Tcpdump - Amri ya Linux Amri - Unix

NAME

tcpdump - kutupa trafiki kwenye mtandao

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c hesabu ]

[ -C file_size ] [ -F faili ]

[ -i interface ] [ -m moduli ] [ -r faili ]

[ -s snaplen ] [ -T aina ] [ -U mtumiaji ] [ -w faili ]

[ -Ego: siri ] [ kujieleza ]

DESCRIPTION

Tcpdump hutoa nje vichwa vya pakiti kwenye interface ya mtandao ambayo inalingana na kujieleza kwa boolean. Inaweza pia kuendeshwa na- b bendera, ambayo inasababisha kuokoa data ya pakiti kwenye faili kwa ajili ya uchambuzi wa baadaye, na / au kwa bendera -r , ambayo inasababisha kusoma kutoka kwenye faili la pakiti iliyohifadhiwa badala ya kusoma pakiti kutoka interface ya mtandao. Katika hali zote, vifungu tu vinavyolingana na kujieleza vitatatuliwa na tcpdump .

Tcpdump itakuwa, ikiwa haijaendeshwa na bendera -c , endelea kugundua pakiti mpaka inapoingiliwa na ishara ya SIGINT (kwa mfano, kwa kuandika tabia yako ya kupinga, kawaida kudhibiti C) au signal SIGTERM (kawaida huzalishwa na kuua (1) amri); ikiwa inaendeshwa na bendera -c , itachukua pakiti mpaka inapoingiliwa na ishara ya SIGINT au SIGTERM au nambari maalum ya pakiti imechukuliwa.

Wakati tcpdump itakapomaliza kupokea pakiti, itaaripoti makosa ya:

pakiti `` zilizopatikana kwa kichujio '' (maana ya hii inategemea OS ambayo unatumia tcpdump , na labda kwa njia ya OS iliyowekwa - ikiwa kichujio kilifafanuliwa kwenye mstari wa amri, kwenye baadhi ya OSes ni hesabu pakiti bila kujali kama walikuwa vinavyolingana na maelezo ya chujio, na kwenye OSes nyingine huhesabu pakiti tu ambazo zilifanana na maelezo ya chujio na zilipatiwa na tcpdump );

pakiti `` imeshuka kwa kernel '' (hii ni idadi ya pakiti zilizopunguzwa, kutokana na ukosefu wa nafasi ya buffer, na utaratibu wa kukamata pakiti katika OS ambayo tcpdump inaendesha, ikiwa OS inaripoti habari kwa maombi; ikiwa sio, itasemwa kama 0).

Juu ya majukwaa ambayo yanaunga mkono ishara ya SIGINFO, kama vile BSD nyingi, itasema ripoti hizo wakati zinapokea ishara ya SIGINFO (kwa kuzalishwa, kwa mfano, kwa kuandika tabia yako `` hali ', kawaida kudhibiti) na itaendelea kupokea pakiti .

Packs za kusoma kutoka kwenye interface ya mtandao zinaweza kuhitaji kuwa na marupurupu maalum:

Chini ya SunOS 3.x au 4.x na NIT au BPF:

Lazima ulisome upatikanaji wa / dev / nit au / dev / bpf * .

Chini ya Solaris na DLPI:

Lazima uwe na usomaji wa kusoma / kuandika kifaa cha udanganyifu wa mtandao, kwa mfano / dev / le . Kwa angalau baadhi ya matoleo ya Solaris, hata hivyo, hii haitoshi kuruhusu tcpdump kukamata kwa njia ya uasherati; juu ya matoleo hayo ya Solaris, lazima uwe mzizi, au tcpdump lazima imewekwa seti ya mizizi, ili kuingia katika hali ya uovu. Kumbuka kwamba, kwa njia nyingi (labda zote), ikiwa hutakamata katika hali ya uasherati, hutaona pakiti zilizozotoka, hivyo kukamata siofanyika kwa njia ya uovu inaweza kuwa sio muhimu sana.

Chini ya HP-UX na DLPI:

Lazima uwe mzizi au tcpdump lazima iwe imewekwa seti ya mizizi.

Chini ya IRIX na snoop:

Lazima uwe mzizi au tcpdump lazima iwe imewekwa seti ya mizizi.

Chini ya Linux:

Lazima uwe mzizi au tcpdump lazima iwe imewekwa seti ya mizizi.

Chini ya Ultrix na Digital UNIX / Tru64 UNIX:

Mtumiaji yeyote anaweza kukamata trafiki ya mtandao na tcpdump . Hata hivyo, hakuna mtumiaji (hata mtumiaji wa juu) anaweza kukamata kwenye hali ya uasherati kwenye interface isipokuwa mtumiaji mzuri amewawezesha operesheni-mode operesheni kwenye interface hiyo kwa kutumia pfconfig (8), na hakuna mtumiaji (hata hata mtumiaji mzuri ) inaweza kukamata trafiki isiyo ya kawaida inayopokea au kutumwa na mashine kwenye interface isipokuwa mtumiaji mzuri amewezesha operesheni ya mode yote katika interface hiyo kwa kutumia pfconfig , hivyo papo muhimu ya kukamata kwenye interface inawezekana inahitaji kuwa ama-aina ya uovu au nakala -mofumo yote ya mode, au njia mbili za operesheni, ziwezeshwa kwenye interface hiyo.

Chini ya BSD:

Lazima ulisome upatikanaji wa / dev / bpf * .

Kusoma faili iliyohifadhiwa ya pakiti hauhitaji marupurupu maalum.

OPTIONS

-a

Jaribio la kubadilisha mtandao na kutangaza anwani kwa majina.

-c

Toka baada ya kupokea pakiti za kuhesabu .

-C

Kabla ya kuandika pakiti ghafi kwenye safu ya salama, angalia ikiwa faili sasa ni kubwa zaidi kuliko file_size na, ikiwa ni hivyo, funga faili ya salama ya sasa na ufungue mpya. Hifadhi baada ya safu ya safu ya kwanza itakuwa na jina lililowekwa na bendera -w , na nambari baada yake, kuanzia saa 2 na kuendelea hadi. Vitengo vya file_size ni mamilioni ya bytes (bytes 1,000,000, sio 1,048,576 bytes).

-d

Puta msimbo unaofanana wa pakiti katika fomu inayoweza kuonekana kwa binadamu kwa pato la kawaida na kuacha.

-DD

Puta msimbo unaofanana na pakiti kama fungu la programu ya C.

-ddd

Puta msimbo unaofanana na pakiti kama namba za decimal (zimeandaliwa na hesabu).

-e

Chapisha kichwa cha kiungo cha kiungo kwenye mstari wa kila taka.

-E

Tumia algo: siri ya kufuta pakiti za IPSP ESP. Hifadhi ya algorithms inaweza kuwa des- cbc , 3des-cbc , blowfish- cbc , rc3-cbc , cast128-cbc , au hakuna . Kichapishaji ni des-cbc . Uwezo wa kupakia pakiti hupo sasa ikiwa tcpdump iliandaliwa kwa kielelezo kilichowezeshwa. siri nakala ya ascii ya ufunguo wa siri ya ESP. Hatuwezi kuchukua thamani ya binary kwa wakati huu. Chaguo inachukua RFC2406 ESP, si RFC1827 ESP. Chaguo ni kwa madhumuni ya uharibifu tu, na matumizi ya chaguo hili kwa ufunguo wa kweli 'wa siri' unakata moyo. Kwa kuwasilisha ufunguo wa siri wa IPsec kwenye mstari wa amri unaifanya iwe wazi kwa wengine, kupitia ps (1) na matukio mengine.

