Tcpdump - Linux Command - Unix Command

NAME

tcpdump - irauli trafiko sare batean

SINOPSIA

tcpdump [ -adeflnNOpqRStuvxX ] [ -c zenbaketa ]

[ -C file_size ] [ -F fitxategia ]

[ -i interfazea ] [ -m modulua ] [ -r fitxategia ]

[ -s snaplen ] [ -T mota ] [ -U erabiltzailea ] [ -w fitxategia ]

[ -E zerbait: sekretua ] [ adierazpena ]

DESCRIPTION

Tcpdump-ek paketeen goiburuak inprimatzen ditu, adierazpen boolearrarekin bat datorren sare interfazean. Bandera -w batera ere exekutatu daiteke, horrek datu paketeak fitxategi batera gordetzeko baimena ematen du geroago aztertzeko, eta / edo bandera-ren bidez, gordetako paketeen fitxategia irakurtzea eragotzi beharrean paketeak irakurtzeko sare interfazetik. Edonola ere, adierazpenarekin bat datozen paketeak tcpdump bidez egingo dira.

Tcpdump- ek, ez bada -c markarekin exekutatuko, jarraitu paketeak atzematen SIGINT seinale batek eten egiten duen arte (sortutako, adibidez, zure eteteko karakterea idazten du, normalean C kontrolatzen du) edo SIGTERM seinalea (normalean hiltzearekin sortua) (1) komandoa); bandera-rekin exekutatzen bada, paketeak harrapatuko ditu SIGINT edo SIGTERM seinalea eten edo pakete kopurua zehaztu den arte.

Tcpdump-ek paketeak atzemateko akabera egiten duenean, honako hau izango da:

Paketeak `` iragazkientzat jasotakoak '' (hau da, Tcpdump exekutatzen ari zaren OSaren araberakoa da, eta, seguru asko, sistema eragilea konfiguratuta dago - komando lerroan zehaztutako iragazkia zehaztu bada, sistema eragile batzuetan Paketeak iragazkiaren espresioarekin bat datozen ala ez kontuan hartu gabe eta beste OSetan iragazkiaren espresioarekin bat datozen paketeak soilik zenbatzen ditu eta tcpdump- ek prozesatu ditu);

Paketeak `` kerneletik jaitsi dira '' (hau da, jaitsi egin ziren paketeak, buffer-espazio faltagatik, Tcpdump-en dagoen OS paketearen harrapaketa mekanismoak exekutatzen dituenean , OSek aplikazioei informazioa ematen die. bestela, 0).

SIGINFO seinalea onartzen duten plataformetan, BSD gehienak bezala, kontu hauek salatzen baditu SIGINFO seinalea jasotzen duenean (sortutako, adibidez, `` status '' karakterea idazten du, normalean T kontrolatzen du) eta paketeak atzematen jarraituko du .

Sareko interfazeko paketeak irakurtzeak pribilegio bereziak behar ditzake:

SunOS 3.x edo 4.x batera NIT edo BPFrekin:

Irakurritako sarbidea izan behar duzu / dev / nit edo / dev / bpf * .

Solaris DLPIrekin:

Sarea pseudo gailuan irakurri / idazteko sarbidea izan behar duzu, adib. / Dev / le . Gutxienez Solaris bertsio batzuetan, ordea, hau ez da nahikoa tcpdump- ek modu nahasian harrapatzeko; Solaris-en bertsioetan, root izan behar duzu edo tcpdump instalatu behar da root-erako konfiguratuta, modu nahasian harrapatzeko. Kontutan izan, interfaze askotan (beharbada) guztiak, modu nahasian harrapatzen ez baduzu, ez dituzu inongo irteerako paketeak ikusiko, beraz, ez da oso modu ez nahasian egin daitekeen harrapaketa.

HP-UX-ekin DLPIrekin:

Errokoa izan behar duzu edo tcpdump root instalatu behar da root-ean.

IRIXen azpian snoop-ekin:

Errokoa izan behar duzu edo tcpdump root instalatu behar da root-ean.

Linuxen azpian:

Errokoa izan behar duzu edo tcpdump root instalatu behar da root-ean.

Ultrix eta UNIX / Tru64 UNIX digitalen azpian:

Edozein erabiltzaileek sarearen trafikoa tcpdump bidez harrapatu dezake. Hala eta guztiz ere, erabiltzaileak (nahiz eta super-erabiltzailek) interfaze batean promiscuous modu batean harrapatu ahal izango du super-erabiltzaileak interfaze horretan modu nahasian eragina izan duen interfazea pfconfig (8) erabiliz eta erabiltzailerik gabe (nahiz eta super-erabiltzailea ez) ) interfazean makina batek bidalitako edo bidalitako unicast trafikoa estekatzeko aukera ematen du super-erabiltzaileak interfazean kopiatzeko modua funtziona dezan pfconfig erabiliz, interfaze batean paketatze-harrapaketak oso lagungarriak izan ohi dira nahitaezko modua edo kopia Modu guztietan eragiketa, edo bi eragiketa moduak, interfazean gaituta egon behar dute.

BSDren azpian:

Irakurri / dev / bpf * irakurketa egin behar duzu.

Gordetako pakete fitxategi bat irakurtzean ez da pribilegio bereziak behar.

AUKERAK

-a

Sarea eta emisio helbideak izenak bihurtzeko saiakera.

-c

Irten zenbaketa paketeak jaso ondoren.

-C

Gorde gabeko paketea gorde ahala gorde aurretik, egiaztatu fitxategia file_size baino handiagoa den ala ez, eta, hala bada, itxi uneko gordetako fitxategia eta ireki beste bat. Savefiles lehen gordetako fitxategia ondorengo bandera-w batera zehaztutako izena izango du, ondorengo zenbaki batekin, 2 hasita eta gorantz jarraituz. Fitxategiaren tamaina unitateak milioika byte (1,000,000 byte, ez 1.048,576 byte) dira.

-d

Konpilatutako paketeen bat datorren kodea konprimitu irakur daitekeen inprimaki batean irteera estandarrean eta gelditu.

-dd

Irauli pakete lotzeko kodea C programaren zati gisa.

-ddd

Irauli paketeen bat datorren kodea zenbaki hamartar bezala (zenbaketa baten aurretik).

-e

Lotura-lerro bakoitzaren esteken goiburua inprimatu.

-E

Erabili zerbait: sekretua IPsec ESP pakete desenkriptatzeko. Algoritmoak des-cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc edo beste batzuk izan daitezke. Lehenetsia des-cbc da . Paketeak deszifratzeko gaitasuna bakarrik dago presente, baldin eta tcpdump konpilatu bada kriptografia gaituta badago. sekretua ascii testua ESP sekretua gakoa ezkutatzeko. Une honetan ezingo dugu bitar balio arbitrarioa hartu. Aukera RFC2406 ESP da, ez RFC1827 ESP. Aukera arazketa-helburuetarako bakarrik dago eta aukeraren erabilera `sekretua 'gakoarekin desgaituta dago. IPsec gako sekretua komando lerroan aurkezten baduzu, besteek ikusiko duzu, ps (1) eta beste batzuetan.

-f

Inprimatu 'atzerriko' Interneteko helbideak modu numerikoan eta sinbolikoki baino (Aukera hau Sun's yp zerbitzuko garuneko kalte larriak ekar ditzaten - normalean, tokiko tokiko Interneteko zenbakiak itzultzen ez direnak beti zintzilikatzen du).

-F

Erabili fitxategia iragazkiaren espresioko sarrera gisa. Komando lerroan emandako espresio gehigarria ez zaio jaramonik egiten.

-i

Entzun interfazean . Zehaztugabea baldin badago, tcpdump- ek sistema interfazeen zerrenda txikiena, konfiguratutako interfazea bilatzen du (begizta bat alde batera utzita). Loturak hautsi egiten dira lehenbailehen aukeratuz.

2.2 bertsioan edo geroago kerneletan Linux sistemetan, `` any '' argumentu interfazea erabil daiteke interfaze guztien paketeak ateratzeko. Kontuan izan `` any '' gailuko edozein gailuk ez dela modu nahasian egiten.

l

Egin stdout line buffered. Erabilgarria datuak bilatzean harrapatu nahi baduzu. adibidez,
`` tcpdump -l | datza '' edo `` tcpdump -l> dat & tail -f dat ''.

