාවිතා කරන දත්ත සම්බන්ධතා මට්ටමයි. '' FDDI ශීර්ෂයන් ඊතර්නෙට් වැනි ප්රභව සහ ගමනාන්ත ලිපින අඩංගු වන අතර බොහෝ විට Ethernet-like පැකට් වර්ග අඩංගු වේ. එබැවින් ඔබට මෙම FDDI ක්ෂේත්රයන් පෙරහන කළ හැකිය සමාකල්ය ඊතර්නෙට් ක්ෂේත්ර සමඟ සමානවම. FDDI ශීර්ෂක අනෙකුත් ක්ෂේත්ර ද අඩංගු වේ, නමුත් ඔබට ඒවා පෙරහන් ප්රකාශනයේ දී පැහැදිලිව සඳහන් කළ නොහැක.

සමානව, `tr 'යනු' ether 'සඳහා අන්වර්ථයක් වේ. FDDI ශීර්ෂ පිළිබඳව පෙර ඡේදයේ ප්රකාශයන් ටෝකන් කෝල් ශීර්ෂයන්ටද අදාළ වේ.]

මීට අමතරව, රටාව, විකාශනය , අඩු , විශාල සහ ගණිත ප්රකාශයන් අනුගමනය නොකරන විශේෂිත "ප්රමිති" ප්රධාන වචන කිහිපයක් ඇත. පහත සියල්ල විස්තර කර ඇත.

වඩාත් සංකීර්ණ පෙරහන් ප්රකාශයන් වචන හා , හෝ හෝ ප්රාථමිකයන් ඒකාබද්ධ කිරීමට නොවේ . නිදසුනක් ලෙස, `සත්කාරක foo සහ port ftp නොවේ, port ftp-data නොවේ '. ටයිප් කිරීම සුරැකීමට, සමාන ගුණාත්මක ලැයිස්තු මඟහැරිය හැක. නිදසුනක් ලෙස, `tcp dst port ftp හෝ ftp-data හෝ domain 'යනු tcp dst port ftp හෝ tcp dst port ftp-data හෝ tcp dst port domain' හරියටම සමාන වේ.

අවසර ලත් ප්රාථමිකයන්:

dst සත්කාරක ධාරකය

පැකට්ටුවේ IPv4 / v6 ගමනාන්ත ක්ෂේත්රය සත්කාරක වේ නම් එය සත්යයක් හෝ නමක් විය හැකිය.

හර්ට් සත්කාරක ධාරකය

පැකට්ටුවේ IPv4 / v6 මූල ක්ෂේත්රය ධාරක වේ නම් සත්ය වේ.

සත්කාරක ධාරකය

IPv4 / v6 මූලාශ්රය හෝ පැකට්ටුවේ ගමනාන්තය සත්කාරක වේ නම් සත්ය වේ. ඉහත සඳහන් ධාරක ප්රකාශයන් ඕනෑම ප්රධාන වචන, ip , arp , rarp , හෝ ip6 ලෙස පෙරහන කළ හැක:

ip සත්කාරක ධාරකය

සමාන වේ:

ඊතර් ප්රොටො \ ip සහ සත්කාරක ධාරකය

ධාරක නාමය බහු IP ලිපින සහිත නමක් නම්, සෑම ලිපිනයක්ම තරඟයක් සඳහා පරීක්ෂා කරනු ලැබේ.

ඊතර් dst ehost

ඊතර්නෙට් ගමනාන්ත ලිපිනය ehost නම් සත්ය වේ. Ehost විය හැක / etc / eters වලින් හෝ නමක් (සංඛ්යාවක් ආකෘතිය සඳහා ඊතරර් (3N) බලන්න).

ඊතර් වර්ඩ් ඊහෝට්

ඊතර්නෙට් ප්රභව ලිපිනය ehost එකක් නම් සත්ය වේ.

ඊතර් සත්කාරක අවුල

ඊතර්නෙට් ප්රභවය හෝ ගමනාන්තය යන ලිපිනය ehost එකක් නම් සත්ය වේ.

ද්වාර සැපයුම් සත්කාරක

පැකට්ටුව ධාරකයක් ලෙස භාවිතා කළ හොත් Gateway ලෙස භාවිතා කරයි. ඒ අනුව, ඊදර්නෙට් ප්රභවය හෝ ගමනාන්ත ලිපිනය සත්කාරක වන නමුත් IP මූලාශ්රය හෝ IP ගමනාන්තය සත්කාරකයට නැත . සත්කාරක නමක් විය යුතු අතර යන්ත්රයේ ධාරක-නම-IP ලිපිනය විභේදන යාන්ත්රණ (ධාරක නාම ගොනුව, DNS, NIS, ආදිය) සහ පරිගණකයේ ධාරක-ඊමේල්-ඊතර්නෙට්-ලිපින නිරාකරණය මගින් සොයාගත යුතුය. යාන්ත්රණය (/ etc / ethers, ආදිය). (සමාන ප්රකාශනයකි

ඊතර් සත්කාරක අවුල් සහ සත්කාරක සත්කාරක නොවේ

එමඟින් නාමයන් හෝ අංක හෝ සත්කාරක / වේදිකාවේදී භාවිතා කළ හැක.) මෙම ආකෘතිය මෙම මොහොතේ IPv6-වින්යාස වින්යාසයෙහි ක්රියා නොකරයි.

dst net net

පැකට්ටුවේ IPv4 / v6 ගමනාන්තය ලිපිනය සතුව ජාල ගණනක් ඇත. ජාලය / etc / networks වෙතින් හෝ නමක් හෝ ජාල අංකයක් විය හැකිය ( තොරතුරු සඳහා ජාල (4) බලන්න).

ග්රාස් ශුද්ධ ජාලය

පැකට්ටුවේ IPv4 / v6 මූල ලිපිනය ජාලයේ ජාල අංකයක් ඇත.

ශුද්ධ ජාලය

IPv4 / v6 මූලාශ්රය හෝ පැකට්ටුවෙහි ගමනාන්තය යන ලිපිනය එක්කෝ ජාලයක් වන ජාලයක් ඇත.

net net mask netmask

IP ලිපිනය නිශ්චිත netmask සමඟ ජාලයට ගැලපේ නම් සත්යයකි. වින්ඩෝස් හෝ ඩීස්ට් සමඟ සුදුසුකම් ලබා ගත හැකිය. මෙම ආකෘතිය IPv6 ජාල සඳහා වලංගු නොවේ.

ශුද්ධ දැල / ලෙන්

IPv4 / v6 ලිපිනය Netmask len bits wide සමඟ ජාලයට ගැලපේ නම් සත්යයකි. වින්ඩෝස් හෝ ඩීස්ට් සමඟ සුදුසුකම් ලබා ගත හැකිය.

dst port port

පැකට් එකක් නම් ip / tcp, ip / udp, ip6 / tcp හෝ ip6 / udp සහ වරායේ ගමනාන්ත port අගයයි. වරාය / etc / services හි භාවිතා වන අංකයක් හෝ නමක් විය හැක ( tcp (4P) සහ udp (4P) බලන්න). නම භාවිතා කරන්නේ නම්, වරාය අංකය සහ ප්රොටොකෝලය යන දෙකම පරීක්ෂා කෙරේ. අංකයක් හෝ දෙගිඩියාවෙන් යුත් නම භාවිතා කරන්නේ නම්, port number එක පරීක්ෂාවට ලක් කරනු ඇත (උදාහරණ ලෙස, dst port 513 tcp / login traffic සහ udp / traffic යන දෙකම මුද්රණය කරයි, සහ port domain ලෙස tcp / domain සහ udp / domain traffic ලෙස මුද්රණය කරනු ලැබේ).

ස්තූතියි

පැකට් එකක් වරායේ මූලාශ්ර port port අගය ඇත .

වරාය වරායයි

පැකට්ටුවේ මූලාශ්රය හෝ ගමනාන්තය වරාය නම් වරායයි . ඉහත සඳහන් වරායන් ප්රකාශයන් ඕනෑම ආකාරයේ මූලයන්, tcp හෝ udp වැනි ලෙස දැක්විය හැක:

TCP src port port

ටොපර් යනු වරායේ වරාය වන tcp පැකට් පමණි.

අඩු දුර

පැකට්ටුව දිග ප්රමාණයකට හෝ ඊට සමාන දුරක් තිබේ නම් සත්යය. මෙය සමාන වේ:

len <= දිග .

වැඩි දිගක්

පැකට්ටුව දිග ප්රමාණයට හෝ ඊට සමාන දිගකින් යුක්ත නම් සත්ය ය. මෙය සමාන වේ:

len> = දිග .