-f

Chapisha 'anwani za internet' za kigeni badala ya kielelezo (chaguo hili ni nia ya kuzunguka uharibifu mkubwa wa ubongo katika seva ya YP ya Sun - kwa kawaida hutegemea milele kutafsiri namba za mtandao zisizo za mitaa).

-F

Tumia faili kama pembejeo kwa kujieleza kichujio. Uelezeo wa ziada unaotolewa kwenye mstari wa amri unapuuzwa.

-i

Sikiliza kwenye interface . Ikiwa haijulikani, tcpdump inatafuta orodha ya interface ya mfumo kwa kiwango cha chini kilichohesabiwa, kilichowekwa kwenye interface (isipokuwa loopback). Mahusiano yanavunjika kwa kuchagua mechi ya mwanzo.

Kwenye mifumo ya Linux iliyo na nambari 2.2 au baadaye, hoja ya interface ya '`yoyote' 'inaweza kutumika kukamata pakiti kutoka kwa kila interfaces. Kumbuka kwamba kukamata kwenye `` yoyote '' kifaa haifanyike katika hali ya uasherati.

-l

Fanya mstari wa stdout ulipigwa. Inafaa ikiwa unataka kuona data wakati ukiifanya. Mfano,
`` tcpdump -l | tee dat '' au `` tcpdump -l> dat & tail -f dat ''.

-m

Weka ufafanuzi wa moduli ya SMI MIB kutoka moduli ya faili. Chaguo hili linaweza kutumika mara kadhaa kupakia modules kadhaa za MIB katika tcpdump .

-n

Usibadili anwani za jeshi kwa majina. Hii inaweza kutumika ili kuepuka lookups za DNS.

-nn

Usibadili nambari ya bandia na bandari nk kwa jina ama ama.

-N

Usichapishe sifa za jina la kikoa cha majina ya jeshi. Kwa mfano, ukitoa bendera hii basi tcpdump itachapisha `` nic '' badala ya 'nic.ddn.mil' '.

-O

Usitumie optimizer ya kificho ya kifaa. Hii ni muhimu tu ikiwa unashutumu mdudu katika optimizer.

-p

Usiweke interface katika hali ya uovu. Kumbuka kwamba interface inaweza kuwa katika hali ya uovu kwa sababu nyingine; kwa hiyo, '-p' haiwezi kutumika kama kifupi kwa 'host host' {loc-hw-addr} au 'ether broadcast'.

-q

Pato la haraka (la utulivu?). Chapisha maelezo ya chini ya itifaki hivyo mistari ya pato ni mfupi.

-R

Tuseme pakiti za ESP / AH ziwe kulingana na maelezo ya kale (RFC1825 hadi RFC1829). Ikiwa imeelezwa, tcpdump haitaweza kuchapisha shamba la kuzuia tena. Kwa kuwa hakuna shamba la toleo la itifaki katika vipimo vya ESP / AH, tcpdump haiwezi kufuta toleo la itifaki ya ESP / AH.

-r

Soma pakiti kutoka faili (ambayo iliundwa na -w chaguo). Pembejeo ya kawaida hutumiwa ikiwa faili ni `` - ''.

-S

Chapisha kabisa, badala ya jamaa, nambari za mlolongo wa TCP.

-s

Snarf snaplen bytes ya data kutoka kwa kila pakiti badala ya default ya 68 (na NIT ya SunOS, kiwango cha chini ni kweli 96). Vidokezo 68 ni vya kutosha kwa IP, ICMP, TCP na UDP lakini huenda ikawa na habari za protokoto kutoka kwa seva ya jina na NPS pakiti (tazama hapa chini). Vipeperushi vilivyopangwa kwa sababu ya snapshot ndogo huonyeshwa katika pato kwa `` [| proto ] '', ambapo proto ni jina la ngazi ya itifaki ambayo truncation imetokea. Kumbuka kuwa kuchukua picha ndogo mbili huongeza kiasi cha muda inachukua mchakato wa pakiti na, kwa ufanisi, hupungua kiasi cha kupumua pakiti. Hii inaweza kusababisha pakiti kupotea. Unapaswa kuzuia snaplen kwa nambari ndogo zaidi ambayo itachukua maelezo ya itifaki unayependa . Kuweka snaplen kwa 0 kunamaanisha kutumia urefu uliohitajika ili kupata pakiti nzima.

-T

Weka pakiti zilizochaguliwa na " kujieleza " ili kutafsiriwa aina maalum. Aina ya sasa inayojulikana ni cnfp ( Protoksi ya Cisco NetFlow), rpc (Programu ya Mipangilio ya mbali), rtp (Protoksi ya Maombi ya Real Time), rtcp (Programu ya Udhibiti wa Maombi ya Muda), snmp (Programu ya Rahisi ya Usimamizi wa Mtandao), v (Vifaa vya Visual Audio ), na wb (kusambazwa Bodi Nyeupe).

-t

Usichapishe timestamp kwenye mstari wa kila taka.

-tt

Chapisha timestampu isiyojulikana kwenye mstari wa kila taka.

-U

Inapunguza marudio ya mizizi na kubadilisha ID ya mtumiaji kwa Kitambulisho cha mtumiaji na kikundi kwa kundi la msingi la mtumiaji .

Kumbuka! Red Hat Linux moja kwa moja hupungua marupurupu kwa mtumiaji `` pcap '' ikiwa hakuna kitu kingine kinachojulikana.

-ttt

Chapisha delta (katika sekunde ndogo) kati ya mstari wa sasa na uliopita kwenye mstari wa kila taka.

-tttt

Chapisha timestamp katika muundo wa default uliendelea na tarehe kwenye mstari wa kila taka.

-u

Chapisha NFS haijulikani.

-v

(Kidogo zaidi) matokeo ya verbose. Kwa mfano, muda wa kuishi, kitambulisho, urefu wa jumla na chaguo katika pakiti ya IP huchapishwa. Pia inawezesha hundi za ziada za uhalali wa pakiti kama vile kuthibitisha ukaguzi wa kichwa cha IP na ICMP.

-vv

Hata matokeo zaidi ya verbose. Kwa mfano, mashamba ya ziada yanachapishwa kutoka pakiti za reply za NFS, na pakiti za SMB zimehifadhiwa kikamilifu.

-vvv

Hata matokeo zaidi ya verbose. Kwa mfano, chaguo la telnet SB ... SE zinachapishwa kwa ukamilifu. Pamoja na chaguo-telnet huchapishwa katika hex pia.

-w

Andika pakiti za ghafi kwa faili badala ya kuzipiga na kuzichapisha. Wanaweza kuchapishwa baadaye na chaguo--r. Pato la kawaida hutumiwa ikiwa faili ni `` - ''.