-m

Kargatu SMI MIB moduluen definizioak fitxategi modulutik . Aukera hau hainbat aldiz erabil daiteke hainbat MIB moduluak tcpdump-en kargatzeko.

-n

Ez bihurtu host helbideak izenak. DNS bilaketak saihesteko erabil daiteke.

-nn

Ez bihurtu protokoloa eta ataka zenbakiak, etab. Bai izenak.

-N

Ez erakutsi domeinu izenen ostalari izenen titulua. Esate baterako, bandera hau ematen baduzu tcpdump- ek "nic" `` nic.ddn.mil '' ordez `` nic '' inplementatuko du.

-O

Ez ezazu pakete bat datorren kodea optimizatu. Hau erabilgarria da baimendun susmoa susmoa baduzu bakarrik.

-p

Ez jarri interfazea modu nahasietan. Kontuan izan interfazea modu nahasian dagoela beste arrazoi batzuengatik; Horregatik, `-p 'ezin da' ether ostalariaren {local-hw-addr} edo ether emisioaren laburdura gisa erabili '.

-q

Irteera azkar (isila?). Inprimatu protokoloaren informazio gutxiago, beraz irteerako lerroak laburragoa da.

-R

Eska ezazu ESP / AH paketeak zehaztapen zaharrean oinarrituta (RFC1825 eta RFC1829). Esandakoa zehazten bada, tcpdump- ek ez du erreproduzitzeko prebentzio eremua inprimatuko. Protokolo bertsioaren eremuan ez dago ESP / AH zehaztapenik, tcpdump ezin du ESP / AH protokoloaren bertsioa deduzi.

-r

Irakurri paketeak fitxategitik (hau da -w aukerarekin sortu zen). Sarrera estandarra erabiltzen da fitxategia `` - '' bada.

-S

Inprimatu absolutua, baino erlatiboa, TCP sekuentzia zenbakiak.

-s

Snarf-ek pakete bakoitzeko datuen byteak baino ez ditu 68 (SunOS-ren NITarekin, gutxieneko 96). 68 byte IP, ICMP, TCP eta UDP egokia da, baina protokoloaren informazioa izenetik eta NFS paketeetatik (ikus beherago). Pantaila mugatu batek trunkatutako paketeak `` [| proto ] '', protokoloaren maila protokoloaren izena denean. Kontuan izan argazki handiagoak hartzen dituztela, bai paketeak prozesatzen dituen denbora kopurua handitzen du eta, modu eraginkorrean, pakete buffer kopurua murrizten du. Honek paketeak galdu ditzake. Snaplen mugatu behar duzu interesatzen zaizun protokoloaren informazioa ateratzen duen kopuru txikienera. Snaplen ezarpena 0ean esan nahi du pakete osoak harrapatzeko behar den luzera.

-T

" Espresio " hautatutako paketeak behartu, zehaztutako mota interpretatzeko. Gaur egun ezagutzen diren motak cnfp (Cisco NetFlow protokoloa), rpc (Remote Procedure Call), rtp (Real-Time Applications protokoloa), rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol), vat (Visual Audio Tool ), eta wb (White Board banatua).

-t

Ez ezarri zigilua zigilua lerro bakoitzean.

-tt

Inprimatu uneko formatu ordua dump line bakoitzean.

-U

Erroko pribilegioak eta aldaketak erabiltzailearen IDa erabiltzaile eta taldearen IDra bidaltzen ditu erabiltzaile talde nagusira.

Ohar! Red Hat Linux-k automatikoki 'pribatutasun' ematen die `` pcap '' erabiltzaileari ezer zehazten ez bada.

-ttt

Inprimatu delta (mekanismoetan) uneko eta aurreko lerroen artean dump line bakoitzeko.

-tttt

Denbora-marken inprimaketa formatu lehenetsian data iraungiko da irauli-lerro bakoitzean.

-u

Inprimatu undecoded NFS heldulekuak.

-v

(Pixka bat gehiago) irteera zehatza. Adibidez, bizi-denbora, identifikazioa, luzera osoa eta IP paketeen aukerak inprimatuta daude. Halaber, pakete osotasuna egiaztatzeko aukera ematen du, esaterako, IP eta ICMP goiburuaren egiaztapena egiaztatzeko.

-vv

Irteera ulergarriagoa ere. Adibidez, eremu gehigarriak NFS erantzunen paketeetatik inprimatzen dira, eta SMB paketeak erabat deszifratzen dira.

-vvv

Irteera ulergarriagoa ere. Adibidez, telnet SB ... SE aukerak osorik inprimatzen dira. XXN telebistaren aukerak ere badira hexetan inprimatuta.

-w

Idatzi pakete gordinak artxibora, baizik eta analizatu eta inprimatzeko. Ondoren, aukera izango dute -r aukerarekin. Irteera estandarra fitxategia `` - '' da bada.

-x

Inprimatu pakete bakoitza (lotura estekaren goiburua gutxienez) hexan. Pakete osoko edo snaplen byte txikiagoak inprimatuko dira. Kontuan izan hau lotura-geruzako pakete osoa dela, beraz, pad-aren (adibidez, Ethernet) esteken geruzak, betegarri byteak ere inprimatuko dira geruza geruza handiagoa behar den betegarria baino txikiagoa denean.

-X

Inprimatzeko hex, inprimatu ascii ere. Horrela bada -x ere ezartzen bada, paketea hex / ascii-n inprimatzen da. Hau oso erabilgarria da protokolo berriak aztertzeko. Nahiz eta -x ez bada ere ezarri, pakete batzuen zati batzuk hex / ascii inprimatuta egon daitezke.

adierazpen

hautatu zein paketeak egingo diren. Espresiorik ez bazaio, sarean dagoen pakete guztiak bota egingo dira. Bestela, 'true' adierazpeneko paketeak bakarrik bota egingo dira.

Espresioa primitibo bat edo gehiago da . Primitiboak normalean idazle batek (izena edo zenbakia) bat edo gehiago sailkatzen ditu. Hiru mota bereizten dira:

mota

sailkatzaileek esan dezakete zein motatako idaztea edo zenbakia aipatzen duten. Modu posibleak ostalaria , sarea eta ataka dira . Adibidez, `ostalari foo ',` net 128.3', `port 20 '. Tasa sailkatzailea ez bada, ostalaria bere gain hartzen da.

dir

sailkatzaileek zehaztutako transferentzia norabide jakin bat zehazten dute eta / edo id . Posibleak diren jarraibideak src , dst , src edo dst eta src eta dst dira . Adibidez, `src foo ',` dst net 128.3', `src edo dst port ftp-data '. Diru-izenik ez badago, src edo dst onartzen da. 'Null' estekaren geruzetarako (hau da, protokoloak seinalatu, esaterako, irristagaitza) sarrerako eta irteerako sailkatzaileak nahi den norabidea zehazteko erabil daiteke.

proto

sailkatzaileek partida bat mugatzen dute protokolo jakin batean. Posibleak diren protoiak dira: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp eta udp . Adibidez, `ether src foo ',` arp net 128.3', `tcp port 21 '. Proto-sailkatzaile ez badago, mota guztiekin bat datozen protokolo guztiak hartuko dira kontuan. Adibidez, 'src foo' esan nahi du `(ip edo arp edo rarp) src foo '(azken hau ez da sintaxia juridikoa izan ezik),` net net' esan nahi du `(ip edo arp edo rarp) net barra 'eta' port 53 ' `(tcp edo udp) 53. portua '.

[`fddi 'da benetan` ether' aliasa; analizatzaileek beraiek identitate gisa tratatzen dute `` zehaztutako sareko interfazean erabiltzen den datu-esteken maila. '' FDDI goiburuak Ethernet-ren iturburua eta helmuga-helbideak ditu, eta sarritan Ethernet motako pakete motak ditu, FDDI eremu hauei buruzko iragazkiak Ethernet antzeko eremuak bezalaxe. FDDI goiburuak beste eremu batzuk ere baditu, baina ezin duzu izendatu espresuki iragazkiaren espresioan.

Era berean, `tr '' ether 'aliasa da; Aurreko paragrafoan FDDI goiburuei buruzko adierazpenak ere Token Ring izenburuei aplikatzen zaizkie.]