IP ප්රොටො protocol එකක්

පැකට් එක IP පැකට්ටුවක් ( ip (4P) බලන්න) ප්රොටොකැම් වර්ගයේ ප්රොටොකෝලය . ප්රොටොකෝලය නම් අංක හෝ එකේ නම් icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , හෝ tcp වලින් එකක් විය හැක . හඳුනාගැනීම් tcp , udp , සහ icmp යන වචනද ප්රධාන වචන වන අතර C-shell තුල \\ backs යනුවෙන් backslash (\) හරහා ගැලවිය යුතුය. මෙම ප්රාථමිකයා ප්රොටොකෝලය ප්රධාන ශීර්ෂය හඹා නොයනු ඇත.

ip6 ප්රොටොකෝ protocol එකක්

පැකට්ටුව ප්රොටෝකෝලේ ආකාරයේ ප්රොටෝකෝලයක් වන IPv6 පැකට්ටුවකි. මෙම ප්රාථමිකයා ප්රොටොකෝලය ප්රධාන ශීර්ෂය හඹා නොයනු ඇත.

ip6 ප්රොටෝකන් ප්රොටොකෝලය

පැකට් එකක් IPv6 පැකට් එකක් නම් සත්ය මූල ශීර්ෂය දාමය තුළ ප්රොටොකෝලය සහිත මූල ශීර්ෂය අඩංගු වේ. උදාහරණයක් වශයෙන්,

ip6 ප්රොටෝකන් 6

TCP ප්රොපර් ශීර්ෂය සමඟ ප්රොටොකෝඩර් ශීර්ෂය දාමයේ ඕනෑම IPv6 පැකට්ටුවකට ගැලපේ. උදාහරණයේ සත්යාපන ශීර්ෂකය, මාර්ගගත ශීර්ෂකය හෝ hop-by-hop විකල්ප ශීර්ෂය, IPv6 ශීර්ෂකය සහ TCP ශීර්ෂය අතර අඩංගු විය හැකිය. මෙම ප්රාථමිකය මගින් නිකුත් කරන BPF කේතය සංකීර්ණ වන අතර එය tcpdump හි BPF optimizer කේතයෙන් ප්රශස්තිකරණය කළ නොහැකියි, එබැවින් මෙය තරමක් මන්දගාමී විය හැක.

ip ප්රෝටෝෂාන් ප්රොටොකෝලය

Ip6 ප්රොටෝකන් ප්රොටෝකෝලයට සමාන වන නමුත් මෙය IPv4 සඳහා වේ.

ඊතර් විකාශය

පැකට්ටුව ethernet විකාශන පැකට්ටුවක් නම් සත්යයකි. ඊතර් මූල පදය අත්යවශ්ය නොවේ.

ip විකාශනය

පැකට්ටුව IP විකාශන පැකේජයක් නම් සත්යයකි. එය සර්ව-ශුන්ය සහ සියලු විකාශණ සම්මුතීන් දෙකම සඳහා පරීක්ෂා කරයි, සහ දේශීය අනුජාල මාදිලිය බලන්න.

ඊතර් multicast

පැකට්ටුව ethernet multicast පැකට් එකක් නම් සත්ය වේ. ඊතර් මූල පදය අත්යවශ්ය නොවේ. මෙය ' ether [0] & 1! = 0 ' සඳහා වර්ණවත් කිරීමකි.

ip multicast

පැකට්ටුව IP බහු පැකේජ් පැකට් එකක් නම් සත්යයකි.

ip6 multicast

පැකට්ටුව IPv6 බහු පාර්ශ්වික පැකට්ටුවක් නම් සත්යයකි.

ඊතර් ප්රොටො protocol එකක්

පැකට්ටුව ඊතර් වර්ගයේ ප්රොටෝකෝලය වේ නම් සත්යය. ප්රොටොකෝලය අංක හෝ අයිපී , අයිපීඑල් , ආර්පී , රැප්ප් , ඇල්ඩොක් , ආර්arp , ඩැනට් , ස්කැ , ලොට් , mopdl , moprc , iso , stp , ipx හෝ netbeui වලින් එකක් විය හැකිය . මෙම අනන්යතාවන් ප්රධාන වචන ලෙස සැලකිය යුතු අතර backslash (\) හරහා ගැලවිය යුතුය.

[FDDI ප්රොටොකෝලය (උදාහරණයක් ලෙස " fddi protocol arp ") සහ ටෝකන් රින් (උදා: " tr protokol arp "), බොහෝ ප්රොටොකෝල සඳහා හඳුනාගැනීමේ මූලාරම්භය 802.2 ලොජිකල් ලින්ක් පාලන (LLC) ශීර්ෂය වෙතින් වේ. සාමාන්යයෙන් FDDI හෝ ටොකන් රින්ග් ශීර්ෂනය ඉහළට නැමති තැන්.

FDDI හෝ ටෝකන් රින්ස් මත බොහෝ මූලපද හඳුනාගැනීම් සඳහා පෙරුම් කිරීමේදී, tcpdump පරික්ෂා කර ඇත්තේ ඊතර්නෙට් (Ethernet) සඳහා 0x000000 හි සංවිධානාත්මක ඒකකය (OUI) සමඟ ඊනියා SNAP ආකෘතියේ LLC ශීර්ෂකයෙහි ප්රොටෝකන ID ක්ෂේත්රය පමණි. පැකේජය 0X000000 OUI සමඟ SNAP ආකෘතියේ තිබේදැයි පරීක්ෂා නොකරයි.

ව්යාතිරේඛ වන්නේ iso , එය LLCS ශීර්ෂකය, stp සහ netbeui හි DSAP (ගමනාන්ත සේවා ප්රවේශ ප්රවේශය) සහ SSAP (මූලාශ්ර සේවා ප්රවේශ ප්රවේශ) ක්ෂේත්ර පරීක්ෂා කරන අතර, එය LLC ශීර්ෂයේ DSAP පරික්ෂා කරන අතර එය ඇඩම් 0x080007 OUI සහ ඇප්ලෙට්ක්ල් ඇටයිප් සමඟ SNAP-ආකෘති පැකේජයක් සඳහා චෙක්පත්.

ඊතර්නෙට් නම් අවස්ථාවක දී, tcpdump බොහොමයක් එම ප්රොටෝකෝල සඳහා ඊතර්නෙට් වර්ගයේ ක්ෂේත්රය පරික්ෂා කරයි; ව්යතිරේක කිරීම් වන්නේ iso , sap , netbeui , එය 802.3 රාමුව සඳහා පරීක්ෂා කරයි, ඉන්පසු එය FDDI සහ ටෝකන් රින්ග් සඳහා ඇලෙක්සැන්ඩර් ලෙස භාවිතා කරයි , පසුව එය ඊතර්නෙට් රාමුව සඳහා Appletalk etype සඳහා දෙකම පරීක්ෂා කරයි. FDDI සහ ටෝකන් රින්ග් සඳහා එය SNAP-ආකෘති පැකේජය සඳහා වන අතර එය එය Ethernet රාමුවක් හෝ 802.2 SNAP රාමුව 0x000000 OUI සමඟ රාමු යෙදුම භාවිතා කරනු ලබයි. ඊතර්නෙට් රාමුව, LLC හි ශීර්ෂය තුළ IPX DSAP, 802.3 වන අයිඑස්එස් කිසිදු ශීර්ෂ පාඨ කට්ටලයක් නොමැතිව සහ SNAP රාමුව තුළ IPX ආකෘතියේ නැත.]

ඩේනෙට් ස්ට්රොට් සත්කාරක

DECNET ප්රභව ලිපිනය සත්කාරක වේ නම්, එය `` 10.123 '' ආකෘතියේ ලිපිනය හෝ DECNET සත්කාරක නාමය විය හැකිය. [DECNET සත්කාරක නාම අනුග්රාහකත්වය වන්නේ DECNET ධාවනය සඳහා සකසා ඇති Ultrix පද්ධති මත පමණි]

dst dst සත්කාරක

DECNET ගමනාන්ත ලිපිනය සත්කාරකයක් නම් සත්යයකි.

ඩැමේට් සත්කාරක ධාරකය

DECNET මූලාශ්රය හෝ ගමනාන්ත ලිපිනය හෝ සත්කාරකයේ නම් සත්ය නම්.

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

සඳහා වන කෙටි යෙදුම්

ඊතර් ප්රෝටෝ පී

p යනු ඉහත ප්රොටොකෝලය අතරින් එකකි.

ලොත් , moprc , mopdl

සඳහා වන කෙටි යෙදුම්

ඊතර් ප්රෝටෝ පී

p යනු ඉහත ප්රොටොකෝලය අතරින් එකකි. Tcpdump දැනට මෙම ප්රොටොකෝලය විසඳා ගන්නේ කෙසේද යන්න දැන නොසිටින්න.

vlan [vlan_id]

පැකට්ටුව IEEE 802.1Q VLAN පැකට් එකක් නම් සත්ය වේ. [Vlan_id] නියම කර තිබේ නම්, සත්යය වන්නේ එම පැකේජය විශේෂිත වූ vlan_id ඇත. ප්රකාශනයේ දී පළමුවන vlan මූල පදය, පැකට් එක VLAN පැකට්ටුව බව උපකල්පනය මත ප්රකාශනයේ ඉතිරි කොටස සඳහා විකේතන අසමත්කිරීම් වෙනස් කරයි.

tcp , udp , icmp

සඳහා වන කෙටි යෙදුම්

ip proto p හෝ ip6 proto p

p යනු ඉහත ප්රොටොකෝලය අතරින් එකකි.

iso proto ප්රොටොකෝලය

පැකට්ටුව ප්රොටෝකෝලය ආකාරයේ ප්රොටෝකෝලයක් වන පැකේජ පැකේජයක් වේ. ප්රොටෝකෝලය නම් clnp , esis හෝ isis යන නම් වලින් එකක් හෝ එකක් විය හැක.