-x

Chapisha pakiti kila (futa kichwa chake cha kiungo cha kiungo) katika hex. Vipande vya pakiti nzima au bytes za snaplen vitachapishwa . Kumbuka kuwa hii ni pakiti nzima ya kiungo, kwa hivyo kwa vifungo vya kiungo ambazo pedi (kwa mfano Ethernet), byte za padding pia zitachapishwa wakati pakiti ya juu ya safu ni mfupi kuliko padding inayotakiwa.

-X

Wakati uchapishaji hex, uchapishe ascii pia. Hivyo ikiwa -x pia imewekwa, pakiti inachapishwa kwa hex / ascii. Hii ni rahisi sana kwa kuchambua itifaki mpya. Hata kama -x haijawekwa pia, sehemu fulani za pakiti zinaweza kuchapishwa kwa hex / ascii.

kujieleza

huchagua pakiti ambazo zitatumwa. Ikiwa hakuna maelekezo yanayopatikana, pakiti zote kwenye wavu zitaondolewa. Vinginevyo, pakiti tu ambazo ni 'kweli' zitatumwa.

Maneno yanajumuisha primitives moja au zaidi . Vipaji vya kawaida hujumuisha id (jina au namba) lililoandaliwa na sifa moja au zaidi. Kuna aina tatu tofauti za kufuzu:

aina

wahitimu wanasema ni aina gani ya kitu jina la jina au nambari inajulikana. Aina zinazowezekana ni mwenyeji , wavu na bandari . Kwa mfano, 'host foo', "net 128.3 ',' bandari 20 '. Ikiwa hakuna aina ya kufuzu, mwenyeji hufikiriwa.

sema

stafi hutaja mwelekeo fulani wa uhamisho kwenda na / au kutoka kwa id . Maelekezo inawezekana ni src , dst , src au dst na src na dst . Kwa mfano, 'src foo', 'net wavu 128.3', `src au dst bandari ftp-data '. Ikiwa hakuna sifa ya uchafu , src au dst inadhaniwa. Kwa safu ya kiungo cha 'null' (yaani uhakika kwa itifaki za uhakika kama vile kuingizwa) sifa za kuingia na zijazo zinaweza kutumiwa kutaja mwelekeo unaotaka.

proto

stadi za kuzuia mechi kwa itifaki fulani. Protos iwezekanavyo ni: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp na udp . Kwa mfano, `ether src foo ',` arp net 128.3', 'tcp bandari 21'. Ikiwa hakuna sifa ya proto, itifaki zote zinazohusiana na aina zinadhaniwa. Kwa mfano, 'src foo' inamaanisha `(ip au arp au rarp) src Foo '(isipokuwa mwisho sio kisheria syntax),` bar bar' inamaanisha '(ip au arp au rarp) bar na' bandari 53 'inamaanisha `(tcp au udp) bandari 53 '.

[`fddi 'kwa kweli ni alias kwa' ether '; mtumiaji huwafanyia kwa maana kama `` kiwango cha kiungo cha data kinachotumiwa kwenye interface maalum ya mtandao. '' Vichwa vya FDDI vina vyenye chanzo na anwani ya marudio ya Ethernet, na mara nyingi kuna aina ya pakiti ya Ethernet, ili uweze kuchuja kwenye maeneo haya ya FDDI kama ilivyo kwa mashamba sawa ya Ethernet. Vichwa vya FDDI pia vyenye nyanja nyingine, lakini huwezi kuziita wazi kwa kujieleza kichujio.

Vivyo hivyo, `tr 'ni safu ya' ether '; taarifa za aya za awali kuhusu vichwa vya FDDI zinatumika pia kwenye vichwa vya Gonga za Tokeni.]

Mbali na hapo juu, kuna maneno maalum ya 'primitive' ambayo hayafuati mfano: gateway , matangazo , chini , zaidi na maneno ya hesabu. Yote haya ni ilivyoelezwa hapo chini.

Maneno magumu zaidi ya chujio yanajenga kwa kutumia maneno na , au si kuchanganya primitives. Kwa mfano, `host host 'na si bandari ftp na si port ftp-data'. Ili kuokoa kuandika, orodha za kufuzu zinaweza kufutwa. Kwa mfano, 'tcp dst bandari ftp au ftp-data au uwanja' ni sawa na 'tcp dst bandari ftp au tcp dst bandari ftp-data au tcp dst bandari domain'.

Vituo vya kibali vinavyokubaliwa ni:

jeshi mwenyeji wa dst

Kweli ikiwa uwanja wa IPv4 / v6 wa marudio ya pakiti ni mwenyeji , ambayo inaweza kuwa anwani au jina.

mwenyeji wa src mwenyeji

Kweli ikiwa uwanja wa IPv4 / v6 wa pakiti ni mwenyeji .

mwenyeji mwenyeji

Kweli ikiwa chanzo cha IPv4 / v6 au marudio ya pakiti ni mwenyeji . Yoyote ya maneno ya jeshi hapo juu yanaweza kuandaliwa na maneno, ip , arp , rarp , au ip6 kama ilivyo:

host host IP

ambayo ni sawa na:

ether proto \ ip na jeshi mwenyeji

Ikiwa mwenyeji ni jina la anwani nyingi za IP, kila anwani itazingatiwa kwa mechi.

ether dst ehost

Kweli ikiwa anwani ya marudio ya ethernet ni ehost . Ehost inaweza kuwa jina kutoka / etc / ethers au namba (angalia ethers (3N) kwa muundo wa namba).

ether src ehost

Kweli ikiwa anwani ya chanzo cha ethernet ni ehost .

mwenyeji wa ether ehost

Kweli ikiwa aidha chanzo cha ethernet au anwani ya marudio ni ehost .

jeshi jeshi

Kweli ikiwa pakiti ilitumia jeshi kama lango. Neno, anwani ya ethernet au anwani ya marudio lilikuwa mwenyeji lakini hakuna chanzo cha IP au marudio ya IP yaliyotokana. Heshi lazima iwe jina na lazima ipatikane wote kwa njia ya utaratibu wa ufumbuzi wa majeshi ya jina-kwa-IP-anwani (faili ya jina la mwenyeji, DNS, NIS, nk) na kwa azimio la anwani ya jeshi-jina-kwa-Ethernet utaratibu (/ nk / ethers, nk). (Maneno sawa ni

hostel ehost na si mwenyeji mwenyeji

ambayo inaweza kutumika kwa ama majina au nambari kwa mwenyeji / ehost .) Syntax hii haifanyi kazi katika usanidi wa enabled IPv6 wakati huu.