Goikoaz gain, badira zenbait `primitibo 'bereziak: ereduari jarraitzen ez dionak: atebidea , igorpena , adierazpen gutxiago , handiagoa eta aritmetikoa. Horiek guztiak azaltzen dira.

Iragazki espresio konplexuagoak hitzak eta , edo eta ez primitiboak konbinatzeko erabiltzen dira. Adibidez, `host foo eta ez port ftp eta ez port ftp-data '. Idazketa gordetzeko, baliozko zerrendak berdinak izan daitezke. Adibidez, `tcp dst port ftp edo ftp-data edo domeinua '' tcp dst port ftp edo tcp dst port ftp-data edo tcp dst port domeinua 'bezalakoak dira.

Ongarri primitiboak hauek dira:

dst ostalariaren ostalaria

Egia bada paketearen IPv4 / v6 helmugako eremua ostalaria da , helbide edo izen bat izan daiteke.

src host ostalaria

Egia da paketearen IPv4 / v6 iturburu-eremua ostalaria bada .

ostalariaren ostalaria

Egia da paketearen IPv4 / v6 iturburua edo helmuga ostalaria bada . Goiko adierazpenen osteko edozein gako, ip , arp , rarp edo ip6 gisako aurrez aurre daiteke:

ip host ostalaria

hau da, baliokidea:

ether proto \ ip eta host ostalaria

Etxe bat IP helbide anitzekin izen bat badago, helbide bakoitza egiaztatuko da partidarako.

ether dst ehost

Egia da ethernet helmugako helbidea ehost bada . Ehost / etc / ethers izeneko edo zenbaki bat izan daiteke (ikusi formatu numerikoko ethers (3N)).

ether src ehost

Egia da ethernet iturburu helbidea ehost bada .

ether host ehost

Egia da ethernet iturburu edo helmugako helbidea baldin badago .

atariaren ostalaria

Egia da paketea atebide gisa erabiltzen den ostalaria bada. Hau da, ethernet iturburua edo helmugako helbidea ostalaria izan zen, baina ez IP iturburua ezta IP helmuga ostalaria izan zen. Ostalaria izen bat izan behar du eta makina ostalariaren izena-to-IP helbideen bereizmeneko mekanismoak (ostalariaren izena, DNS, NIS, eta abar) eta makinaren ostalariaren izena-to-Ethernet helbidearen bereizmena izan behar ditu. mekanismoa (/ etc / ethers, eta abar). (Espresio baliokidea da

ether host ehost eta ez host ostalaria

zein izen edo zenbaki host / ehost erabil daiteke ) Sintaxia hau ez da IPv6 gaitutako konfigurazioan funtzionatzen une honetan.

dst net net

Egia bada, paketearen IPv4 / v6 helbidearen helbidea sarearen sare-zenbakia da. Sarea / etc / networks edo sareko zenbaki bat izan daiteke (ikusi sareak (4) xehetasunetarako).

src net net

Egia bada, paketearen IPv4 / v6 iturburu-helbidea net sare-zenbakia dauka.

net net

Egia bada, paketearen IPv4 / v6 iturburua edo helmuga helbidea sarearen sare-zenbakia dauka.

sare maskara maskara garbia

Egia da IP helbidea sareak sare maskara espezifikoarekin bat datorren. Src edo dst- rekin sailkatua izan daiteke. Kontuan izan sintaxi hau ez dela IPv6 sare egokia .

net net / len

Egia bada, IPv4 / v6 helbidea sare netarekin bat datorren sareen maskara zabalarekin. Src edo dst- rekin sailkatua izan daiteke.

dst port ataka

Egia da paketea ip / tcp, ip / udp, ip6 / tcp edo ip6 / udp bada, eta ataka-portuaren balioa du. Portua / etc / services-en erabilitako zenbaki edo izen bat izan daiteke (ikus tcp (4P) eta udp (4P)). Izen bat erabiltzen bada, bai portuaren zenbakia bai protokoloak markatuta egongo dira. Zenbaki edo izen anbiguoa erabiltzen bada, portuaren zenbakia bakarrik egiaztatzen da (adibidez, dst port 513 tcp / login trafikoa eta udp / trafikoa zein inprimatuko ditu eta ataka domeinuak tcp / domeinu eta udp / domeinuko trafikoa inprimatuko ditu).

src port ataka

Egia da paketea ataka-portuaren balioa badu.

portu- portua

Egia da paketearen iturburu edo helmugako ataka portua bada . Goiko esamoldeetako edozein aurreko gakoekin, tcp edo udpekin aurrez aurre daiteke, adibidez:

tcp src port ataka

jatorrizko iturburua portua den tcp paketeekin bat datorren bakarra.

luzera gutxiago

Egia bada, paketea luzeagoa edo luzera berdina badauka. Hau da baliokidea:

len <= luzera .

luzera handiagoa

Egia bada, paketearen luzera luzeagoa edo berdina den. Hau da baliokidea:

len> = luzera .

ip proto protokoloa

Egia da paketea IP paketea bada (ikus ip (4P)) protokolo protokolo mota. Protokolo zenbaki bat edo izen bat izan daiteke icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp edo tcp . Kontuan izan identifikatzaileek tcp , udp , eta icmp ere badira eta gezurrezko barrako (\) bidez ihes egin behar da, hau da \\ C-shell-en. Kontutan izan primitibo honek ez duela protokoloaren goiburuen katea atzematen.

ip6 proto protokoloa

Egia da paketea protokolo protokoloaren IPv6 paketea bada. Kontutan izan primitibo honek ez duela protokoloaren goiburuen katea atzematen.

ip6 protochain protokoloa

Egia da paketea IPv6 paketea bada, eta protokoloaren goiburua badu protokoloaren goiburuko katearekin. Adibidez,

ip6 protochain 6

IPv6 paketea dator TCP protokoloaren goiburuarekin protokoloaren goiburuko katean. Paketeak, adibidez, autentifikazioaren goiburua, bideratze goiburua edo hop-by-hop aukeraren goiburua izan dezake, IPv6 goiburuaren eta TCP goiburuaren artean. Primitibo honek emandako BPF kodea konplexua da eta ezin da optimizatu BPF optimizazio kodean tcpdump-en ; beraz, hau pixka bat motela izan daiteke.

ip protochain protokoloa

IP6 protochain protokoloaren baliokidea da, baina hori IPv4 da.

ether broadcast

Egia da paketea ethernet emisio-paketea bada. Ether keyword hautazkoa da.

ip igorpena

Egia da paketea IP igorpeneko paketea bada. Zehaztasun guztiak eta guztiak emititzen diren konbentzioak egiaztatzen ditu eta tokiko subnet maskara begiratzen du.

ether multicast

Egia da paketea ethernet multicast paketea bada. Ether keyword hautazkoa da. Hau da ` ether [0] eta 1! = 0 'taulen taupada.

ip multicast

Egia da paketea IP multicast paketea bada.

ip6 multicast

Egia da paketea IPv6 multicast paketea bada.

protokolo ether proto

Egia da paketea eter motako protokoa bada . Protokoloak ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx edo netbei izenekin zenbaki bat edo bat izan daiteke . Kontutan izan identifikadore hauek gako-hitzak ere badaude eta barra-barra (/) bidez ihes egin behar da.

[ FDDIren kasuan (adibidez, ` fddi protocolo arp ') eta Token Ring ( adib.` Tr protocolo arp '), protokolo gehienak protokoloaren identifikazioa 802.2 Logical Link Control (LLC) goiburukoa da. normalean FDDI edo Token Ring goiburuaren gainean dago.

FDDI edo Token Ring-en protokoloen identifikatzaile gehienentzat iragaztean, tcpdump -ek kodetzen duen LLC izeneko goiburuko protokolo ID eremua bakarrik adierazten du, SNAP formatuan, 0x000000 Organigrama Unitatea identifikatzeko (OUI), Ethernet kapsulatuarekin; Ez da egiaztatu paketea SNAP formatuan dagoen ala ez 0x000000 OUI batekin.

Salbuespenak iso dira, hau da, DSAP (Helmuga Zerbitzua Sarbide Puntua) eta SSAP (Iturria Zerbitzua Sarbide Puntua) eremuan, LLC goiburua, stp eta netbeui eremuak egiaztatzen ditu. Bertan, LLC atalaren DSAPa egiaztatzen du eta atalk , bertan SNAP formatuko paketea egiaztatzen du, 0x080007 eta Appletalk motako OUI batekin.