සීපීඑස්එස් , ඊසිස් , අයිසිස්

සඳහා වන කෙටි යෙදුම්

iso proto p

p යනු ඉහත ප්රොටොකෝලය අතරින් එකකි. Tcpdump මෙම ප්රොටෝකෝලය විග්රහ කිරීම පිළිබඳ අසම්පූර්ණ කාර්යයකි.

expr relop expr

සම්බන්ධතාවය පවතී නම්, relop යනු එක් ස්ථානයක සත්ය නම්, <,> =, <=, =,! =, සහ expr යනු සංඛ්යා රේඛා (සංඛ්යාත්මක සී ආකෘතියෙන් ප්රකාශිත) සංඛ්යාංක ප්රකාශනයකි, සාමාන්ය ද්විත්ව ක්රියාකරු [+ , -, *, /, &, |], දිගු ක්රියාකරු සහ විශේෂ පැකට් දත්ත ප්රවේශයන්. පැකට්ටුව තුල දත්ත ප්රවේශ කිරීමට පහත දැක්වෙන රීතය භාවිතා කරන්න:

ප්රෝටෝ [ ප්රකාශය : විශාලත්වය ]

Proto යනු ඊතර්, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp හෝ ip6 සහ දර්ශක මෙහෙයුම් සඳහා ප්රොටොකෝල ස්තරයකි. ( ඊතර්, fddi, tr, ppp, slip සහ link යන සියල්ල සබැඳි ස්තරය වෙත යොමුවන්න.) tcp, udp සහ අනෙකුත් ඉහල ස්ථර පෙළේ ප්රොටොකෝල වර්ග පමණක් IPv4 වලට IPv4 වලට අදාල නොවේ. මෙය අනාගතයේ දී ස්ථාවර වනු ඇත. සඳහන් බහාලුම් ස්තරයට සාපේක්ෂව බයිට් ඔත්තුව ප්රකාශයට පත් කරනුයේ expr . ප්රමාණය අත්යවශ්ය නොවේ. පොළී ක්ෂේත්රය තුළ ඇති බයිට්ස් ගණන; එය එක්, ෙදකක් හෝ හතරක් විය හැකි අතර එක් අයෙකුට පෙරනිමිය හැකිය. යතුරු ලියනය මඟින් දැක්වෙන දිගු ක්රියාකරු පැකට්ටුවෙහි දිග ප්රමාණය සපයයි.

උදාහරණයක් ලෙස ' ether [0] & 1! = 0 ' සෑම බහුමාධ්ය ගමනාගමනයක්ම අල්ලයි. " Ip [0] & 0xf! = 5 " යන ප්රකාශය විකල්පයන් සමඟ සියලු IP පැකැට්ටු අල්ලාගෙන ඇත. ' Ip [6: 2] & 0x1fff = 0 ' යන ප්රකාශය කෙටියෙන් කියෑවුණු ඩෙටා ග්රෑම් එකකට කැඩී බිඳී ගිය ඩෙටා ග්රෑම් එකකින් කැඩී යයි. මෙම චෙක්පත ටීසීඑෆ් සහ ඩීඑම්ප දර්ශක මෙහෙයුම් සඳහා implicitly අයදුම් කර ඇත. උදාහරණයක් ලෙස, tcp [0] සෑමවිටම TCP ශීර්ෂකයෙහි පළමු බයිටය යි. කිසි විටෙකත් මැදිහත් වන කොටස්වල මුල් බයිටයක් අදහස් නොවේ.

සමහර විචල්යයන් සහ ක්ෂේත්ර අගයන් සංඛ්යාත්මක අගයන් ලෙස නොව ඒවා ලෙස නම් කළ හැක. පහත දැක්වෙන ප්රොටොකෝලය ශීර්ෂ ක්ෂේත්ර offset ලබා ගත හැක: icmptype (ICMP වර්ගයේ ක්ෂේත්රය), icmpcode (ICMP කේත ක්ෂේත්රය), සහ tcpflags (TCP ධජ ක්ෂේත්ර).

පහත දැක්වෙන ICMP වර්ගයේ ක්ෂේත්ර අගයන් ඇත: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp- paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

පහත දැක්වෙන TCP-flags ක්ෂේත්ර අගයන් ලබා ගත හැකිය: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

ප්රිමියාවන් භාවිතා කළ හැකිය:

මූලාරම්භක කන්ඩායම්වල සහ ක්රියාකරුවන්ගෙන් (වරහන් විශේෂයෙන් ෂෙල් වෙතට විශේෂණය කරගත යුතුය).

සෘණ (' ! ' නැතහොත් ' නැහැ ').

සංකෝචනය (` && 'හෝ` සහ ').

විකල්ප (` || 'හෝ` හෝ ').

සෘණත්වය ඉහළ අගයක් ගනී. විකල්ප හා සමපාතයට සමානයින් ප්රමුඛත්වය හා ඇසුරේ සිට වමේ සිට දකුණට. නිරපේක්ෂ සහ ටෝකන්ස්, අනුකුලව නොගැලපෙන බව දැන් මතක තබාගන්න.

මූලික පදයක් නොමැතිව හඳුනා ගැනීමක් ලබා දෙන්නේ නම්, මෑතකාලීන යතුරු පදය උපකල්පනය කෙරේ. උදාහරණයක් වශයෙන්,

එස්.එස්.සී.

කෙටියි

ටෙස්ට් සහ සත්කාරක අර්ධ ශතකය නොලැබේ

එය ව්යාකූල නොවිය යුතුය

(ධාරකයෙක් හෝ ආසාදකයකු)

ප්රකාශ තර්ක tcpdump ට එක තර්කයක් හෝ බහු තර්කයක් ලෙසින් ලබා ගත හැක, ඊට වඩා පහසු වේ. සාමාන්යයෙන්, ප්රකාශනය Shell metacharacters අඩංගු නම්, එය තනි, උපුටා ගත් තර්කය ලෙස එය බෙදාගැනීම පහසුය. විවිධ තර්ක විස්තාරණය කිරීමට පෙර අවකාශය සමග සංකලනය වී ඇත.

උදාහරණ

ඉරුදින සිට පැමිණෙන හෝ පිටත්ව එන සියලුම පැකේජ මුද්රණය කිරීම:

tcpdump සත්කාරක වෙරළට

හීලියෝ සහ උණුසුම් හෝ අසුභ අතර ප්රවාහනය මුද්රණය කිරීම:

tcpdump සත්කාරක හීලියෝ සහ \ (උණුසුම් හෝ ආසා \)

හීලියොයිස් හැර ඕනෑම අශ්ව සහ ඕනෑම ධාරකයක් අතර IP ලිපින මුද්රණය කිරීම:

tcpdump ip host ace සහ හීලියෝ නොවේ

බර්ක්ලිහි සත්කාරක සහ සත්කාරක සමාගම් අතර ඇති සියලු ගමනාගමනය මුද්රණය කිරීම:

tcpdump net ucb-ether

අන්තර්ජාල පිවිසුම් ප්රොටෝකෝලය හරහා සියලු ftp තදබදය මුද්රණය කිරීම: (ප්රකාශනය උපුටා දැක්වීමෙන් (වැරදිසහගත අර්ථකථනයක් අර්ථකථනය කිරීම) වලක්වා ගැනීම සඳහා උපුටා දැක්වීම යෙදීම:

tcpdump ගේ ගේට්වේ ෂුප් සහ (වරාය ftp හෝ ftp-දත්ත)

දේශීය සත්කාරක සඳහා මූලාශ්රවලින් හෝ මූලාශ්රයන්ගෙන් තොරව මාර්ගගතව ප්රවාහනය මුද්රණය කිරීම සඳහා (ඔබ වෙනත් ජාලයකට පිවිසෙන නම්, මෙම දේ ඔබේ දේශීය ජාලයට කිසි විටෙක නොගත යුතුය).

tcpdump ip සහ net localnet නොවේ

එක් TCP සංවාදයක ආරම්භක සහ අවසන් පැකැට්ටු (SYN සහ FIN පැකට්) මුද්රණය කිරීම සඳහා දේශීය නොවන සත්කාරකයක් ඇතුළත් කිරීම.

tcpdump 'tcp [tcpflags] සහ (tcp-syn | tcp-fin)! = 0 සහ src සහ dst net localnet '

Gateway snup හරහා යැවූ බයිට් 576 කට වඩා IP packets මුද්රණය කිරීම:

tcpdump ගේ ගේට්වේ කම්පන සහ අයිපී [2: 2]> 576 '

Ethernet විකාශනය හෝ multicast හරහා යැවීම සිදු නොකළ IP විකාශන හෝ බහුජාතික පැකට්ටු මුද්රණය කිරීම:

tcpdump 'ether [0] & 1 = 0 සහ ip [16]> = 224'

Echo ඉල්ලීම් / පිළිතුරු නොවන ICMP පැකට් මුද්රණය කිරීම (එනම්, ඇසුරුම් පැකැට්ටු නොමැත):

tcpdump 'icmp [icmptype]! = icmp-echo සහ icmp [icmptype]! = icmp-echoreply'

ආකෘති පත්රය

Tcpdump ප්රතිදානය ප්රොටෝකෝලය රඳා පවතී. පහත දැක්වෙන කරුණු කෙටි විස්තරයක් සහ ආකෘතීන් බොහොමයක් සපයයි.

ලින්ක් මට්ටම ශීර්ෂක

'-e' විකල්පය ලබා දෙන්නේ නම්, සබැඳි මට්ටමේ ශීර්ෂකය මුද්රණය වේ. ඊතර්නෙට් මත, මූලාශ්රය සහ ගමනාන්ත ලිපින, ප්රොටොකෝලය සහ පැකට් දිග දිගු කරයි.

FDDI ජාල වල, '-e' විකල්පය tcpdump විසින් 'රාමු පාලන' ක්ෂේත්රය, ප්රභවය සහ ගමනාන්ත ලිපිනයන් සහ පැකට් දිග දිගු කිරීමට මුද්රණය කරයි. ("රාමු පාලන" ක්ෂේත්රය අනෙක් පැකේජයේ අර්ථ දැක්වීම පාලනය කරනු ලැබේ. සාමාන්ය පැකැට්ටු (IP datagrams අඩංගු වන) එනම් "අසනක්" පැකට්ටු, 0 සහ 7 අතර ප්රමුඛතා අගය වන අතර, උදාහරණයක් ලෙස ` async4 '. පැකට් 802.2 න්යායික සබැඳි පාලන (LLC) පැකැට්ටුවක් අඩංගු බවට උපකල්පනය කර ඇති අතර, එය එය අයිඑස්ඕ ඩෙටාග්රෑම් හෝ ඊනියා SNAP පැකට්ටුවක් නොවේ නම් LLC ශීර්ෂකය මුද්රණය කරයි.