Ndovu wavu wa wavu

Kweli ikiwa anwani ya IPv4 / v6 ya marudio ya pakiti ina idadi ya mtandao wa net . Nambari inaweza kuwa jina kutoka / nk / mitandao au namba ya mtandao (angalia mitandao (4) kwa maelezo).

src wavu wavu

Kweli ikiwa anwani ya IPv4 / v6 ya chanzo cha pakiti ina idadi ya mtandao wa net .

net net

Kweli ikiwa ama IPv4 / v6 anwani au anwani ya marudio ya pakiti ina idadi ya mtandao wa net .

net mask net netk

Kweli ikiwa anwani ya IP inafanana na wavu na netmask maalum. Inaweza kuwa na sifa na src au dst . Kumbuka kuwa syntax hii haifai kwa IPv6 net .

net net / len

Kweli ikiwa anwani ya IPv4 / v6 inakabiliwa na wavu na upana wa netmask len bits. Inaweza kuwa na sifa na src au dst .

bandari bandari ya bandari

Kweli ikiwa pakiti ni ip / tcp, ip / udp, ip6 / tcp au ip6 / udp na ina thamani ya bandari ya bandari ya bandari . Bandari inaweza kuwa namba au jina linatumika katika / nk / huduma (angalia tcp (4P) na udp (4P)). Ikiwa jina linatumiwa, nambari zote za bandari na itifaki ni checked. Ikiwa nambari au jina lisilosababishwa hutumiwa, namba ya bandari ni kuchunguliwa tu (kwa mfano, bandari ya dst 513 itashughulikia wote trafiki ya tcp / login na udp / ambao trafiki, na uwanja wa bandari kuchapisha wote tcp / uwanja na udp / uwanja wa trafiki).

bandari ya bandari ya src

Kweli ikiwa pakiti ina thamani ya bandari ya bandari ya bandari .

bandari bandari

Kweli ikiwa ama bandari ya chanzo au ya marudio ya pakiti ni bandari . Maneno yoyote ya bandari hapo juu yanaweza kutayarishwa na maneno, tcp au udp , kama vile:

bandari ya bandari ya tcp src bandari

ambayo inafanana na pakiti za tcp tu ambazo chanzo cha bandari ni bandari .

urefu mdogo

Kweli ikiwa pakiti ina urefu chini au sawa na urefu . Hii ni sawa na:

<< urefu .

urefu zaidi

Kweli ikiwa pakiti ina urefu mkubwa kuliko au sawa na urefu . Hii ni sawa na:

len = = urefu .

proto proto ya proto

Kweli ikiwa pakiti ni pakiti ya IP (tazama ip (4P)) ya itifaki ya aina ya protokete . Itifaki inaweza kuwa namba au moja ya majina icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , au tcp . Kumbuka kwamba tcp , udp , na icmp ya vitambulisho pia ni maneno muhimu na lazima iokoke kupitia kurudi nyuma (\), ambayo ni \ katika C-shell. Kumbuka kwamba hii primitive haina kufukuza mnyororo kichwa cha mlolongo.

ip6 protocol itifaki

Kweli ikiwa pakiti ni pakiti IPv6 ya itifaki ya aina ya itifaki . Kumbuka kwamba hii primitive haina kufukuza mnyororo kichwa cha mlolongo.

ip6 protochain itifaki

Kweli ikiwa pakiti ni pakiti ya IPv6, na ina kichwa cha protocol na protoksi ya aina katika mlolongo wa kichwa cha protocol. Kwa mfano,

ip6 protochain 6

inalingana na pakiti yoyote ya IPv6 na kichwa cha protoksi cha TCP katika mnyororo wa kichwa cha protokta. Pakiti inaweza kuwa na, kwa mfano, kichwa cha uhalalishaji, kichwa cha habari, au kichwa cha chaguo la hop-by-hop, kati ya kichwa cha IPv6 na kichwa cha TCP. Nambari ya BPF iliyotolewa na hii ya kwanza ni ngumu na haiwezi kufanywa na kanuni ya BPF optimizer katika tcpdump , hivyo hii inaweza kuwa polepole kidogo.

protochain protoksi

Inapingana na itifaki ya protochain ip6 , lakini hii ni kwa IPv4.

ether matangazo

Kweli ikiwa pakiti ni pakiti ya matangazo ya ethernet. Nakala muhimu na chaguo ni chaguo.

ip kutangaza

Kweli ikiwa pakiti ni pakiti ya kutangaza IP. Inachunguza kwa zero zote mbili na matangazo yote ya matangazo, na inaonekana juu ya mask ya ndani ya mask.

ether multicast

Kweli ikiwa pakiti ni pakiti ya multicast ya ethernet. Nakala muhimu na chaguo ni chaguo. Hii ni shorthand kwa ' ether [0] & 1! = 0 '.

ip multicast

Kweli ikiwa pakiti ni pakiti ya IP multicast.

ip6 multicast

Kweli ikiwa pakiti ni pakiti ya IPv6 multicast.

proto protocol

Kweli ikiwa pakiti ni ya aina ya ether aina. Itifaki inaweza kuwa namba au moja ya majina ya ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , moppc , iso , stp , ipx , au netbeui . Kumbuka vitambulisho hivi pia ni maneno muhimu na yanapaswa kuepuka kupitia backslash (\).

[Katika kesi ya FDDI (kwa mfano, ' fddi protopi arp ') na Gonga la Tokeni (kwa mfano, ` tr protoso arp '), kwa wengi wa itifaki hizo, kitambulisho cha protokito kinatoka kwa kichwa cha 802.2 cha Logical Link Control (LLC), ambacho kawaida hupambwa juu ya kichwa cha FDDI au Kidole cha Kidole.

Unapofuta kwa vitambulisho vingi vya protoksi kwenye kidole cha FDDI au Kitambulisho, tcpdump inatafuta tu sehemu ya ID ya protoksi ya kichwa cha LLC katika kinachoitwa SNAP format na Kitambulisho cha Kitengo cha Shirika (OUI) cha 0x000000, kwa Ethernet iliyopangwa; haina kuangalia kama pakiti iko katika muundo wa SNAP na OU ya 0x000000.

Mbali ni iso , ambayo inachunguza DSAP (Eneo la Ufikiaji wa Huduma ya Kuingia) na mashamba ya SSAP (Source Service Access Point) ya kichwa LLC, stp na netbeui , ambako hunata DSAP ya kichwa cha LLC, na atalk , ambapo hundi kwa pakiti ya SNAP-format na OU ya 0x080007 na Appletalk etype.

Katika kesi ya Ethernet, tcpdump hunasua uwanja wa aina ya Ethernet kwa zaidi ya itifaki hizo; vinginevyo ni iso , sap , na netbeui , ambayo inachunguza sura ya 802.3 na kisha inatazama kichwa CHA LLC kama inavyofanya kwa FDDI na Token Ring, atalk , ambako hunata wote kwa Appletalk etype katika sura ya Ethernet na kwa Pakiti ya SNAP-format kama inavyofanya kwa FDDI na Gonga ya Tokeni, aarp , ambako inatafuta safu ya Appletalk ARP kwa kielelezo cha Ethernet au frame ya 802.2 SNAP na OU ya 0x000000, na ipx , ambapo inatafuta IPX etype katika Ethernet frame, IPX DSAP katika kichwa cha LLC, 802.3 bila encapsulation ya kichwa cha IP ya IP, na IPX etype katika sura ya SNAP.]

sarc mwenyeji wa src

Kweli ikiwa anwani ya chanzo cha DECNET ni mwenyeji , ambayo inaweza kuwa anwani ya fomu `` 10.123 '', au jina la jeshi la DECNET. [SUPNET host host name msaada inapatikana tu kwenye Ultrix mifumo ambayo ni configured kukimbia DECNET.]