Ethernetren kasuan, tcpdump Ethernet mota eremua egiaztatzen du protokolo horietako gehienentzat; salbuespenak iso , sap eta netbeui dira , hau da, 802.3 fotograma bat egiaztatzen du eta, ondoren, LLCren goiburua egiaztatzen du FDDI eta Token Ring-en, atalk-en bezala , non Appletalk etype bat egiaztatzen du Ethernet marko batean eta SNAP formatuko paketea FDDI eta Token Ring-ekin egiten den bezala, Appletalk ARP etype egiazta dezakezun Ethernet fotograma batean edo 802.2 SNAP markoarekin 0x000000 eta IPx OUI batekin, IPX motako bilaketak egiaztatzen du. Ethernet fotograma bat, IPX DSAPa LLC atalean, 802.3 IPX kodetze gabeko kodearen goiburuarekin, eta IPX etiketa SNAP marko batean.]

decnet src ostalaria

Egia DECNET iturburuko helbidea ostalaria da , `` 10.123 '' formako helbide bat edo DECNET ostalari izena badaiteke. [DECNET ostalariaren izenaren euskarria DECNET exekutatzeko konfiguratuta dauden Ultrix sistemetan soilik dago eskuragarri.]

decnet dst ostalaria

Egia DECNETeko helmugaren helbidea ostalaria bada .

decnet ostalariaren ostalaria

Egia DECNET iturria edo helmugako helbidea ostalaria bada .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Laburpenak honetarako:

ether proto p

non p lehen protokoloetako bat da.

lat , moprc , mopdl

Laburpenak honetarako:

ether proto p

non p lehen protokoloetako bat da. Kontuan tcpdump- ek ez duela gaur egun ezagutzen protokolo horiek nola analizatu.

vlan [vlan_id]

Egia da paketea IEEE 802.1Q VLAN paketea bada. [Vlan_id] zehazten bada, benetako bakarra paketea da zehaztutako vlan_id . Kontuan izan lehen adierazpenean aurkitutako lehen vlanen adierazpenak dekodetzazioaren desplazamenduak gainerako adierazpenerako aldatzen dituela paketea VLAN paketea dela suposatuz.

tcp , udp , icmp

Laburpenak honetarako:

ip proto p edo ip6 proto p

non p lehen protokoloetako bat da.

protokolo protokolo hori

Egia bada paketea protokolo mota protokolo baten OSI paketea bada. Protokolo zenbaki edo izen bat izan daiteke clnp , esis , edo isis .

clnp , esis , isis

Laburpenak honetarako:

iso proto p

non p lehen protokoloetako bat da. Kontuan tcpdump- ek protokolo horiek nola parekatzen dituen osatu gabe.

expr relop expr

True, erlazioa dauka, non relop bat>, <,> =, <=, =,! =, Eta expr konplexu integralen konposizio aritmetiko bat da (sintaxia estandarretan adierazita), operadore binario normalak [+ , -, *, /, &, |], luzera operadorea eta pakete datuen sarbide osagarriak. Pakete barruan datuak atzitzeko, erabili honako sintaxia:

proto [ expr : size ]

Proto da ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp edo ip6 , eta indize eragiketa protokolo geruza adierazten du. ( ether, fddi, tr, ppp, irristaka eta lotura estekaren geruza erreferentzia egiten dute.) Kontuan izan tcp, udp eta beste goi-geruzako protokolo motak IPv4rekin bakarrik aplikatzen direla, ez IPv6 (hau etorkizunean konponduko da). Byte desplazamendua, adierazitako protokolo geruzaren aldean, expr- k ematen du. Tamaina hautazkoa da eta interes-eremuaren byte kopurua adierazten du; bat, bi, edo lau izan daiteke, eta lehenetsiak bat. Luzera operadorea, gako-hitzarekin adierazita, paketearen luzera ematen du.

Adibidez, ` ether [0] eta 1! = 0 'trafiko anitzeko multzoa harrapatzen du. " Ip [0] eta 0xf! = 5 '' IP aukerak paketeak harrapatzen ditu. ' Ip [6: 2] eta 0x1fff = 0 ' adierazpenek datagramarik gabeko formatu bakarra harrapatzen dute eta datagrama zatikatuen zero zatia. Txeke hau tcp eta udp indizea eragiketak inplizituki aplikatzen zaizkio. Adibidez, tcp [0] beti TCP goiburuko lehenengo byte esan nahi du, eta sekula ez du zati baten lehen zatirik esan nahi.

Desplazamendu eta eremu balio batzuk balio nominal gisa baino adieraz daitezke. Hurrengo protokoloaren goiburuko eremuen desplazamenduak daude eskuragarri: icmptype (ICMP mota eremua), icmpcode (ICMP kodea eremua) eta tcpflags (TCP banderak eremua).

ICMP motako eremuko balioak honako hauek dira: icmp-echoreply , icmp-unreach , icmp -sourcequench , icmp -redirect , icmp-echo , icmp -routeradvert , icmp -routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -supiremente , icmp -ireq , icmp -ireqreply , icmp-maskreq , icmp-maskreply .

Hurrengo TCP banden eremuko balioak daude eskuragarri: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Primitiboak konbinatu daitezke:

Primitiboen eta operadore talde parentesi artean (parentesiak Shellera bereziak dira eta ihes egin behar dira).

Ezezkoa (` ! 'Edo` ez ').

Concatenation (` && ' edo` and ').

Alternatiba (` || 'edo` or ').

Negatibitatea lehentasun handiena du. Alternatiba eta kateatzea lehentasun berdina dute eta ezkerretik eskuinera elkartzen dira. Kontuan izan, esplizituak eta tokenak, ez juxtaposizioak, orain concatenation behar direla.

Identifikatzaile bat gako-hitzik gabe ematen bada, azken gako-hitza bere gain hartzen da. Adibidez,

ez ostalaria vs eta ace

laburra da

ez ostalaria vs ostalaria ace

Ez da nahastu behar

ez (host vs vs. ace)

Espresioaren argumentuak tcpdump- era igaro daitezke argumentu bakar bat edo argumentu bat baino gehiago, edozein dela ere komenientzat. Oro har, espresioak Shell metakarletak biltzen baditu, errazagoa da argumentu bakar eta kotizatu gisa pasatzea. Argumentu anitzak espazioekin lotzen dira espazioan aztertu aurretik.

EXAMPLES

Sundownera iristeko edo ateratzeko dauden paketeak inprimatzeko:

tcpdump host sundown

Helioak eta beroa edo ace artean trafikoa inprimatzeko:

tcpdump host helios eta \ (hot edo ace \)

Aseko eta paketeen IP pakete guztiak inprimatzeko helioaren ordez :

tcpdump ip host ace eta ez helios

Berkeley-n tokiko ostalarien eta ostalarien arteko trafiko guztia inprimatzeko:

tcpdump net ucb-ether

Ftp trafiko guztiak inprimatzeko internet atariaren snup bidez: (kontuan izan adierazpena kotizatzen dela shell (mis-) parentesi interpretatzeko saihesteko):

tcpdump 'gateway snup and (port ftp or ftp-data)'

Trafikoa inprimatzeko tokiko ostalariak ez direnak edo ez direlako (sarera beste sare batera bidaltzen baduzu, gauza hori ez da inoiz zure tokiko sarera itzuliko).

tcpdump ip eta ez sare lokala

Hasierako eta amaierako paketeak (SYN eta FIN paketeak) tokiko tokiko ostalaririk ez duen TCP elkarrizketa bakoitzaren inprimatzeko.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 eta ez da src eta dst net localnet '

IP paketeak 576 byte baino luzeagoak bidaltzeko atebide sarearen bidez bidaliko dira:

tcpdump 'gateway snup and ip [2: 2]> 576'

Ethernet emisio edo multicast bidez bidali ez diren IP igorpenak edo multicast paketea inprimatzeko:

tcpdump 'ether [0] & 1 = 0 eta ip [16]> = 224'

ICMP paketeak ez diren oihartzun eskaerak / erantzunak (hau da, ez paketeak ping) inprimatzeko:

tcpdump 'icmp [icmptype]! = icmp-echo eta icmp [icmptype]! = icmp-echoreply'

OUTPUT FORMAT

Tcpdump irteera protokoloaren araberakoa da. Jarraian, formatu gehienen deskribapen laburra eta adibide bat ematen du.