Token Ring ජාලයන් මත, -e "විකල්පය මඟින් tcpdump " ප්රවේශ පාලක "සහ" රාමු පාලන "ක්ෂේත්ර මුද්රණය කිරීමට, ප්රභවය සහ ගමනාන්ත ලිපිනයන් සහ පැකට් දිග. FDDI ජාල වල මෙන්, පැකැට්ටු LLC පැකට් එකක් අඩංගු වේ. '-e' විකල්පය නිශ්චිත හෝ නොතිබුනද, මූලාශ්ර රවුටිං තොරතුරු මූලාශ්ර-යොමු සහිත පැකැට්ටු සඳහා මුද්රණය කර තිබේ.

(සැ.යු: පහත සඳහන් විස්තරය RFC-1144 හි විස්තර කර ඇති SLIP සම්පීඩන ඇල්ගොරිතමය සමඟ සුහදතාව පල කරයි).

SLIP සබැඳි වල, දර්ශන දර්ශකය (බාහිර සබැඳිවීම සඳහා `` I '' සඳහා, '' O ''), පැකට් වර්ගයේ සහ සම්පීඩන තොරතුරු මුද්රණය කෙරේ. පැකට් වර්ග මුලින්ම මුද්රණය කෙරේ. මෙම වර්ග තුනම ip , utcp සහ ctcp වේ. තවදුරටත් සබැඳි තොරතුරු ip පැකේජ සඳහා මුද්රණය නොකෙරේ. TCP පැකට් සඳහා, සම්බන්ධතා හඳුනාගැනීමේ ක්රමය වර්ගය අනුව මුද්රණය කර ඇත. පැකට්ටුව සම්පීඩිත නම්, එහි කේතන ශීර්ෂය මුද්රණය වේ. විශේෂ අවස්ථාවලදී * S + n සහ * SA + n ලෙස මුද්රණය කරනු ලැබේ. N යනු අනුක්රමික අංකය (හෝ අනුක්රමික අංකය සහ ack) වෙනස් වූ ප්රමාණයයි. එය විශේෂ අවස්ථාවක් නොවේ නම්, ශුන්ය හෝ වැඩි වෙනස්කම් මුද්රණය වේ. U (ඉක්මන් දර්ශකයක්), W (කවුළුව), A (ack), S (අනුක්රමික අංකය) සහ I (පැකට් හැඳුනුම්පත) මඟින් වෙනස් කරනු ලැබේ, ඉන්පසු ඩෙල්ටා (+ n හෝ -n) මගින් හෝ නව අගය (= n). අවසාන වශයෙන්, පැකැට්ටුවේ සහ සම්පීඩිත ශීර්ෂයේ දිග ප්රමාණය මුද්රණය කර ඇත.

උදාහරණයක් ලෙස, පහත දැක්වෙන රේඛාව මගින් පිටතට යන සම්පීඩිත TCP පැකට්ටුවක්, implicit connection identifier සමඟ දැක්වේ; ack 6, අනුපිළිවෙල අංක 49, සහ පැකට් හැඳුනුම් අංකය 6 කින්; සම්පීඩිත ශීර්ෂක දත්ත සහ බයිට් 6 ක් ඇත:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP පැකට්

Arp / rarp ප්රතිදානය පෙන්නුම් කරන ආකාරයේ ඉල්ලීම සහ එහි තර්ක පෙන්වයි. මෙම ආකෘතිය ස්වයං විවේචනය කිරීමට අදහස් කෙරේ. මෙහි දැක්වෙන්නේ සත්කාරක rtsg වෙතින් ' rlogin ' ආරම්භයේ සිට ලබා ගත් කෙටි නියැදියකි: csam host :

csam csam කියයි rtsg arp පිළිතුර CSAM යනු CSAM වේ

පළමු පේළිය කියනවා rtsg අන්තර්ජාල සත්කාරක CSAM ජාලයේ ඊතර්නෙට් ලිපිනය ඉල්ලා සිටිමින් ARP පැකට්ටුවක් යැවූ බව. Csam විසින් එහි ඊතර්නෙට් ලිපිනය සමඟ පිළිතුරු සපයයි (මෙම උදාහරණයේ දී ethernet ලිපිනය කුඩා අකුරුවලින් සහ අන්තර්ජාල ලිපිනයන්හි ඇත).

අප විසින් tcpdump -n ලෙස සිදු කර ඇත්නම්, මෙය අඩු කළ නොහැකි වනු ඇත.

ARP 128.3.254.6 කියන්න 128.3.254.68 arp පිළිතුර 128.3.254.6 වේ-02: 07: 01: 00: 01: c4

අපි tcpdump-e කරලා තිබුනේ නම්, පළමු පැකට්ටුව සම්ප්රේෂණය වන අතර දෙවැනියා ලක්ෂ්යයේ සිට දෘශ්යමාන වනු ඇත:

RTSG Broadcast 0806 64: arp-csam කියන්න rtsg CSAM RTSG 0806 64: arp පිළිතුර CSAM යනු CSAM

පළමු පැකේජය සඳහා ඊතර්නෙට් ප්රභව ලිපිනය RTSG වේ, ගමනාන්තය ethernet විකාශන ලිපිනය, වර්ගයේ ක්ෂේත්රය hex 0806 (ETHER_ARP ආකාරයෙන්) අඩංගු වන අතර මුළු දිග ප්රමාණය 64 කි.

TCP පැකට්

(සැ.යු.: පහත සඳහන් විස්තරය RFC-793 හි විස්තර කර ඇති TCP ප්රොටෝකෝලය අනුගමනය කරයි.ඔබට මෙම ප්රොටොකෝලය හුරුපුරුදු නොවේ නම්, මෙම විස්තරය හෝ tcpdump ඔබට බොහෝ ප්රයෝජනවත් නොවේ.)

TCP ප්රොටෝකෝලයේ සාමාන්ය ආකෘතිය වන්නේ:

src> dst: flags data-seqno ack අත්යවශ්ය විකල්ප

Src සහ dst යන ප්රභවයන් සහ ගමනාන්තයන් වන IP ලිපිනයන් සහ වරාය. ෆ්ලෑග් යනු S (SYN), F (FIN), P (PUSH) හෝ R (RST) හෝ එක් එක් සංයෝජනයකි. (කිසිදු කොඩි). Data-seqno මෙම පැකැට්ටුවේ දත්ත ආවරණය කරන අනුක්රමික අවකාශයේ කොටස විස්තර කරයි (පහත උදාහරණය බලන්න). Ack යනු මෙම සම්බන්ධතාවයේ වෙනත් දිශාව අපේක්ෂා කරන ඊලඟ දත්ත අනුක්රමය සංඛ්යාවක් වේ. කවුළුව මෙම සම්බන්ධතාවයේ අනෙක් දිශාව ලබා ගත හැකි බෆර් ඉඩ ප්රමාණයෙන් බයිට්ස් ගණනයි. යුගයේ පැකේජයේ 'හදිසි' දත්ත තිබේ. අභිරුචි යනු කෝණික වරහන් තුල ඇති tcp විකල්ප (උදා: ).

Src, dst සහ කොඩි සෑම විටම පවතී. අනෙක් කේෂ්ත්රය පැකට් ටීසී ප්රොටොකෝඩර්වල අන්තර්ගතය මත රඳා පවතී. සුදුසු වන්නේ නම් පමණි.

මෙහි දැක්වෙන්නේ සත්කාරක rtsg සිට සජිර් csam hosts සිට rlogin ආරම්භක කොටසයි .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. ඇතුල් වන්න: . ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. Ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) Ack 21 win 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) Ack 21 win 4077 urg 1

පළමු රේඛාව පවසන්නේ rtsg මඟින් tcp port 1023 මඟින් csam මත පිවිසුමක් සඳහා පැකට්ටුවක් යැවූ බවයි. SYN මඟින් SYN ධජය සකසා ඇත. පැකට් අනුක්රමය අංකය 768512 වන අතර එය දත්ත නොමැත. (අංකනය ප්රථමයෙන්: අන්තිම (nbytes) යනුවෙන් අදහස් කෙරෙනුයේ, "අනුක්රම සංඛ්යාවන් මුලින්ම ඉහළ අගයක් ගන්නා නමුත් අවසන් දත්ත ඇතුලත් නොකරන ලද පරිශීලකයන්ගේ දත්ත බයිට්ස්" යන්න නොවේ.) කොළ -පිටුබලය සහිත අක්ෂයක් නොමැත, ලබාගත හැකි කවුළුව 4096 බයිට් සහ බයිට්ස් 1024 ක Msss ඉල්ලා සිටියත් max-segment-size විකල්පය විය.

Csam සමග සමාන පැකට් එකක් සමඟ පිළිතුරු සපයන අතර එය rtsg's SYN සඳහා piggy-backed ack. Rtsg පසුව CCAM's SYN වැඩ කරයි. '.' කොඩියක් තිබුණේ නැහැ. දත්ත පැකේජ සංඛ්යාවක් නොමැති නිසා පැකට්ටුව දත්ත නොමැත. Ack අනුක්රමික අංකය කුඩා පරිපූර්ණ සංඛ්යාවක් බව (1). පළමු වරට tcpdump tcp `සංවාදයක් 'දකින අතර, එය පැකැට්ටු වලින් අනුපිළිවෙලින් අනුපිළිවෙලින් මුද්රණය කරයි. සංවාදයේ ඇති පැකේජවලදී වත්මන් පැකට් අනුක්රමය අංකය සහ මෙම අනුපිළිවෙලේ අංකය අනුපිළිවෙල මුද්රණය කෙරේ. මෙහි අර්ථය වන්නේ සංවාදයේ දත්ත ප්රවාහය තුළ පළමු අනුක්රමයෙන් අනුක්රමමය සංඛ්යා ලෙස අර්ථ දැක්විය හැකි බවයි. `-S 'මෙම ලක්ෂ්යය පරයා යනවා, මුල් අනුපිළිවෙලවල් නිපදවීමට නිපදවනු ඇත.