jukumu la dst dst

Kweli ikiwa anwani ya marudio ya DECNET ni mwenyeji .

jeshi mwenyeji wa decnet

Kweli iwapo chanzo cha DECNET au anwani ya marudio ni mwenyeji .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Vifupisho kwa:

ether proto p

ambapo p ni moja ya itifaki za juu.

lat , moprc , mopdl

Vifupisho kwa:

ether proto p

ambapo p ni moja ya itifaki za juu. Kumbuka kuwa tcpdump haijui jinsi ya kupitisha protoksi hizi kwa sasa.

vlan [vlan_id]

Kweli ikiwa pakiti ni pakiti ya IEEE 802.1Q VLAN. Ikiwa [vlan_id] imeelezwa, ni kweli tu pakiti ina vlan_id maalum. Kumbuka kwamba nenosiri la kwanza la vlan lililokutana na kujieleza hubadilishana vikwazo vya kuainisha kwa salio la kujieleza kwa kudhani kuwa pakiti ni pakiti ya VLAN.

tcp , udp , icmp

Vifupisho kwa:

ip proto p au ip6 proto p

ambapo p ni moja ya itifaki za juu.

proti ya protocol

Kweli ikiwa pakiti ni pakiti ya OSI ya itifaki ya aina ya itifaki . Itifaki inaweza kuwa namba au moja ya majina ya majina, eti , au isis .

clnp , sis , isis

Vifupisho kwa:

iso proto p

ambapo p ni moja ya itifaki za juu. Kumbuka kwamba tcpdump ina kazi isiyokwisha ya kupitisha protoksi hizi.

expr relop expr

Kweli ikiwa uhusiano unao, ambapo relop ni moja ya>, <,> =, <,, =,!, Na expr ni kujieleza kwa hesabu iliyojumuisha vipindi vya integer (iliyoonyeshwa kwenye kiwango cha kawaida cha C), waendeshaji wa kawaida wa binary [+ , -, *, /, &, |], operator wa urefu, na watoaji wa data maalum wa pakiti. Ili kufikia data ndani ya pakiti, tumia syntax ifuatayo:

proto [ expr : ukubwa ]

Proto ni moja ya ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp au ip6 , na inaonyesha safu ya itifaki ya operesheni ya index. ( ether, fd, tr, ppp, slip na kiungo wote urejelee safu ya kiungo.) Kumbuka kuwa tcp, udp na aina nyingine za protoksi za juu zinahusu tu IPv4, si IPv6 (hii itawekwa wakati ujao). Kutoka kwa tote, kulingana na safu ya itifaki iliyoonyeshwa, hutolewa na expr . Ukubwa ni chaguo na inaonyesha idadi ya bytes katika uwanja wa riba; Inaweza kuwa moja, mbili, au nne, na defaults kwa moja. Mpangilio wa urefu, ulioonyeshwa na neno la nenosiri, linatoa urefu wa pakiti.

Kwa mfano, ` ether [0] & 1! = 0 'inakamata kila trafiki nyingi. Maneno ' ip [0] & 0xf! = 5 ' huchukua wote pakiti za IP na chaguo. Maneno ` ip [6: 2] & 0x1fff = 0 'hupata datagrams ambazo hazipatikani na drag zero za datagrams zilizogawanyika. Cheti hiki kinatumika kikamilifu kwenye shughuli za index za tcp na udp . Kwa mfano, tcp [0] daima inamaanisha tote ya kwanza ya kichwa cha TCP, na kamwe haimaanisha oto la kwanza la kipande kinachoingilia kati.

Baadhi ya maadili na maadili ya shamba yanaweza kuonyeshwa kama majina badala ya maadili ya nambari. Vipengele vifuatavyo vya vichwa vya kichwa vya habari vinapatikana: icmptype (uwanja wa aina ya ICMP), icmpcode (uwanja wa kificho wa ICMP), na tcpflags (shamba la bendera la TCP).

Vipengele vilivyofuata vya uwanja wa ICMP vinapatikana: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Maadili ya shamba la TCP ya bendera yanapatikana: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Makaburi yanaweza kuunganishwa kwa kutumia:

Kundi la wazazi wa wasaidizi na waendeshaji (mahusiano ya wazazi ni maalum kwa Shell na wanapaswa kukimbia).

Uovu (` ! 'Au' si ').

Mkataba (` && 'au` na ').

Mbadala (` || 'au` au ').

Uovu una utangulizi wa juu. Mbadala na masharti yanayotangulia sawa na kushirikiana kushoto kwenda kulia. Kumbuka kwamba wazi na ishara, si juxtaposition, sasa zinahitajika kwa concatenation.

Ikiwa kitambulisho kinapewa bila nenosiri, neno muhimu la hivi karibuni linafikiriwa. Kwa mfano,

si mwenyeji wa vs ace

ni mfupi

si mwenyeji wa vs mwenyeji

ambayo haipaswi kuchanganyikiwa na

si (mwenyeji vs au ace)

Majadiliano ya ufafanuzi yanaweza kupitishwa kwa tcpdump kama aidha moja hoja au kama hoja nyingi, chochote ni rahisi zaidi. Kwa kawaida, ikiwa maneno yanajumuisha machapishaji ya Shell, ni rahisi kuipitisha kama hoja moja, iliyotajwa. Vipengele vingi vinatambulishwa na nafasi kabla ya kufutwa.

Mifano

Kuchapisha pakiti zote zinazofika wakati au kuondoka jua :

tcpdump mwenyeji wa jua

Kuchapisha trafiki kati ya helios na ama moto au ace :

helios mwenyeji wa tcpdump na \ (moto au ace)

Kuchapisha pakiti zote za IP kati ya Ace na jeshi lolote isipokuwa helios :

tcpdump ip host mwenyeji na si helios

Kuchapisha trafiki zote kati ya majeshi na majeshi ya ndani huko Berkeley:

tcpdump netbb-ether

Kuchapisha trafiki zote za ftp kupitia njia ya kuingia kwenye mtandao : (kumbuka kuwa maneno hayo yanasukuliwa ili kuzuia shell kutoka (mis-) kutafsiri mahusiano):

tcpdump 'gateway snup na (bandari ftp au ftp-data)'

Ili kuchapisha trafiki haipatikani kutoka wala haipatikani kwa majeshi ya ndani (ikiwa unapoingia kwenye wavu mwingine, mambo haya haipaswi kuifanya kwenye wavu wako wa ndani).

tcpdump ip na si netnet local

Kuchapisha pakiti za mwanzo na za mwisho (pakiti za SYN na FIN) za kila mazungumzo ya TCP ambayo inahusisha mwenyeji usio wa ndani.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 na sio mitaa ya ndani ya netnet '

Kuchapisha pakiti za IP zaidi ya 576 bytes kutumwa kupitia gateway snup :

tcpdump 'gateway snup na ip [2: 2]> 576'

Ili kuchapisha matangazo ya IP au pakiti nyingi ambazo hazikutumwa kupitia matangazo ya ethernet au multicast:

tcpdump 'ether [0] & 1 = 0 na ip [16]> = 224'

Kuchapisha pakiti zote za ICMP ambazo hazikubali maombi / majibu (yaani, si pakiti za ping):

tcpdump 'icmp [icmptype] = icmp-echo na icmp [icmptype]! = icmp-echoreply'

OUTPUT FORMAT

Pato la tcpdump ni tegemezi tegemezi. Zifuatazo hutoa maelezo mafupi na mifano ya fomu nyingi.