Estekatu maila goiburuak

'-e' aukera ematen bada, esteka esteken goiburua inprimatuko da. Ethernetetan, iturburu eta helmugako helbideak, protokoloak eta paketeen luzerak inprimatuta daude.

FDDI sareetan, '-e' aukera tcpdump- ek 'markoaren kontrol' eremua, iturburua eta helmuga helbideak eta paketeen luzera inprimatzen ditu. ('Framework control' eremuak paketearen gainerako interpretazioa arautzen du. Pakete arruntak (IP datagramak dituztenak bezalakoak) `async 'paketeak dira, 0 eta 7 bitarteko lehentasunezko balioa dutenak, adibidez' async4 '. Paketeak 802.2 Lotura Logiko Kontrolerako (LLC) pakete bat suposatzen dute; LLC goiburua inprimatuta dago, ISO datagrama edo SNAP paketea deitzen ez bada.

Token Ring sareetan, "-e" aukera tcpdump- ek 'sarbide-kontrola' eta 'kontrol-markoaren' eremuak, iturburua eta helmuga-helbideak eta pakete-luzera inprimatzeko aukera ematen du. FDDI sareetan bezala, paketeak LLC pakete bat eduki ohi dute. '-e' aukera zehazten den ala ez adierazten du, iturburuko bideratze informazioa iturburu-bideratutako paketeentzako inprimatuta dago.

(NB: Hurrengo deskribapenek RFC-1144ren deskribatutako SLIP konpresio algoritmoa ezagutzen dute.)

SLIP esteketan, norabide adierazle bat (`` I'''butartatik, `` O''bokatutik irteerako), pakete mota eta konpresioaren informazioa inprimatzen dira. Pakete mota inprimatuta dago lehenik. Hiru motak ip , utcp eta ctcp dira . Lotura informazioa ez dago ip paketeetarako inprimatuta. TCP paketeetarako, konexio identifikatzailea inprimakiaren arabera inprimatzen da. Paketea konprimituta badago, kodetutako goiburua inprimatuta egongo da. Kasu bereziak inprimatzen dira * S + n eta * SA + n , non n kopurua horren bidez sekuentzia zenbakia (edo sekuentzia zenbakia eta ack) aldatu egin baita. Kasu berezi bat ez bada, zero edo gehiago aldatzen dira inprimatuta. Aldaketa U (premiazko erakuslea), W (leihoa), A (ack), S (sekuentzia zenbakia) eta I (pakete IDa), eta ondoren delta (+ n edo -n) edo balio berria adierazten du. (= n). Azkenean, paketearen eta konprimatutako goiburuaren luzeraren datuak inprimatzen dira.

Adibidez, honako lineak irteerako konprimatutako TCP paketea erakusten du, konexio identifikadore inplizitu batekin; ACK-k 6 izan ditu, sekuentzia zenbakia 49, eta pakete IDa 6; datuen 3 byte eta 6 atal konprimitutako goiburua daude.

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP paketeak

Arp / rarp irteerak eskaera mota eta bere argumentuak erakusten ditu. Formatua norberaren azalpena izatea da. Hemen ostalari rtsg-eko `rlogin 'ren hasierako laginei buruzko lagin labur bat da csam-en ostalarian:

Arp-ek erantzun dio CSC-k erantzun zidan

Lehenengo lerroa dio rtsg-ek arp paketea bidali duela web ostalariaren csam-ethernet helbidea galdetuz. Csam-ek bere ethernet helbidearekin erantzuten du (adibide honetan, ethernet-en helbideak txertatzeak eta Interneteko helbideetan kasu gutxietan daude).

Hau gutxiagotuko litzateke tcpdump -n egin genuen:

Arp-ek 128.3.254.6 izan ditu 128.3.254.68 erantzuna 128.3.254.6 erantzuna da-a las 02: 07: 01: 00: 01: c4

Tcpdump-e egin badugu, lehenengo paketea emititzen den eta bigarrena puntu-puntua ikusgai egongo litzateke:

RTSG Broadcast 0806 64: CSP duten CSS RTSG 0806 64 arakatzailearentzako arp: arp erantzun csam-a da CSAM-en

Lehenengo pakete hau Ethernet iturburuko helbidea RTSG da, helmuga ethernet emisioaren helbidea da, motako eremua hex 0806 (ETER_ARP motakoa) eta luzera osoa 64 byte zen.

TCP paketeak

(Oharra: RFC-793 azaltzen den TCP protokoloarekin ezagutzen dugun deskribapenaren arabera, protokoloa ezagutzen ez baduzu, deskribapen hau edo tcpdump ez dira erabilgarriak izango).

Tcp protokoloaren lineako formatu orokorra honako hau da:

src> dst: flags data-seqno ack leihoa premiazko aukerak

Src eta dst iturburu eta helmuga IP helbideak eta portuak dira. Banderak S (SYN), F (FIN), P (PUSH) edo R (RST) edo '`bakarreko konbinazio batzuk dira. (bandera ez). Datu-sekzioak paketearen datuek estalitako sekuentzia-zatiaren zati bat deskribatzen du (ikus beheko adibidea). Ack hurrengo datuen sekuentzia hurrengo konexio honen beste norabidea espero zen. Leihoan jasotako bufferren espazioen byte kopurua beste konexio bat dago eskuragarri konexio honetan. Urg- ek paketean `premiazko 'datuak dagoela adierazten du. Aukerak tcp aukerak angelu parentesi artean daude (adibidez, ).

Src, dst eta banderak beti daude presente. Gainerako eremuak paketearen tcp protokoloaren goiburuko edukien menpe daude eta irteera egokia bada.

Hemen rlogin baten irekiera rtsg ostalariaren ostalaria da csam ostalarian.

rtsg.1023> csam.login: S 768512: 768512 (0) irabazi 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 irabazi 4096 rtsg.1023> csam. saioa hasi: . ACK 1 irabazi 4096 rtsg.1023> csam.login: P 1: 2 (1) ACK 1 irabazi 4096 csam.login> rtsg.1023 :. Ack 2 irabazi 4096 rtsg.1023> csam.login: P 2:21 (19) ACK 1 irabazi 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 irabazi 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 irabazi 4077 urteren 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 irabazi 4077 urrea 1

Lehen lerroa dio rtsg-eko tcp 1023 ataka pakete bat bidaltzen saioa hasteko ataka zam-en. S adierazten du SYN bandera ez dela ezarri. Pakete sekuentzia zenbakia 768512 zen eta ez da datuik jasotzen. (Oharpena `first: last (nbytes) 'esan nahi du, hau da,' sekuentzia-zenbakiak lehenik eta behin, baina erabiltzaileak ez diren datuen byteak ez diren azkenak barne '.) Ez zegoen piggy-backed ACK, eskuragarri jasotzeko leihoan 4096 byte eta Gehienezko segmentu-tamaina aukeratu zen, 1024 byte mseko bat eskatuz.

Csam-ek antzeko pakete batekin erantzuten du, RTSG-ren SYN-ren piggy backed ack bat barne hartzen ez bada. Rtsg eta gero acks csam-en SYN. '.' Banderak ez ziren ezarri. Paketeak ez du datuik jasotzen, beraz, datuen sekuentzia zenbakia ez dago. Kontutan izan ack sekuentzia zenbakia osokoa dela (1). Tcpdump lehen aldiz tcp 'elkarrizketa bat ikusten du', sekuentzia-zenbakia inprimatzen du paketetik. Elkarrizketaren ondorengo paketeetan, uneko paketeen sekuentzia-zenbakia eta hasierako sekuentzia zenbakia arteko aldea agertuko da. Horrek esan nahi du lehendabiziko sekuentzien zenbakiak elkarrizketaren datuen korrontean byte erlatiboak interpretatzen direla (lehenengo datuen byte norabide bakoitza '1' izanik). '-S' funtzio hau gainidatziko du, jatorrizko sekuentzia-zenbakiak irteerak sortuz.