6 වන රේඛාව තුල, rtsg මඟින් Csam 19 දත්ත බයිට්ස් වෙත යැවෙයි (බයිට්ස් 2 සිට 20 rtsg -> csam පැත්තේ සංවාදයෙහි). PUSH ධජය පැකට්ටුව තුළ සකසා ඇත. 7 වන රේඛාවේදී, සීඑම්එම්එම්එම්එස්එන් වෙත ලැබුන දත්ත ලබා දෙන්නේ බයිටේ ඇතුළු නොකරයි. 21 බොහෝ විට මෙම දත්ත සෝෆේට් බෆරයේ සිට ඇති බව පෙනී යයි. බොහෝ දෙනා සෑම් වින්යාස කවුළුව කුඩා බයිට ගණන 19 ක් ලබා ඇත. Csam විසින් මෙම පැකට්ටුව තුල rtsg වෙත දත්ත එක් බයිටයක් ද යවයි. 8 වන සහ 9 වැනි පේළියේ, සීඑම්එම් හදිසි බයිට්ස් දෙකක් යවමින්, දත්ත වලට තල්ලු කර ඇත.

Tcpdump සම්පූර්ණ TCP ශීර්ෂය ග්රහණය කර නොතිබුණි නම්, එය හැකි පරිදි ශීර්ෂකය තරම්ම අර්ථ නිරූපණය කරයි, පසුව වාර්තා කරනු ඇත [[| tcp ] '' ඉතිරි කොටස අර්ථ දැක්විය නොහැක. ශීර්ෂකය සාවද්ය විකල්පයක් තිබේ නම් (කුඩා එකක් හෝ ශීර්ෂයේ අවසානයට වඩා දිග ප්රමාණයකින් එකක්), tcpdump '`[ bad opt ]' 'ලෙස එය වාර්තා කරයි, සහ තවදුරටත් අභිප්රේත අර්ථකථනය නොකරයි (එය පැවසීමට අපහසු බැවින් ඔවුන් ආරම්භ කරන ස්ථානය). ශීර්ෂ දිගුව මඟින් විකල්පයන් ඉදිරිපත් කර ඇත්නම්, විකල්පයන් ඇත්ත වශයෙන්ම පැවතියේ නම් IP datagram දිගුව ප්රමාණවත් නොවේ. Tcpdump එය `` [ bad hdr length ] '' ලෙස වාර්තා කරයි.

TCP පැකට්ටු විශේෂිත ධජ සංෂිප්ත සමග අල්ලා ගැනීම (SYN-ACK, URG-ACK, ආදිය)

TCP ශීර්ෂයේ පාලක බිට් අංශයෙන් බිට් 8 ක් ඇත:

සීඩීආර් ECE | URG | ACK | PSH | RST | SYN | FIN

TCP සම්බන්ධතාවයක් ස්ථාපනය කිරීමේදී භාවිතා කරන පැකට්ටු බැලීමට අපට අවශ්ය යැයි අපි උපකල්පනය කරමු. නව සම්බන්ධතාවයක් ආරම්භ කරන විට TCP 3-way handshake ප්රොටෝකෝලය භාවිතා කරන බව මතක තබා ගන්න. TCP පාලන බිට් සම්බන්ධයෙන් සම්බන්ධතා අනුක්රමය වේ

1) ඇමතුම්කරු SYN යවයි

2) ප්රතිග්රාහකයා SYN, ACK සමග ප්රතිචාර දක්වයි

3) ඇමතුම්කරු ACK යවයි

දැන් අපට SYN බිට් සකසා තිබෙන පැකේජයන් අල්ලා ගැනීමට අපි උනන්දු වෙමු (පියවර 1). පියවර 2 (SYN-ACK) සිට පැකේජ අවශ්ය නොවන බව සැලකිල්ලට ගන්න. අපට අවශ්ය වන්නේ tcpdump සඳහා නිවැරදි පෙරහන ප්රකාශයකි.

විකල්ප නොමැතිව TCP ශීර්ෂක ව්යුහය නැවත මතක් කරන්න:

0 15 31 ----------------------------------------------- ------------------ | මූලාශ්ර වරාය | ගමනාන්තය වරාය | -------------------------------------------------- --------------- | අනුක්රමික අංකය -------------------------------------------------- --------------- | පිළිගැනීමේ අංකය | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | කවුළු ප්රමාණය | -------------------------------------------------- --------------- | TCP චෙක්සම් හදිසි ඇඟවුම | -------------------------------------------------- ---------------

TCP ශීර්ෂකය සාමාන්යයෙන් අක්ෂර 20 කට අයත් වේ. ප්රස්ථාරයේ පළමු පේළිය 0 සිට 3 අෂ්ටකයට අඩංගු වන අතර, දෙවන පේළියක අෂ්ටක 4 - 7 ආදී.

0 සමඟ ගණනය කිරීම ආරම්භ කිරීම, අදාල TCP පාලන බිටු අෂ්ටකයේ 13 අඩංගු වේ:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | කවුළු ප්රමාණය | ---------------- | --------------- | --------------- | - --------------- | | 13 වන octet | | |

අෂ්ටක අංකයට වඩාත් සමීපව බලමු. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | 7 5 3 0 |

මේ සඳහා අපි TCP පාලක බිට්ස් එකක් වේ. අපි 0 සිට 7 සිට මෙම අෂ්ටකයේ බිටු ගණන නම් කර ඇති අතර වමේ සිට දකුණට PSH බිට් 3 වේ, URG bit අංක 5 වේ.

අපි SYN කට්ටලය සමඟ පැකට් අල්ලා ගැනීමට අවශ්ය බව මතක තබා ගන්න. TCP datagram එහි ශීර්ෂයෙහි ඇති සියුම් බිට්ටා ඇති විට ඕෙක්ටේට් 13 සිදුවන්නේ කුමක් ද?

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

පාලක බිටු කොටස් දෙස බැලීමේදී අපට පෙනී යන්නේ බිටු අංක 1 (SYN) පමණි.

අෂ්ටක අංක 13 යනු ජාලය බයිට් අනුපිළිවෙලෙහි 8-bit නොසොබැඳි පූර්ණ සංඛ්යාවක් බව උපකල්පනය කිරීම, මෙම අෂ්ටකයේ ද්විමය අගය

00000010

සහ එහි දශම නිරූපණය වේ

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

අපි දැනටමත් ඉවරයි. දැන් අපි දන්නවා SYN සැකසූ විට, TCP ශීර්ෂයේ 13 වන ඕක්ටේට් ජාලය බයිට් ඇණවුමේ 8-bit නොසිටූ පූර්ණ සංඛ්යා ලෙස අර්ථ දැක්වෙන විට හරියටම 2 ක් විය යුතුය.

මෙම සම්බන්ධතාවය ප්රකාශ කළ හැකිය

tcp [13] == 2

මෙම ප්රකාශනය tcpdump සඳහා වන පෙරහන ලෙස භාවිතා කළ හැකිය SYN සැකසුම සඳහා ඇති පැකැට්ටු බැලීම සඳහා:

tcpdump -i xl0 tcp [13] == 2

ප්රකාශය පවසන්නේ "TCP datagram 13 වන අෂ්ටකයට දශම අගය 2 ක් තිබිය" යන්නයි. මෙය අපට අවශ්යයි.

දැන් අපි SYN පැකට් අල්ලා ගැනීමට අවශ්ය බව සිතා බලමු, නමුත් ACK හෝ වෙනත් TCP පාලන බිට් එකම වේලාවේදී සකසන්නේ නම් අපට සැලකිලිමත් වන්නේ නැත. SYN-ACK කට්ටලයක් සහිත TCP datagram වෙත පැමිණි විට ඕක්ටේට් 13 සිදුවන්නේ කුමක් ද?

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

දැන් බිට් 1 සහ 4 දැන් ඔක්ටේට් 13 හි තබා ඇත. ද්විත්ව අගය 13 අෂ්ටක අගය වේ

00010010

දශමයට පරිවර්ථනය වේ

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

දැන් tcp [13] == 18 ' tcpdump පෙරහන ප්රකාශනයේ දී අපට භාවිතා කළ නොහැක, එය SYN-ACK සකසනු ඇති එම පැකැට්ටු පමණි, නමුත් SYN සැකසුම පමණක් සහිත ඒවා නොවේ. SYN පිහිටුවා ඇති තාක් කල් ACK හෝ වෙනත් පාලක bit එකක් සකසා ඇත්දැයි අපි නොසිතන බව මතක තබා ගන්න.