Viungo vya Kiungo cha Kiungo

Ikiwa chaguo la '-e' limetolewa, kichwa cha kiungo cha kiungo kinachapishwa. Juu ya ethernets, anwani za chanzo na marudio, protokete, na urefu wa pakiti huchapishwa.

Kwenye mitandao ya FDDI, chaguo la '-e' husababisha tcpdump kuchapisha shamba 'kudhibiti kudhibiti', anwani ya chanzo na marudio, na urefu wa pakiti. (Udhibiti wa 'frame control' hutafsiri tafsiri ya pakiti iliyobaki. Pakiti za kawaida (kama vile zenye data za IP) ni 'pakiti za async', yenye thamani ya kipaumbele kati ya 0 na 7, kwa mfano, ' async4 '. pakiti zinachukuliwa kuwa na pakiti 802.2 ya Logical Link Control (LLC); kichwa cha LLC kinachapishwa ikiwa si ISO datagram au pakiti inayoitwa SNAP.

Kwenye mitandao ya Pembe ya Ishara, chaguo la '-e' husababisha tcpdump kuchapisha 'udhibiti wa upatikanaji' na 'udhibiti wa sura', anwani za chanzo na marudio, na urefu wa pakiti. Kama kwenye mitandao ya FDDI, pakiti zinachukuliwa kuwa na pakiti LLC. Bila kujali kama chaguo la '-e' kinachotolewa au la, habari ya njia ya uendeshaji wa chanzo imechapishwa kwa pakiti zilizopangwa kwa chanzo.

(NB: Maelezo yafuatayo yanatambua ujuzi wa compression SLIP iliyoelezwa katika RFC-1144.)

Kwenye viungo vya SLIP, kiashiria cha mwelekeo (`` Mimi '' kwa inbound, `` O '' kwa kutokea), aina ya pakiti, na habari za ukandamizaji zinachapishwa. Aina ya pakiti imechapishwa kwanza. Aina tatu ni ip , utcp , na ctcp . Hakuna habari zaidi ya kiungo iliyochapishwa kwa pakiti za IP . Kwa pakiti za TCP, kitambulisho cha uunganisho kinachapishwa baada ya aina. Ikiwa pakiti imeimarishwa, kichwa chake cha encoded kinachapishwa. Matukio maalum huchapishwa kama * S + n na * SA + n , ambapo n ni kiasi ambacho idadi ya mlolongo (au nambari ya mlolongo na ack) imebadilika. Ikiwa sio kesi maalum, mabadiliko ya sifuri au zaidi yanachapishwa. Mabadiliko yanaonyeshwa na U (pointer ya haraka), W (dirisha), A (ack), S (nambari ya mlolongo), na mimi (ID ya pakiti), ikifuatiwa na delta (+ n au -n), au thamani mpya (= n). Hatimaye, kiasi cha data katika pakiti na urefu wa kichwa cha kusisitiza huchapishwa.

Kwa mfano, mstari wafuatayo inaonyesha pakiti iliyokamilika ya TCP iliyosimamishwa, yenye kitambulisho cha uunganisho cha wazi; ack imebadilika na 6, idadi ya mlolongo na 49, na ID ya pakiti kwa 6; kuna 3 byte data na 6 byte ya kichwa compressed:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Pakiti za ARP / RARP

Arp / rarp pato inaonyesha aina ya ombi na hoja zake. Fomu hiyo inalenga kuwa maelezo ya kibinafsi. Hapa ni sampuli fupi iliyochukuliwa tangu mwanzo wa 'rlogin' kutoka kwa jeshi la jeshi ili kuhudhuria csam :

arp ambaye-ana csam kuwaambia rpg arp kujibu csam ni katika CSAM

Mstari wa kwanza anasema kwamba rtsg imetuma pakiti ya arp kuomba anwani ya ethernet ya csam ya mwenyeji wa intaneti. Csam hujibu na anwani yake ya ethernet (katika mfano huu, anwani za ethernet ziko katika kanda na anwani za mtandao katika kesi ndogo).

Hii ingeonekana kuwa ndogo zaidi ikiwa tulifanya tcpdump -n :

arp ambaye-ana 128.3.254.6 amesema 128.3.254.68 arp kujibu 128.3.254.6 ni saa 02: 07: 01: 00: 01: c4

Ikiwa tumefanya tcpdump -e , ukweli kwamba pakiti ya kwanza inatangazwa na ya pili ni hatua kwa uhakika itaonekana:

RTSG Broadcast 0806 64: arp ambaye-ana csam kuwaambia rtsg CSAM RTSG 0806 64: arp reply csam ni katika CSAM

Kwa pakiti ya kwanza hii inasema anwani ya chanzo cha ethernet ni RTSG, marudio ni anwani ya matangazo ya ethernet, uwanja wa aina una hex 0806 (aina ya ETHER_ARP) na urefu wa jumla ulikuwa 64 byte.

Pakiti za TCP

(NB: Maelezo yafuatayo yanakubaliana na itifaki ya TCP ilivyoelezwa katika RFC-793. Ikiwa hujui na itifaki, wala maelezo haya wala tcpdump itakuwa ya matumizi mengi kwako.)

Fomu ya jumla ya mstari wa proto tcp ni:

src> dst: bendera data-seqno dirisha ack dirisha chaguo haraka

Src na dst ni chanzo na marudio anwani za IP na bandari. Bendera ni mchanganyiko wa S (SYN), F (FIN), P (PUSH) au R (RST) au moja '.' (hakuna bendera). Takwimu-seqno inaelezea sehemu ya nafasi ya mlolongo inayofunikwa na data katika pakiti hii (ona mfano hapa chini). Ack ni mlolongo idadi ya data ijayo inatarajiwa mwelekeo mwingine juu ya uhusiano huu. Dirisha ni idadi ya bytes ya nafasi ya kupokea buffer inapatikana mwelekeo mwingine juu ya uhusiano huu. Urg inaonyesha kuna data 'dharura' katika pakiti. Chaguo ni chaguzi za tcp zilizounganishwa kwenye mabango ya angle (kwa mfano, ).

Src, dst na bendera daima hupo. Maeneo mengine hutegemea yaliyomo ya kichwa cha protoksi ya tcp ya pakiti na hutolewa tu ikiwa inafaa.