6. lerroan, rtsg-ek datuak zatiki 19 byte bidaltzen ditu (bytes 2 eta 20 elkarrizketan). PUSH bandera paketean ezartzen da. 7. lerroan, csam-ek rtsg-ek igorritako datuak jasotzen ditu, baina ez byteak barne hartuta. Datu horietako gehienak itxuraz socket-buffer batean eserita daude, csam-en jasotzeko leihoan 19 byte txikiagoa lortuz geroztik. Csam-ek datu-byte bat bidaltzen dio rtsg paketean. 8. eta 9. lerroetan, csamek premiazko bi byte bidaltzen ditu eta rtsg-era bultzatu.

Argazkia txikiegia balitz tcpdump- ek TCP goiburu osoa harrapatu ez badu, goiburukoaren zati gisa interpretatzen du eta, ondoren, `` [| tcp ] '' gainerakoa ezin dela interpretatu adierazteko. Goiburuak aukera faltsua badu (goiburu txikiegia edo goiburuaren amaieraren bat), tcpdump-ek txosten hau "gaitu gaizki " gisa adierazten du eta ez du beste aukerarik interpretatzen (ezinezkoa da kontatzea non hasten dira). Goiburuaren luzera aukerak adierazten badituzu, baina IP datagrama luzera ez dago nahikoa luzea dagoenean, tcpdump-ek txostena "[ hdr luzera txarra "] gisa adierazten du.

TCP paketeak konbinazio jakin batzuekin (SYN-ACK, URG-ACK, eta abar) harrapatzea.

TCP goiburuko kontrol bits ataleko 8 bit daude.

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Demagun TCP konexio bat ezartzeko erabiltzen diren paketeak ikusi nahi dugula. Gogoratu TCP-k 3 moduko eskuzabalen protokolo bat erabiltzen duela konexio berria abiarazten duenean; konexio sekuentzia TCP kontrol bitetan dagokionez da

1) Deitzaileak SYN bidaltzen du

2) Hartzailea SYN, ACK-rekin erantzuten du

3) Deitzaileak ACK bidaltzen du

Orain SYN bit-multzoak bakarrik duten paketeak harrapatzeko interesa dugu (1. urratsa). Kontuan izan ez dugula paketeak 2 urratsean (SYN-ACK) nahi, lehen SYN sinple bat. Beharrezkoa dugu tcpdump-en iragazkiaren adierazpen zuzena.

Egiaztatu TCP goiburu baten egitura aukerarik gabe:

0 15 31 ----------------------------------------------- ------------------ | iturburuko ataka | helmuga portua | -------------------------------------------------- --------------- | sekuentzia-zenbakia | -------------------------------------------------- --------------- | Aitortu zenbakia | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | leihoaren tamaina | -------------------------------------------------- --------------- | TCP egiaztapena | erakusle urgente | -------------------------------------------------- ---------------

TCP goiburu batek normalean 20 datu-atal ditu, aukerak ez badira. Grafikoaren lehen lerroan 0 eta 3 bitartekoak ditu, bigarren lerroak 4-7 atekoak erakusten ditu.

0 zenbakiarekin hasita, TCP kontrol bit garrantzitsuak 13 bitartekoak dira:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | leihoaren tamaina | ---------------- | --------------- | --------------- | - --------------- | | 13garren atala | | |

Ikus dezagun octet-en begirada hurbilago bat. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Hauek dira interakzioan TCP kontroleko bitak. Zenbakiak 0tik 7ra bitarteko zenbakiak ditugu, ezkerrera, beraz PSH bit bit kopurua 3 da, URG bit bit kopurua 5 da.

Gogoratu paketeak SYN multzo bakarrean harrapatu nahi dugula. Ikus dezagun 13 ataleko zer gertatzen den TCP datagrama bat SYN bit-ean goiburuan zehazten bada:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Kontrol biteko atalari begira, ikusten dugu 1 biteko zenbaki bakarra (SYN) ezarri behar dela.

Zenbakiaren zenbakia 13 zenbaki sintaktikoa 8 biteko bitan sinatzen denean, byte ordenaren bitarraren balioa da.

00000010

eta bere irudikapen hamartarra da

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Ia amaituta dago, gaur egun badakigu SYNa bakarrik ezartzen dela, TCP goiburuko 13. bitarteko balioaren arabera, 8 biteko sinadura gabeko zenbaki oso bat interpretatutako sareen byte ordenean, zehazki 2 izan behar du.

Harreman hori honela adieraz daiteke

tcp [13] == 2

Espresio hau tcpdumperako iragazkia bezala erabil dezakezu SYN multzo bakarra duten paketeak ikusteko:

tcpdump -i xl0 tcp [13] == 2

Esamoldeak dio "utz dezagun TCP datagrama baten 13. zenbaki bat balio hamartar 2", hau da, zehazki zer nahi dugun.

Orain, kontuan hartu SYN paketeak atzemateko behar dugula, baina ez dugu axola ACK edo beste TCP kontrol bit bat aldi berean ezartzen. Ikus dezagun zer gertatzen den 13tik hasita 13 SYN-ACK multzo batekin TCP datagrama iristen denean:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Orain bit 1 eta 4 bitartekoak 13 atalean ezarri dira. 13 bitarteko balio bitarra da

00010010

hau da, hamartar bihurtzen da

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Orain ezin dugu 'tcp [13] == 18' ' tcpdump iragazkien adierazpenean erabili, SYN-ACK ezarritako paketeak bakarrik hautatzen baitzituzten, baina ez SYN multzo bakarrarekin. Gogoratu ez dugula ACK edo beste kontrol bit bat ezarri SYN ezartzen den.

Gure helburua lortzeko, logikoki behar dugu 13. bitarteko balio bitarra eta beste balio batzuk SYN bit mantenduz. Badakigu SYN-k nolabait esateko nahi dugula, beraz, logikoki eta ONEren balio bat izango dugu 13an SYNren balio bitarrarekin:

00010010 SYN-ACK 00000010 SYN ETA 00000010 (SYN nahi dugu) eta 00000010 (SYN nahi dugu) -------- -------- = 00000010 = 00000010

EKIN ETA eragiketa honek emaitza bera ematen du, ACK edo beste TCP kontrol bit bat ezarrita dauden ala ez kontuan hartu gabe. AND balioa eta eragiketa honen emaitza hamartar kopurua 2 da (binarioa: 00000010), beraz badakigu SYN-rekin paketeek honako erlazioa ezarri behar dutela egia dela:

((13 octet-eko balioa) ETA (2)) == (2)

Honek tcpdump iragazkiaren espresioari adierazten gaitu

tcpdump -i xl0 'tcp [13] & 2 == 2'

Kontuan izan komatxo bakunak edo barrako barra bat erabili behar dituzula adierazpenean AND ('&') karaktere bereziarekin ezkutatzeko.

UDP paketeak

UDP formatua rwho paketearen bidez ilustratzen da:

actinide.who> broadcast.who: udp 84

Horrek esan nahi du ostalariaren actinidean ontziratutako norbaiten datagrama portuari bidaltzen zaion atarira, Internet bidezko emisioen helbidea. Paketeak 84 erabiltzaile-datu byte ditu.

UDP zerbitzu batzuk aitortzen dira (iturburuko edo helmugako ataka zenbakia eta goi mailako protokoloaren informazioa inprimatuta). Bereziki, Domain Name zerbitzuaren eskaerak (RFC-1034/1035) eta Sun RPC deiak (RFC-1050) NFSrekin.

UDP Izena zerbitzariaren eskaera

(Oharra: RFC-1035an deskribatutako Domeinu Zerbitzuaren protokoloa ezagutzera ematen du ondorengo azalpenak. Protokoloa ezagutzen ez baduzu, deskribapen hau greziar batean agertuko da.)

Zerbitzariaren eskaera izena formateatu gisa

src> dst: id op? banderak Qtype izena (len) h2opolo.1538> helli.domain: 3+ A? ucbvax.berkeley.edu. (37)

Ostalari h2opolo- k domeinu zerbitzaria galdetu zion Helio izeneko helbidea (qtype = A) izena ucbvax.berkeley.edu izenarekin . Bilaketa-id izan zen '3'. `+ 'Adierazten du errekurtsio nahi den bandera ezarrita dagoela. Kontsultaren luzera 37 byte izan zen, UDP eta IP protokoloen goiburuak barne. Kontsulta-eragiketa normal bat izan zen, Kontsulta , beraz, op eremua ez zen zehaztu. Op bada beste ezer izan, '3' eta `+ 'artekoa izango litzateke. Era berean, qclass normal bat izan zen, C_IN , eta ez zen ezabatu. Beste "Q" baten ondoren inprimatu beharko litzateke.