අපගේ ඉලක්කය සාක්ෂාත් කර ගැනීම සඳහා, අපි logical ලෙස සහ සින්ටේටේන් අගය 13 සින්ට් බිටු සංරක්ෂණය කිරීම සඳහා වෙනත් වටිනාකමින් යුතු වේ. අපි ඕනෑම අවස්ථාවක SYN කිරීමට අවශ්ය බව අපි දනිමු. එබැවින් අපි තර්කානුකූලව සහ 13 වන ඕක්ටේට් SYN හි ද්විමය අගය සමඟ:

00010010 SYN-ACK 00000010 SYN සහ 00000010 (අපට අවශ්ය SYN) සහ 00000010 (අපට අවශ්ය SYN) -------- -------- = 00000010 = 00000010

ACK හෝ වෙනත් TCP පාලක බිට් සකසන්නේද යන්න මෙම AND මෙහෙයුම මගින්ම ප්රතිඵල ලබා දෙයි. AND අගයේ දශාංශික නිරූපණය මෙන්ම මෙම මෙහෙයුමේ ප්රතිඵල ද 2 (ද්විමය 00000010), එබැවින් SYN සැකසුම සමඟ ඇති පැකට්ටු සඳහා පහත සඳහන් සම්බන්ධතාවය සත්ය විය යුතුය:

((අෂ්ටක අගය 13) සහ (2)) == (2)

මෙය tcpdump පෙරහන ප්රකාශයට යොමු කරයි

tcpdump -i xl0 'tcp [13] & 2 == 2'

AND ('&') විශේෂ අක්ෂර ෂෙල් වලින් වසා දැමීම සඳහා තනි වාක්යයන් හෝ backslash භාවිතා කළ යුතු බව සැලකිල්ලට ගන්න.

UDP පැකට්ටු

UDP ආකෘතිය මෙම rwho පැකට්ටුව මඟින් නිදර්ශනය කරයි:

actinide.who> විකාශනය: udp 84

මෙයින් කියවෙන්නේ, සත්කාරක Actinide විසින් සත්කාරක විකාශනය කරන විට , අන්තර්ජාල විකාශන ලිපිනය, වරායට UDPp datagram වෙත යැවූ බවය. පැකට් එකෙහි දත්ත බයිට්ස් 84 ක් අඩංගු විය.

සමහර UDP සේවාවන් හඳුනාගෙන ඇති අතර (මූලාශ්රය හෝ ගමනාන්ත port number) සහ ඉහළ මට්ටමේ ප්රොටොකෝල තොරතුරු මුද්රණය කර ඇත. විශේෂයෙන්ම ඩොමේන් නාම සේවා ඉල්ලීම් (RFC-1034/1035) සහ Sun RPC ඇමතුම් (RFC-1050) NFS වෙත.

UDP නාම සේවාදායක ඉල්ලීම්

(සැළකිය: පහත සඳහන් විස්තරය RFC-1035 හි විස්තර කරන ලද වසම් සේවා ප්රොටෝකෝලය ගැන සැලකිලිමත් වෙයි.ඔබට ඔබ ප්රොටොකෝලය හුරුපුරුදු නම්, පහත දැක්වෙන විස්තර ග්රීක භාෂාවෙන් ලියා ඇත.)

නම සේවාදායක ඉල්ලීම් ආකෘතිගත කර ඇත

src> dst: id op? flags qtype qclass name (len) h2opolo.1538> helios.domain: 3+ A? උස්බාවx.berkeley.edu. (37)

සත්කාරක h2opolo නම් ලිපියේ වාර්තාවක් (qtype = A) ලෙස හීලියොයිඩයේ වසම් සේවාදායකය ඉල්ලා සිටියේ ucbvax.berkeley.edu යන නමටයි. විමසුම් අංකය '3'. '+' මඟින් දැක්වෙන්නේ රීචර් අවශ්ය ධජය සකසා ඇත. විමසුම් දිග බයිට් 37 ක් විය, UDP සහ IP ප්රොපර් ශීර්ෂ අඩංගු නොවේ. විමසුම් මෙහෙයුම සාමාන්ය එකක් විය, Query , එමනිසා, field was abandoned. ඕප අන් කිසිවක් පැවතියේ නම් එය '3' සහ '+' අතර මුද්රණය කර තිබුනි. ඒ හා සමානව, qclass සාමාන්යය, C_IN , සහ එය අත්හැර දැමිනි. 'A' පසුව වහාම වෙනත් ඕනෑම qclass මුද්රණය කර තිබේ.

කිසියම් විෂමතාවන් කිහිපයක් පරික්ෂා කර ඇති අතර, කොටු වරහන් තුල අමතර ක්ෂේත්රයන් දැක්විය හැකිය: විමසුමක් සඳහා පිළිතුරු, අධිකාරී වාර්තා හෝ අමතර වාර්තා අංශයක් තිබේ නම්, ancount , nscount හෝ arcount "[ n a]", [ n n ] 'හෝ' [ n au] ' n යනු නිවැරදි ගණනය කිරීමයි. ප්රතිචාරයේ ඇති ඕනෑම බිටු එකක් (AA, RA හෝ rcode) හෝ ඕනෑම `බිටු (zero) විය යුතු බිටු (bits) දෙකක් සහ තුනකින් සමන්විත වේ නම්, '[b2 & 3 = x ]' මුද්රණය වේ, x යනු hex අගය ප්රධාන බයිට් දෙකක් සහ තුනේ.

UDP නාම සේවාදායක ප්රතිචාරයන්

නම සේවාදායක ප්රතිචාරයන් ආකෘතිකරණය කර ඇත

src> dst: id op rcode flags a / n / au වර්ගය පන්ති දත්ත (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

පළමු නිදසුන තුළ හීලූඕ විසින් h2opolo වෙතින් 3 ක් සඳහා පිළිතුරු විමසීම් 3 පිළිතුරු වාර්තා, 3 සේවාදායක වාර්තා සහ අමතර වාර්තා 7 ක් සඳහා ප්රතිචාර දක්වයි. පළමු පිළිතුර වන්නේ වර්ගය A (ලිපිනය) සහ එහි දත්ත අන්තර්ජාල ලිපිනය 128.32.137.3. ප්රතිචාරයේ සම්පූර්ණ විශාලත්වය 271 bytes, UDP සහ IP ශීර්ෂයන් හැරුණු විට. A (Query) සහ ප්රතිචාර කේතය (NoError) A වාර්තාව (C_IN) ලෙස තිබී ඇත.

දෙවන උදාහරණයෙහි, හීලියෝ පිළිතුරු 2 ට පිළිතුරු නොකියවූ වසම (NXDomain) ප්රතිචාරයක් සමග ප්රතිචාර දක්වයි, පිළිතුරු කිසිවක්, එක් නම සේවාදායකයක් සහ කිසිදු අධිකාරී වාර්තා නොමැත. '*' මගින් පෙන්නුම් කෙරෙන්නේ අධිකාරී පිළිතුරු පිළිතුර සකසා ඇති බවයි. කිසිදු පිළිතුරක් නොලැබුණු නිසා කිසිදු වර්ගයක්, පන්ති හෝ දත්ත මුද්රණය නොකළේය.

පෙනෙන තවත් ධජ අක්ෂර වන්නේ `- '(විචලනය ලබා ගත හැකි, RA, නොකල ) සහ' | ' (අභාවිත පණිවිඩය, TC, set). 'ප්රශ්න' කොටසේ හරියට එක් ප්රවේශයක් අඩංගු නොවේ නම්, '[ n q]' මුද්රණය වේ.

නම සේවාදායක ඉල්ලීම් සහ පිළිතුරු විශාල වන අතර, බයිට් 68 ක ප්රකෘති බිංදු මුද්රණය කිරීමට පැකට්ටුව ප්රමාණවත් නොවේ. නම සර්වරයේ ගමනාගමනයට බැරෑරුම් ලෙස විමර්ශනය කළ යුතු නම්, මෙම සීඝ්රතාවය වැඩි කිරීම සඳහා -s ධජය භාවිතා කරන්න. ' -s 128 ' මා වෙනුවෙන් හොඳින් වැඩ කළා.

SMB / CIFS විකේතනය

tppdump දැන් UDP / 137, UDP / 138 සහ TCP / 139 මත දත්ත සඳහා ප්රමාණවත් තරම් SMB / CIFS / NBT විකේතනය ඇතුළත් වේ. IPX සහ NetBEUI SMB දත්තවල සමහර විකෘති කිරීම්ද සිදු කරනු ලැබේ.

පෙරනිමියෙන්ම අවම වශයෙන් විකේතනයක් සිදු කරනු ලැබේ, -v භාවිතා කරන්නේ නම් වඩාත් විස්තරාත්මක විස්තරාත්මක විකේතනයක් ඇත. තනි SMB පැකට්ටුවක් සහිතව පිටු හෝ ඊට වැඩි ගණනක් ගත හැකි වන පරිදි, එය පමණක් භාවිතා කළ හැකිය.

ඔබ යුනිකෝඩ් අළුත් සහිත SMB සැසි වින්ඩෝස් කිරීමේ විකේතනයක් නම්, පාරිසරික විචල්යය සැකසීමට ඔබ USE_UNICODE සැකසීමට අදහස් කරයි. 1. යුනිකෝඩ් රේආවන් ස්වයංක්රීයව අනාවරණය කරගැනීම සඳහා පිළිගැනීමක් ලැබෙනු ඇත.

SMB පැකට් ආකෘති පිළිබඳ තොරතුරු සහ සියලු ක්ෂේත්රයන් www.baifs.org හෝ ඔබේ ප්රියතම samba.org කැඩපත් වෙබ් අඩවියෙහි pub / samba / specs / බහලුම බලන්න. SMB පැච් විසින් ඇන්ඩෘ ට්රීඩ්ගල් විසින් (tridge@samba.org) ලිවීය.