Hapa ni sehemu ya ufunguzi wa rlogin kutoka kwa jeshi la wingi ili kuhudhuria csam .

rtsg.1023> csam.login: S 768512: 768512 (0) kushinda 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 kushinda 4096 rtsg.1023> csam. Ingia: . ack 1 kushinda 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 kushinda 4096 csam.login> rtsg.1023:. ack 2 kushinda 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 kushinda 4096 csam.login> rtg.1023: P 1: 2 (1) ack 21 kushinda 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 kushinda 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 kushinda 4077 haraka 1

Mstari wa kwanza anasema kwamba bandari ya tcp 1023 kwenye rtsg imetuma pakiti kwenye kuingia kwenye bandari kwenye kifaa. S inaonyesha kuwa bendera ya SYN imewekwa. Nambari ya mlolongo wa pakiti ilikuwa 768512 na haikuwa na data. (Uthibitisho ni `wa kwanza: mwisho (nbytes) 'ambayo ina maana' namba za mlolongo kwanza hadi hazijumuisha mwisho ambazo ni nbytes bytes ya data ya mtumiaji '.) Hakuna ack iliyoungwa mkono na nguruwe, dirisha la kupokea inapatikana mara 4096 na kulikuwa na chaguo cha ukubwa wa sehemu ya maandishi inayoomba mss ya bytes 1024.

Csam hujibu kwa pakiti sawa isipokuwa inajumuisha ack iliyoungwa mkono na nguruwe kwa SYN ya rtsg. Rtsg kisha acks ya SYN ya csam. ``. ' inamaanisha hakuna bendera zilizowekwa. Pakiti haijapata data hakuna hakuna nambari ya mlolongo wa data. Kumbuka kwamba namba ya mlolongo wa ack ni integer ndogo (1). Mara ya kwanza tcpdump inaona tcp 'mazungumzo', inachukua idadi ya mlolongo kutoka pakiti. Katika pakiti zijazo za mazungumzo, tofauti kati ya nambari ya mlolongo wa pakiti ya sasa na namba hii ya awali ya mlolongo imechapishwa. Hii inamaanisha kuwa namba za mfululizo baada ya kwanza zinaweza kutafsiriwa kama nafasi za byte zinazohusiana na mkondo wa data ya mazungumzo (na oto la kwanza la data kila mwelekeo ni `1 '). '-S' itazidisha kipengele hiki, na kusababisha namba za awali za mlolongo zitatoke.

Kwenye mstari wa 6, rtsg inatuma takwimu za data 19 (bytes 2 hadi 20 katika upande wa rtsg -> csam ya majadiliano). Bendera ya PUSH imewekwa katika pakiti. Kwenye mstari wa 7, csam inasema imepokea data iliyotumwa na rtsg hadi sio ikiwa ni pamoja na bytes 21. Zaidi ya data hii inaonekana kuwa ameketi kwenye tampu ya tundu tangu dirisha la kupokea csam limepata ndogo za 19. Csam pia inatuma tote moja ya data kwa rtsg katika pakiti hii. Juu ya mstari wa 8 na wa 9, csam inatumia tote mbili za dharura, kusukuma data kwa rtsg.

Ikiwa snapshot ilikuwa ndogo ya kutosha kwamba tcpdump haikushika kichwa kamili cha TCP, kinatafsiri kama kichwa cha habari kama kinaweza na kisha kinaripoti `` | tcp ] '' ili kuonyesha salio haikuweza kufasiriwa. Ikiwa kichwa kina chaguo la ubongo (moja yenye urefu ambao ni mdogo sana au zaidi ya mwisho wa kichwa), tcpdump inaripoti kama `` [ mbaya opt ] '' na haina kutafanua chaguzi yoyote zaidi (kwani haiwezekani kuwaambia ambapo wanaanza). Ikiwa urefu wa kichwa unaonyesha chaguo zilizopo lakini urefu wa datagram wa IP sio muda wa kutosha kwa chaguo kwa kweli kuwa pale, tcpdump inaripoti kama `` [ urefu mbaya wa hdr ] ''.

Ukamataji wa pakiti za TCP na mchanganyiko maalum wa bendera (SYN-ACK, URG-ACK, nk)

Kuna bits 8 katika sehemu ya udhibiti wa bits ya kichwa cha TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Hebu tufikiri kwamba tunataka kuangalia pakiti zilizotumiwa katika kuanzisha uhusiano wa TCP. Kumbuka kwamba TCP inatumia protoksi ya mkono wa mkono wa 3 wakati inapoanzisha uunganisho mpya; mlolongo wa uhusiano kuhusiana na bits za kudhibiti TCP ni

1) Caller hutuma SYN

2) Mpokeaji anajibu na SYN, ACK

3) Caller hutuma ACK

Sasa tuna nia ya kupokea pakiti zilizo na seti ndogo ya SYN (Hatua ya 1). Kumbuka kwamba hatutaki pakiti kutoka hatua ya 2 (SYN-ACK), tu SYN ya awali ya awali. Tunachohitaji ni kujieleza sahihi ya chujio kwa tcpdump .

Kumbuka muundo wa kichwa cha TCP bila chaguo:

0 15 31 ----------------------------------------------- ------------------ | bandari ya chanzo | bandari ya marudio | -------------------------------------------------- --------------- | Nambari ya mlolongo | -------------------------------------------------- --------------- | kukubali idadi | -------------------------------------------------- --------------- | HL | rs | d | C | E | U | A | P | R | S | F | ukubwa wa dirisha | -------------------------------------------------- --------------- | Checksum ya TCP | haraka pointer | -------------------------------------------------- ---------------

Kichwa cha TCP huwa na octets 20 za data, isipokuwa chaguzi zipo. Mstari wa kwanza wa grafu una ma octets 0 - 3, mstari wa pili unaonyesha octets 4 - 7 nk.

Kuanza kuhesabu na 0, bits husika kudhibiti bits zinapatikana katika octet 13:

0 | 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rs | d | C | E | U | A | P | R | S | F | ukubwa wa dirisha | ---------------- | --------------- | --------------- | - --------------- | |. | Octet ya 13 | |. | |. |

Hebu tuangalie kwa karibu saa ya octet. 13:

|. | |. | | --------------- | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Hizi ni bits za udhibiti wa TCP tunayotaka. Tumehesabu vipindi katika octet hii kutoka 0 hadi 7, kulia kwenda kushoto, hivyo bit PSH ni idadi namba 3, wakati Bit URG ni namba 5.

Kumbuka kwamba tunataka kukamata pakiti na kuweka tu ya SYN. Hebu tutaone kinachotokea kwa octet 13 ikiwa datagram ya TCP inakuja na kidogo ya SYN iliyowekwa kwenye kichwa chake:

C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Kuangalia sehemu ya udhibiti wa bits tunaona kwamba idadi namba 1 tu (SYN) imewekwa.

Kufikiri kuwa namba ya octet 13 ni integu ya 8-bit isiyosajiliwa katika utaratibu wa ote mtandao, thamani ya binary ya octet hii ni

00000010

na uwakilishi wake wa decimal ni

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Tuko karibu, kwa sababu sasa tunajua kwamba ikiwa SYN tu imewekwa, thamani ya octet 13 katika kichwa cha TCP, ikiwa inafasiriwa kama integu ya 8-bit isiyosajiliwa katika utaratibu wa ote mtandao, lazima iwe sawa 2.

Uhusiano huu unaweza kufanywa kama

tcp [13] == 2

Tunaweza kutumia neno hili kama kichujio cha tcpdump ili kutazama pakiti zilizo na SYN tu iliyowekwa:

tcpdump-xl0 tcp [13] == 2

Maneno hayo inasema "basi octet 13 ya datagram ya TCP ina thamani ya decimal 2", ambayo ndiyo hasa tunayotaka.