Anomaliak gutxi batzuk hautatuta daude eta kortxetetan ager daitezkeen eremuak sor ditzakete. Kontsultak erantzun bat badu, autoritate erregistroak edo sekzioko sekzio gehigarriak, ancount , nscount edo arcount "[ n a] gisa inprimatzen dira", "[ n n ] 'edo `[ n au]' non n egokia den kontua da. Erantzuneko bit batzuk ezarri badira (AA, RA edo rcode) edo 'zero' izan behar dira bitak bi eta hiru bitartekoak dira, `[b2 & 3 = x ] 'inprimatuta dago, non x hex balio goiburuko byteak bi eta hiru.

UDP izenaren zerbitzariaren erantzunak

Izena zerbitzariaren erantzunak formateatu dira

src> dst: id rcode flags a / n / au type class data (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Lehenengo adibidean, heliosek h2opolo-ren kontsulta id 3 erantzuten dio 3 erantzunen erregistroekin, 3 izen zerbitzariaren erregistroarekin eta 7 erregistro gehigarri. Lehenengo erantzunen erregistroa A motakoa da (helbidea) eta datuek Interneteko helbidea 128.32.137.3 da. Erantzunaren tamaina totala 273 byte izan zen, UDP eta IP goiburuak baztertu gabe. Op (Query) eta erantzun kodea (NoError) ezabatu egin ziren, A erregistroko klase (C_IN) bezala.

Bigarren adibidean, heliosek 2 galderari erantzuten dio, domeinu ez-existitzen den domeinuaren erantzunarekin (NXDomain) erantzunik gabe, izen zerbitzari bat eta autoritate erregistro ez. '*' Adierazten du autoritate erantzuna bit ezarri zela. Erantzunik ez zegoenez, ez ziren mota, klase edo datuak inprimatu.

Erakutsi daitezkeen beste karaktere batzuk `- '(errekurtsibitatea erabilgarri, RA, ez da ezarri) eta` |' (trunkotutako mezua, TC, ezarri). 'Galdera' atalak sarrerarik ez badu, `[ n q] 'inprimatuta dago.

Kontuan izan izen zerbitzariaren eskaerak eta erantzunak handiak direla eta 68 byte-ko snaplen lehenetsiak ez lukete inprimatzeko paketerik nahikoa harrapatzeko. Erabili -s bandera ezartzeko snaplen handitzeko, izen-zerbitzariaren trafikoa modu serioan ikertzeko. ` -s 128 'lan ona egin du niretzat.

SMB / CIFS deskodetzea

tcpdump orain UDP / 137, UDP / 138 eta TCP / 139 datuen SMB / CIFS / NBT decoding nahiko zabala biltzen du. IPX eta NetBEUI SMB datuen dekodetze primitibo batzuk ere egin dira.

Lehenespenez, decode nahiko minimoa egiten da, hau da: -v erabiltzen bada. Jakinaraz ezazu SMB pakete bakar batek orri bat edo gehiago hartu dezakeela, beraz, bakarrik erabili behar duzu -v benetan nahi dituzun xehetasun guztiak nahi badituzu.

Unicode kateekin dituzten SMB saioak deskonektatzen badituzu, ondoren, USE_UNICODE inguruneko aldagaia ezarri nahi duzu 1. Unicode kateak automatikoki detektatzeko adabaki bat ongi etorriko litzateke.

SMB pakete formatuei buruzko informazioa lortzeko eta ze eremu guztietan esan nahi den ikusi www.cifs.org edo pub / samba / specs / directory zure gogoko samba.org ispilu gunean. Andrew Tridgell-ek idatzitako SMB adabak (tridge@samba.org).

NFS eskaerak eta erantzunak

Sun NFS (Network File System) eskaerak eta erantzunak inprimatuta daude:

src.xid> dst.nfs: len op args src.nfs> dst.xid: erantzun stat len ​​op emaitzak sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: erantzun ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 bilatu fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: erantzuteko ok 128 bilaketa h 9.74 / 4134.3150

Lehenengo lerroan, ostalariaren sushi transakzio bat bidaltzen dio id 6709 wrl-rekin (kontuan izan src ostalariaren ondorengo zenbakia transakzio-id bat dela, ez iturburu-ataka). Eskaera 112 byte izan zen, UDP eta IP goiburuak baztertu gabe. Operazioa readlink (irakurri lotura sinbolikoa) fitxategi kudeatzailean ( fh ) 21,24 / 10,731657119. (Zortea izanez gero, kasu honetan, fitxategi-heldulekua gailu kopuru handien eta txikien pareko gisa interpretatu daiteke, inode zenbakiaren eta generazioaren zenbakiaren ondoren.) Wrl-k 'ok' erantzuten du loturako edukiekin.

Hirugarren lerroan, sushik wrl izena eskatzen du ' xcolors ' izeneko direktorioaren aurkibidea 9.74 / 4096.6878 fitxategian. Kontuan izan inprimatutako datuak eragiketa motaren arabera. Formatua norberaren azalpena izatea da NFS protokoloaren espezifikazioarekin batera irakurtzen bada.

Bada -v (verbose) bandera ematen bada, informazio gehigarria inprimatuta dago. Adibidez:

sushi.1372a> wrl.nfs: 148 read fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: erantzun ok 1472 irakurri REG 100664 ids 417/0 sz 29388

(-v-ek adibide honetatik kanpo utzi dituen IP goiburua TTL, ID, luzera eta zatiketa eremuak ere inprimatzen ditu.) Lehenengo lerroan, sushik wrl- k 8192 byte irakurtzeko 21,11 / 12.195 fitxategitik irakurtzen du, byte desplazamenduan 24576. Wrl erantzuten 'ok'; bigarren lerroan agertzen den paketea erantzuna da lehenengo zatia, eta, beraz, 1472 byte besterik ez da (gainerako byteek ondorengo zatietan jarraituko dute), baina zati horiek ez dute NFS edo UDP goiburuak eta beraz ez lirateke inprimatuko, erabilitako iragazkiaren adierazpenaren arabera). Bandera hori emanez gero, fitxategi-atributu batzuk (fitxategi-datuekin batera itzuli direnak) inprimatzen dira: fitxategiaren mota (`` REG '', fitxategi erregularra), fitxategiaren modua (zortzitarrean) uid eta gid, eta fitxategiaren tamaina.

V-ren bandera behin baino gehiagotan ematen bada, xehetasun gehiago ere inprimatuko dira.

Kontutan izan NFS eskaerak oso handiak direla eta xehetasun handirik ez dela inprimatuko snaplen handitzen ez bada. Saiatu ` -s 192 'erabiltzea NFS trafikoa ikusteko.

NFS erantzunen paketeek ez dute esplizituki identifikatzen RPC eragiketa. Horren ordez, tcpdump- ek "berriki" eskaerak jarraitzen ditu eta transakzioaren IDaren bidez erantzuten du. Erantzun batek ez badu dagokion eskaera jarraitzen, agian ez da parekagarria.

AFS eskaerak eta erantzunak

Transarc AFS (Andrew File System) eskaerak eta erantzunak inprimatuta daude:

src.sport> dst.dport: rx pakete mota src.sport> dst.dport: rx pakete motako zerbitzua dei deitu izena args src.sport> dst.dport: rx pakete motako zerbitzua erantzuteko dei-izena args elvis. 7001> pike.afsfs: rx data fs deitu izen berria aldatu 536876964/1/1 zenbakidun ".newsrc.new" 536876964/1/1 berria ".newsrc" pike.afsfs> elvis.7001: rx data fs erantzunaren izenean

Lehenengo lerroan, elvis ostalariak paketearen RX paketea bidaltzen du. RX datu paketea fs (fitxategi-trukea) zerbitzura zegoen, eta RPC dei baten hasiera da. RPC deia izenez aldatu zen, 536876964/1/1 direktorioaren fitxategi zaharrarekin eta '.newsrc.new' izeneko fitxategi zahar batekin eta 536876964/1/1 direktorioaren fitxategi berriarekin eta '. newsrc '. Ostalariaren pikeak RPC erantzuna erantzuten dio rename deira (arrakastatsua izan da, datu-paketea delako eta ez abortuaren paketea).