NFS ඉල්ලීම් සහ පිළිතුරු

සන් NFS (ජාල ගොනු පද්ධතිය) ඉල්ලීම් සහ පිළිතුරු මුද්රණය කරනු ලැබේ:

src.xid> dst.nfs: len op args src.nfs> dst.xid: පිළිතුරක් ප්රතිචාර කරන්න sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: පිළිතුර 40 readlink "../var" sushi.201b> wrl.nfs: 144 විමසීම් 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: පිළිතුර ඉක්මන් 128 විමසීම් 9,74 / 4134.3150

පළමු පේළියේදී , සත්කාරක සුෂි (id) 6709 වෙත WLL සමග ගනුදෙනුවක් යවයි ( වින්ඩෝස් ග්රාහකය (src host) අනුගමනය කරන අංකයක්, මූලාශ්ර වරාය නොවේ). මෙම ඉල්ලීම වූයේ බයිට් 112 ක් වන අතර UDP සහ IP ශීර්ෂයන් හැරුණු විට. මෙම මෙහෙයුම ලිපිගොනු හසුරුව (fh) 21,24 / 10,731657119 හි කියවීමේ සබැඳියක් (සංකේතාත්මක සබැඳියක් කියවන්න) විය. (යමෙක් වාසනාවන්ත නම්, ගොනු හැසිරවීම විශාල ප්රධාන උපාංග අංක යුගලයක් ලෙස අර්ථ දැක්විය හැක. ඉන්පසු අංකනය සහ පරම්පරා සංඛ්යාව අනුගමනය කරන්න.) Wrl සබැඳියේ අන්තර්ගතය සමඟ 'ok' සමඟ පිළිතුරු සපයයි.

තෙවන පේළියේදී , sushi wrl අක්ෂර කේතය 9.74 / 4096.6878 ලෙසින් ` xcolors 'යන නම සොයනු ඇත. මුද්රණය කළ දත්ත මෙහෙයුම් වර්ගය මත රඳා පවතී. NFS ප්රොටොකෝලය සමඟ ඒකාබද්ධව කියවීමට මෙම ආකෘතිය ස්වයං පැහැදිළිය යුතුය.

-v (ගැළපෙන) ධජය ලබා දෙන්නේ නම්, අතිරේක තොරතුරු මුද්රණය කෙරේ. උදාහරණයක් වශයෙන්:

sushi.1372a> wrl.nfs: 148 කියවීම fh 21,11 / 12,195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: ප්රතිචාර ok 1472 කියවන්න REG 100664 ids 417/0 sz 29388

(-v ද මෙම උදාහරණයෙන් බැහැර කර ඇත IP header TTL, ID, දිග සහ කැබලි කිරීම, මෙම උදාහරණයෙන් බැහැර කර ඇත.) පළමු සූත්රයේ දී sushi WLL අසයි 8192 බයිට් 21,11 / 12,195 සිට කියවීමට බයිටයි 24576. Wrl පිළිතුර 'ok'; දෙවන පේළියේ පෙන්වා ඇති පැකේජය වන්නේ පිළිතුරේ පළමු කොටස වන අතර, එබැවින් එය බයිට් 1472 ක් පමණ වේ (අනෙක් බයිටයන් පසුපස කොටස් තුළ අනුගමනය කරනු ඇත, නමුත් මෙම කොටස්වලට NFS හෝ UDP ශීර්ෂයන් නැත, එසේ මුද්රණය නොකෙරේ, භාවිතා කරන ලද පෙරහන් ප්රකාශනය මත පදනම්ව). මෙම -v ධජය ලබා දී ඇති බැවින්, ගොනු දත්ත වලට අමතරව නැවත ලබා දෙනු ලැබේ. ගොනු ගොනුව ('' REG '', සාමාන්ය ගොනුවක් සඳහා), ෆයිල් මාදිලිය (අෂ්ටක වශයෙන්), uid සහ gid, සහ ගොනු විශාලත්වය.

වරක් -v ධජය එක් වරකට වඩා ලබා දෙනවා නම්, වැඩිදුර තොරතුරු මුද්රණය කර ඇත.

NFS ඉල්ලීම් ඉතා විශාල වන අතර, වැඩි විස්තර ප්රමාණයක් මුද්රණය නොකෙරේ. NFS ගමනාගමනය බැලීමට ` -s 192 'භාවිතා කරන්න .

NFS පැකට්ටු RPC මෙහෙයුම පැහැදිලිව හඳුනාගත නොහැක. ඒ වෙනුවට, tcpdump '' මෑත '' ඉල්ලීම් නිරීක්ෂණය කරන අතර ගනුදෙනුවේ ID භාවිතා කරමින් පිළිතුරු ඒවාට අනුරූප කරයි. පිළිතුර පිළිවෙලට අනුකූලව අනුකූල නොවේ නම් එය ව්යංගීය විය නොහැකිය.

AFS ඉල්ලීම් සහ පිළිතුරු

Transarc AFS (ඇන්ඩෲ ගොනු පද්ධතිය) ඉල්ලීම් සහ පිළිතුරු මුද්රණය කර ඇති පරිදි:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx පැකට්-වර්ගයේ සේවා ඇමතුම ඇමතිය යුතු නම තර්ක කරයි src.sport> dst.dport: rx පැකට්-වර්ගයේ සේවා පිළිතුර සඳහා ඇමතුමේ නම elvis. 7001> pike.afsfs: rx data fs පරමාණු කිරීම 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs ප්රතිචාර ප්රතිනම් කරන්න

පළමු පේළියේ, සත්කාරක එල්විස් පයික්ට RX පැකට්ටුව යවයි. මෙය fs (ගොනු සේවාදායක) සේවාව වෙත RX දත්ත පැකේජය වන අතර එය RPC ඇමතුමක ආරම්භය වේ. RPC ඇමතුම 536876964/1/1 පැරණි ඩිරෙක්ටරි ෆයිල් ෆයිල් සහ පැරණි '.newsrc.new' පැරණි ගොනු නාමයක් ලෙසද, 536876964/1/1 හි නව ඩිරෙක්ට් ෆයිඩරයක්ද, නව ගොනු නාමයක්ද ඇත. newsrc '. ධාරක පයික් (RPC) පිළිතුරෙන් ප්රතිනම්කර් ඇමතුම සමඟ ප්රතිචාර දක්වයි (මෙය සාර්ථක වූ බැවින් එය දත්ත පැකට් එකක් වන අතර එය නවතා දැමූ පැකට්ටුවක් නොවීය).

සාමාන්යයෙන් සියලුම AFS RPCs අවම වශයෙන් RPC ඇමතුම් නාමය මගින් විකේතනය කර ඇත. බොහෝ AFS RPCs අවම වශයෙන් ඇතැම් තර්ක වින්යාස කර ඇත (පොදුවේ "සිත්ගන්නා" තර්කයන් පමණක්, රසවත් සමහර අර්ථ දැක්වීම සඳහා) ඇත.

මෙම ආකෘතිය ස්වයං විස්තර කිරීම සඳහා අදහස් කරන නමුත්, AFS සහ RX ක්රියාකාරිත්වය හුරුපුරුදු නොවන අයෙකුට ප්රයෝජනවත් විය හැකි නොවේ.

-v (සාවියේ) ධජය දෙවරක් ලබා දෙනු ලැබේ නම්, RX ඇමතුම් හැඳුනුම් අංකය, ඇමතුම් අංකය, අනුක්රමික අංකය, අනුක්රමික අංකය සහ RX පැකට් කොඩි ආදිය වැනි පිළිගැනීමේ පැකැට්ටු සහ අතිරේක සිරැසි තොරතුරු මුද්රණය කරනු ලැබේ.

-v ධජය දෙවරක් ලබා දෙන්නේ නම්, RX ඇමතුම් හැඳුනුම් අංකය, අනුක්රමික අංකය සහ RX පැකට් කොඩි වැනි අමතර තොරතුරු මුද්රණය කරනු ලැබේ. MTU ගිවිසුම් තොරතුරු ද RX Ack පැකට් වලින් මුද්රණය කර ඇත.

-v ධජය තුන් වරක් ලබා දෙනවා නම් ආරක්ෂක දර්ශකය සහ සේවා අංකය මුද්රණය කෙරේ.

Ubik බීකන් පැකට්වල හැරුණු විට පැකට්ටු නැවැත්වීමට දෝෂ සහිත කේතයන් මුද්රණය කර ඇත.

AFS ඉල්ලීම් ඉතා විශාල වන අතර බොහෝ තර්ක කිරීම් වැඩි නොකළ හොත් තර්ක බොහෝ ප්රමාණයක් මුද්රණය නොවේ. AFS රථවාහන නැරඹීම සඳහා ` -s 256 'භාවිතා කරන්න .

AFS පිළිතුරු පැකට්ටුව RPC මෙහෙයුම පැහැදිලිව හඳුනාගත නොහැක. ඒ වෙනුවට, tcpdump '' මෑත '' ඉල්ලීම් නිරීක්ෂණය කරන්නේය. ඇමතුම් අංකය හා සේවා හැඳුනුම්පත භාවිතා කරමින් පිළිතුරු සමඟ පිළිතුරු සපයයි. පිළිතුර පිළිවෙලට අනුකූලව අනුකූල නොවේ නම් එය ව්යංගීය විය නොහැකිය.

KIP Appletalk (UDP හි DDP)

UDP ඩිජිටල් වල ආප්තෝපේපිත DDP පැකට්ටු ඩප්-කප්පාදුව සහ DDP පැකැට්ටු ලෙස ඉවත් කරනු ලැබේ (එනම්, UDP ශීර්ෂ තොරතුරු සියල්ල ඉවතලනු ලැබේ). /etc/atalk.names ගොනුවේ යෙදුම් ජාල සහ නෝඩ අංකයන් පරිවර්තනය කිරීම සඳහා භාවිතා වේ. මෙම ගොනුවෙහි ඇති පේනු ආකෘති පත්රය

අංකය නම 1.254 ඊතර් 16.1 icsd-net 1.254.110 ace

පළමු පේළි දෙකක් පේන්ට් ඇප්ලට් ජාල වල නම් සපයයි. තෙවන පේළියක විශේෂිත ධාරකයක නම සපයයි (සත්කාරක අංකයට අෂ්ටකයේ අෂ්ටකයට අනුව වෙනස් වේ - ශුද්ධ අංකයට අෂ්ටක දෙකක් තිබිය යුතු අතර සත්කාරක අංක අෂ්ටක තුනක් තිබිය යුතුය .) අංකය සහ නම වෙන් කළ යුතුය අවකාශය (තාම හෝ ටැබ්). /etc/atalk.names ගොනුව හිස් රේඛා හෝ විචාරක පේළි අඩංගු විය හැක (අංක # ආරම්භයෙන් රේඛා).

Appletalk ලිපිනයන් ස්වරූපයෙන් මුද්රණය කර ඇත:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

( /etc/atalk.names නැතහොත් කිසියම් appletalk host / net number සඳහා ඇතුළත් කිරීමක් නොමැති නම්, ලිපිනයන් සංඛ්යාත්මක ආකාරයෙන් මුද්රණය කර ඇත.) පළමු උදාහරණය වශයෙන් NBP (DDP port 2) net 144.1 node 209 මගින් net icsd node 112 හි 220 කට සවන්දීමට අවශ්ය ඕනෑම දෙයක් යවනු ලැබේ. දෙවන පේළිය මූලය නෝඩුවේ නම ("කාර්යාල") යන නාමය හැරුණු විට වෙන වෙනම වේ. තෙවැනි පේළය icsd-net NBP වරාය මත විකාශනය කිරීම සඳහා වරාය 235 වෙතින් net 235 මත යැවීම (විකාශන ලිපින (255) දැඩිකම අංකයක් සහිත ශුද්ධ නමකින් ඇඟවුම් කර ඇත - මෙම හේතුව එය හොඳ අදහසකි /etc/atalk.names යන නාම වල නෝඩ නාම සහ ශුද්ධ නම් වෙන්කර තබා ගැනීමට).

NBP (නමට බැඳී ඇති ප්රොටෝකෝලය) සහ ATP (Appletalk Transaction Protocol) පැකට්වල අන්තර්ගතය අර්ථ නිරූපණය කර ඇත. වෙනත් ප්රොටොකෝලය නිකම්ම protocol නාමයෙන් ඩම්ප් එකක් (හෝ ප්රොටොකෝලය සඳහා කිසිදු නමක් ලියාපදිංචි කර නොමැති නම්) සහ පැකට් ප්රමාණයේ.

NBP පැකට්ටු පහත උදාහරණ ලෙස හැඩසවි ඇත:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-response 190: "RM1140: ලේසර් වර්ණර්" * 250 techpit.2> icsd -net.112.220: nbp-response 190: "techpit: LaserWriter @ *" 186

පළමු පේළිය net icsd සත්කාරක 112 මගින් යවන ලද ලේසර් කරන්නන් සඳහා නමක් සොයන ඉල්ලීම සහ ජාලයේ ජාලය මත විකාශනය වේ. මෙම ඉල්ලීම සඳහා nbp id 190 වේ. දෙවන ඉල්ලුමේ ඉල්ලීම සඳහා සත්කාරය (jsmag) විසින් සත්කාරක සමාගමෙන් ලබා ගත් ප්රතිචාරය (එහි ඇති අගයම ඇති බව සලකන්න). මෙම ඉල්ලීම සඳහා තවත් පිළිතුරක් ලැබුනේ සත්කාරක තාක්ෂණ ශිල්පියා ලොරියස්ට් ලයිට් "ටෙක්පීයිට්" නෞකා 186 කදී ය.

ATP පැකට් ආකෘතිය පහත දැක්වෙන උදාහරණයෙන් නිරූපණය කරයි:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 හීලියො .132> jssmag.209.165: ATP-resp 12266: 0 (512) 0xae040000 හීලියෝ.132> jssmag.209.165: ATP-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: ATP-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: 12266: 4 (512) 0xae040000 හීලියො .132> jssmag.209.165: ATP-resp 12266: 5 (512) 0xae040000 හීලියෝ.132> jssmag.209.165: ඇප්-ටීස් 12266: 6 (512) 0xae040000 හීලියෝ.132> jssmag. 209.165: ATP-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 හීලියෝ.132> jssmag.209.165: ATP-resp 12266: 3 (512) 0xae040000 හීලියෝ .132> jssmag.209.165: ATP-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 ගනුදෙනුව id 12266 ආරම්භක හීලියෝ සමඟ පැකට් 8 ක් දක්වා (ඉල්ලා සිටිමින් <0-7>) යවා ඇත. පේළිය අවසානයේ හෙක්ටයාර් අංකය ඉල්ලීමෙහි 'userdata' ක්ෂේත්රයෙහි වටිනාකම.

හීලියොස් 8,5-බයිට් පැකට් සමග ප්රතිචාර දක්වයි. ගනුදෙනුවේ අංකය අනුව පැකේජය අනුපිළිවෙල අනුව අංක: අංකයට ලබා දෙයි. පැකේජයෙහි සංඛ්යාත්මක අංකය පැකට් අංකයේ ඇති අතර, ඒඑල්පී ශීර්ෂය හැරෙන්නට පැකට් අංකය. පැකේජය මත '*' හි EOM බිට් සකසා ඇති බව පෙන්නුම් කරයි.

Jssmag.209 පසුව පැකට් 3 සහ 5 නැවතත් යැවීම ඉල්ලා සිටියි. හීලියොස් ඒවා නැවතත් ඉදිරිපත් කරයි jssmag.209 ගනුදෙනුව මුදාහරියි. අවසාන වශයෙන්, jssmag.209 ඊළඟ ඉල්ලීම ආරම්භ කරයි. ඉල්ලීම මත '*' මගින් පෙන්නුම් කරන්නේ XO (`හරියටම වරක්) ' නොකරන ලදි.

IP කැබලි කිරීම

කඩා වැටුණු අන්තර්ජාල දත්ත-දත්ත මුද්රණය කර ඇත

(frag id : size @ offset +) (frag id : size @ offset )

(පළමු ආකෘතියේ තවත් කොටස් කිහිපයක් දක්නට ලැබේ.

ID යනු fragment id එකක්. පරිමාණය යනු කොටස් ශීර්ෂය (බයිට් වල) IP ශීර්ෂකය හැර. ඕෆ්සෙට් යනු මුලින් දකින කොටසේ මෙම බ්ලොග් එකේ බයිට් වලයි.

එක් එක් කැබැල්ලක් සඳහා fragment information එක ප්රතිදානය කරයි. පළමු කොටසෙහි ඉහළ මට්ටමේ ප්රොටොකෝඩරය අඩංගු වන අතර, කොටස් තොරතුරු, ප්රොටොකෝලය පිළිබඳ තොරතුරු මුද්රණය කොට ඇත. පළමුවන මට්ටමෙන් පසු ඒවායේ ඉහළ මට්ටමේ ප්රොටොකෝලය අඩංගු වන අතර ඒවායේ ප්රභවයේ සහ ගමනාන්ත යන ලිපිනයන්ගෙන් පසුව විස්තර තොරතුරු මුද්රණය කර ඇත. උදාහරණයක් ලෙස, මෙහි arizona.edu සිට ftp සිට lbl-rtsg.arpa මෙහි CSNet සම්බන්ධතාවයක් හරහා 576 byte datagram හසුරුවන්නේ නැති බව පෙනී යයි:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ලකුණු 1536 ක් දිනා ගැනීමට සමත් විය

පළමුව, දෙවන පේළියේ ලිපිනයන් අංක ගණන ඇතුළත් නොවේ. මෙය TCP ප්රොටොකෝලය තොරතුරු පළමු කැබැල්ලේ අඩංගු වන අතර අප පසුව ඒවායේ පසු පිටපත් මුද්රණය කරන විට වරාය හෝ අනුක්රමික සංඛ්යා යනු කුමක්දැයි අපට නොදනී. දෙවනුව, පළමු පේළියේ tcp අනුපිළිවෙල අනුව දත්ත බයිටේට් 308 ක් තිබීම වැනි, සත්ය වශයෙන්ම, බයිට් 512 ක් ඇත (පළමු වගුවේ 308 ක් සහ දෙවැනි වන අතර 204). ඔබ අනුපිළිවෙලෙහි සිදුරු සෙවීම සඳහා සොයන්නේ නම් හෝ පැකට් සමඟ ඇසුරුම් කිරීමට උත්සහ කරනවා නම්, මෙය ඔබට ඔබව රැවටිය හැක.

IP සමඟ පැකට්ටුව කැඩී බිඳී යාමේ සලකුණ (DF) මගින් සලකුණු කර ඇත.

කාල පරාසය

පෙරනිමිය ලෙස, සියලු ප්රතිදාන රේඛාවන් ට පෙරාතුව වේ. කාල පරාසය යනු ආකෘතියේ වත්මන් ඔරලෝසු කාලය වේ

hh: mm: ss.frac

කර්නල්ගේ ඔරලෝසුව තරම් නිවැරදි වේ. කර්නලය පළමුව පැකට්ටුව දැකගත් කාලය වේ. ඊතර්නෙට් අතුරුමුහුණත වයර් වෙතින් පැකට්ටුව ඉවත් කරන අතර, කර්නලය "නව පැකැට්ටුව" විසන්ධි කරන විට අතරමැද ආක්රමන සඳහා ගිණුමක් නොලැබෙනු ඇත.

ද බලන්න

ගමනාගමනය (1C), නයිට් (4P), bpf (4), pcap (3)

වැදගත්: ඔබේ විශේෂ පරිගණකයේ විධානයක් භාවිතා කරන ආකාරය බැලීමට මිනිසා විධානය ( % man ) භාවිතා කරන්න.