Oro har, AFS RPC guztiak gutxienez RPC dei izenaren bidez deszifra daitezke. AFS RPC gehienek argumentu batzuk deskodetu dituzte gutxienez (oro har, interesgarriak diren argumentuak soilik, interesgarriak diren zenbait definizio).

Formatua diseinatzeaz gain, AFS eta RX-ren funtzionamendua ezagutzen ez dituzten pertsonek ez dute erabilgarri izango.

Bada -v (verbose) bandera bi aldiz ematen bada, onarpen paketeak eta goiburuko informazio osagarria inprimatzen badira, hala nola, RX deien IDa, deien kopurua, sekuentzia zenbakia, serieko zenbakia eta RX pakete-banderak.

Bandera ez bada bi aldiz ematen bada, informazio gehigarria inprimatuko da, adibidez, RX deien IDa, serieko zenbakia eta RX pakete banderak. MTU negoziazioaren informazioa RX ack paketeetatik ere inprimatuta dago.

V-bandera hiru aldiz ematen bada, segurtasun indizea eta zerbitzu-id inprimatuta egongo dira.

Abortatze-paketeen errore-kodeak inprimatzen dira, Ubik-en beacon paketeak izan ezik (Ubuntu protokoloa baiezko boto bat adierazteko erabiltzen diren abortatze-paketeak erabiltzen dira).

Kontuan izan AFS eskaerak oso handiak direla eta argumentu asko ez direla inprimatuko snaplen gehitzen ezean. Saiatu ` -s 256 'erabiltzea AFS trafikoa ikusteko.

AFS erantzun-paketeek ez dute esplizituki identifikatzen RPC eragiketa. Horren ordez, tcpdump- ek 'berriki' 'eskaerak jarraitzen ditu eta erantzunak batzen ditu, dei-zenbakia eta zerbitzu-IDa erabiliz. Erantzun batek ez badu dagokion eskaera jarraitzen, agian ez da parekagarria.

KIP Appletalk (UDP DDP)

Appletalk DDP paketeak UDP datagraman kapsulatutakoak dira, DSP paketeak de-encapsulated eta dumped (hau da, UDP goiburuko informazio guztia baztertuta dago). Fitxategia /etc/atalk.names aplikazioa da appletalk sare eta nodo zenbakiak itzultzeko izenetara. Fitxategi honetako lerroak forma dute

zenbakiaren izena 1.254 ether 16.1 icsd-net 1.254.110 ace

Lehenengo bi lerroak appletalk sareen izenak ematen dituzte. Hirugarren lerroa ostalari jakin baten izena ematen du (ostalaria saretik bereizten da 3. zenbakian zenbakiaren arabera; zenbaki garbi bat bi atal izan behar ditu eta ostalari batek hiru atal izan behar ditu). Zenbakia eta izena bereizita egon behar dira. zuriunea (blanks edo fitxak). /etc/atalk.names fitxategiak lerro hutsak edo iruzkin lerroak izan ditzake ('#' hasitako lerroak).

Appletalk helbideak formularioan inprimatuta daude:

net.1.a.

( /etc/atalk.names ez badago edo appletalk ostalari / zenbaki garbiarekin sarrera bat ez badu, helbideak inprimaki numerikoan inprimatzen dira.) Lehenengo adibidean, NBP (DDP ataka 2) 144.1 netean nodoa 209 nodo 112 icsd neteko 220 portuko entzungailua bidaltzen ari da. Bigarren lerroa bera da, iturburuko nodoaren izen osoa (`office ') izan ezik. Hirugarren lerroa 235 portu batetik bidali da jssmag nodo net 149 icsd-net NBP portuan emititzeko (kontuan izan emisio helbidea (255) izen garbi bat adierazten du ostalari-zenbakiik gabe, horregatik ideia ona da nodo izenak eta izenak garbi mantentzeko /etc/atalk.names).

NBP (izen loteslearen protokoloa) eta ATP (Appletalk transakzio protokoloa) paketeek beren edukiak interpretatu dituzte. Beste protokoloak protokoloaren izena (edo izena, protokoloaren izena ez badago erregistraturik) eta paketeen tamaina ezabatzen dute.

NBP paketeak hurrengo adibideekin formateatuta daude:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Lehen lerroa laser idazleen bilaketa-eskaera izen bat da, icsd ostalariaren 112 netoaren bidez bidalitakoa eta jssmag sarean emititzen dena. Bilaketa egiteko nbp id 190 da. Bigarren lerroan eskaera honen erantzuna erakusten du (kontuan izan idazte bera duen) jssmag.209 ostalariaren arabera "RM1140" izeneko laserwriter baliabidea 250 portuan erregistratuta dagoela. Hirugarrena lineak beste erantzun bat dauka eskaera berari erantzunez, ostalariaren teklatua 186 portuko erregistratutako laser-idazkera "techpit" du.

ATP pakete formatua honako adibide bidez frogatzen da:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209-k 12266 eragiketa bidaltzen du ostalari helioekin, 8 pakete ('<0-7>') eskatuz. Linearen amaieran hex zenbakia "eskuliburua" den `userdata 'eremuan dago.

Heliosek 8 512 byte pakete erantzun ditu. Transakzioaren IDaren ondorengo `: digitua 'transakzioaren pakete sekuentzia zenbakia ematen du eta parentesi kopurua paketearen datu kopurua da, atp goiburua alde batera utzita. '*' Paketean 7 adierazten du EOM bit ezarri zela.

Jssmag.209 gero baieztatu 3 & 5 paketeak berriro berreskuratzea. Heliosek berriro bidaltzen ditu ondoren jssmag.209 transakzioak askatzen ditu. Azkenean, jssmag.209 hurrengo eskaera abiarazten du. Eskaera `* 'adierazten du XO (` zehazki behin') ez dela ezarri.

IParen banaketa

Interneteko datu zati txikiak inprimatuta daude

(frag id : size @ offset +) (frag id : size @ offset )

(Lehenengo formak zati gehiago dituela adierazten du. Bigarrena azken zatia da.)

ID idazketa zati da. Tamaina zatiaren tamaina (byteetan) IP goiburua baztertzen da. Desplazamendu hau zatiaren desplazamendua da (byteetan) jatorrizko datagrama batean.

Zatiaren informazioa ateratzen da zati bakoitzeko. Lehenengo zatia goi mailako protokoloaren goiburua da eta informazioaren zati bat protokoloaren informazioaren ondoren inprimatzen da. Lehenaren ondorengo zatiak ez dute goi-mailako protokoloaren goibururik eta iturriaren eta helmugaren helbidearen ondoren hostoaren informazioa inprimatzen da. Adibidez, arikona.edu ftp-ren zati bat da lbl-rtsg.arpa CSNET konexio baten bidez, 576 byte datagrama aurreikusten ez duela dirudi:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ACK 1 irabazi 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ACK 1536 irabazi 2560

Hemen kontutan hartu beharreko gauza batzuk daude: Lehenik eta behin, 2. lerroko helbideak ez dira ataka zenbakiak barne hartzen. TCP protokoloaren informazioa lehenengo zati batean dagoelako, eta ez dakigun zer ataka edo sekuentzia zenbakiak geroago zatiak inprimatzen ditugunean. Bigarrenik, lehenengo lerroko TCP sekuentzia informazioa inprimatzen bada, 308 byte izan ziren erabiltzaileen datuak, hain zuzen ere 512 byte (308 lehen zatitan eta 204 bigarrenean). Zulo sekuentzian zuloak bilatzen ari bazara edo paketeekin akchi bateratzen saiatzen bazara, engainatu egin dezakezu.

IP batera paketea ez da zatikatu bandera ez da amaierako (DF) markatuta.

denbora-markak

Lehenespenez, irteerako lerro guztiak zigilua adierazten dute. Denbora-marka inprimakiaren uneko orduaren erlojua da

hh: mm: ss.frac

eta kernelaren erlojuaren bezain zehatza. Denbora-marka kernela lehen aldiz ikusi zen paketea islatzen du. Ethernet interfazeak paketea alanbrean kendu eta kernelek 'pakete berria' etetea eragotzi zuenean ez da saiakera konturik egiten.

IKUSI ERE

trafikoa (1C), nit (4P), bpf (4), pcap (3)

Garrantzitsua: erabili man komandoa ( % man ) komando bat nola erabiltzen den zure ordenagailuan.