Sasa, hebu tufikiri kwamba tunahitaji kukamata pakiti za SYN, lakini hatujali kama ACK au kitu kingine chochote cha kudhibiti TCP kinapangwa wakati mmoja. Hebu angalia kinachotokea kwa octet 13 wakati datagram ya TCP na seti ya SYN-ACK inapofika:

C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Sasa bits 1 na 4 zinawekwa katika octet ya 13. Thamani ya binary ya octet 13 ni

00010010

ambayo inabadilika hadi decimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Sasa hatuwezi tu kutumia 'tcp [13] == 18' katika kujieleza kwa kichujio cha tcpdump , kwa sababu hiyo ingeweza kuchagua pakiti hizo tu zilizowekwa na SYN-ACK, lakini sio tu zilizowekwa kwa SYN. Kumbuka kwamba hatujali ikiwa ACK au kitu kingine cha udhibiti kinawekwa muda mrefu kama SYN imewekwa.

Ili kufikia lengo letu, tunahitaji kimantiki NA thamani ya binary ya octet 13 na thamani nyingine ili kuhifadhi SYN bit. Tunajua kwamba tunataka SYN kuwekwa katika hali yoyote, hivyo tutaweza kuwa na thamani na tarehe 13 ya octet yenye thamani ya binary ya SYN:

00010010 SYN-ACK 00000010 SYN NA 00000010 (tunataka SYN) NA 00000010 (tunataka SYN) -------- -------- = 00000010 = 00000010

Tunaona kwamba hii NA uendeshaji hutoa matokeo sawa bila kujali ikiwa ACK au kitu kidogo cha kudhibiti TCP kinawekwa. Uwakilishi wa decimal wa thamani ya NA pamoja na matokeo ya operesheni hii ni 2 (binary 00000010), kwa hiyo tunajua kwamba kwa pakiti na SYN kuweka uhusiano wafuatayo lazima uaminike:

((thamani ya octet 13) na (2)) == (2)

Hii inatuelezea kujieleza kwa kichujio cha tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Kumbuka kwamba unapaswa kutumia nukuu moja au kurudi nyuma katika maelezo ya kujificha tabia ya AND & '(' & ') maalum kutoka kwenye shell.

Pakiti za UDP

Fomu ya UDP inaonyeshwa na pakiti hii ya pabho:

actinide.who> matangazo.who: udp 84

Hii inasema kuwa bandari ambao kwa watendaji wa hostin walituma dalili ya udp kwa bandari ambao kwa matangazo ya jeshi, anwani ya matangazo ya mtandao. Pakiti lili na nambari 84 za data ya mtumiaji.

Baadhi ya huduma za UDP zinatambuliwa (kutoka kwenye chanzo cha bandari au chanzo) na habari ya protoksi ya juu ya kuchapishwa. Hasa, maombi ya Huduma ya Jina la Jina (RFC-1034/1035) na wito wa Sun RPC (RFC-1050) kwa NFS.

Maombi ya Jina la UDP Jina

(NB: Maelezo yafuatayo yanakubaliana na itifaki ya Huduma ya Domain inayoelezwa katika RFC-1035. Ikiwa hujui na itifaki, maelezo yafuatayo yataonekana yameandikwa kwa Kigiriki.)

Maombi ya seva ya jina yanapangiliwa kama

src> dst: id id? bendera qtype jina la qclass (len) h2opolo.1538> helios.domain: 3+ A? ucvhax.berkeley.edu. (37)

Mwenyeji h2opolo aliuliza seva ya uwanja kwenye helios kwa rekodi ya anwani (qtype = A) inayohusiana na jina ucvhax.berkeley.edu. Idhini ya swala ilikuwa '3'. `+ 'Inaonyesha kuwa bendera iliyopendezwa ilipangwa. Urefu wa swala ulikuwa na byte 37, bila ikiwa ni pamoja na vichwa vya protoksi vya UDP na IP. Uendeshaji wa swala ulikuwa wa kawaida, Swala , hivyo shamba la kufungua halikuondolewa. Ikiwa op ilikuwa kitu kingine chochote, ingekuwa imechapishwa kati ya '3' na '+'. Vile vile, qclass ilikuwa ya kawaida, C_IN , na imetolewa. Qclass nyingine yoyote ingekuwa kuchapishwa mara baada ya 'A'.

Hitilafu chache zimezingatiwa na zinaweza kusababisha mashamba ya ziada yaliyofungwa katika mabakoti ya mraba: Ikiwa swala lina jibu, kumbukumbu za mamlaka au sehemu ya rekodi za ziada, anccount , nscount , au arcount zinachapishwa kama `[ n a] ',` n `[ n n ] au `[ n au] 'ambapo n ni hesabu inayofaa. Ikiwa bits yoyote ya majibu huwekwa (AA, RA au rcode) au yoyote ya 'lazima kuwa zero' bits imewekwa katika byte mbili na tatu, `[b2 & 3 = x ] 'inachapishwa, ambapo x ni thamani ya hex ya kichwa bytes mbili na tatu.

Jina la UDP Jina la Wajibu

Majibu ya seva ya jina yanapangiliwa kama

src> dst: id op rcode bendera data / d / aina ya darasani (len) helios.domain> h2opolo.1538: 3 3/3/7 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomaini * 0/1/0 (97)

Katika mfano wa kwanza, helios inachukua jibu id 3 kutoka kwa h2opolo na kumbukumbu za jibu 3, rekodi za seva 3 na 7 kumbukumbu za ziada. Rekodi ya kwanza ya jibu ni aina A (anwani) na data yake ni anwani ya internet 128.32.137.3. Ukubwa wa jumla wa majibu ulikuwa 273 bytes, bila ukiondoa UDP na vichwa vya IP. Hitilafu ya (Kutafuta) na msimbo wa jibu (NoError) imetolewa, kama vile darasa (C_IN) la rekodi ya A.

Katika mfano wa pili, helios hujibu swali la 2 na msimbo wa majibu wa kikoa kisichopo (NXDomain) bila majibu, seva moja na hakuna kumbukumbu za mamlaka. `` 'Inaonyesha kuwa kidogo jibu la usiri liliwekwa. Kwa kuwa hapakuwa na majibu, hakuna aina, darasa au data zilizochapishwa.

Wahusika wengine wa bendera ambao wanaweza kuonekana ni `- '(upyaji unaopatikana, RA, si kuweka) na` |' (ujumbe uliochapishwa, TC, kuweka). Ikiwa sehemu ya 'swali' haijumuishi moja kwa moja, `[ n q] 'inachapishwa.

Kumbuka kwamba maombi ya seva ya jina na majibu huwa kuwa kubwa na ya kutosha ya snaplen ya 68 na hawezi kukamata pakiti ya kutosha ili kuchapisha. Tumia bendera ya bendera ili kuongeza snaplen ikiwa unahitaji kuchunguza kwa ukali jina la trafiki la jina. ` -s 128 'imefanya kazi vizuri kwangu.

SMB / CIFS decoding

tcpdump sasa inajumuisha uamuzi wa kina wa SMB / CIFS / NBT kwa data kwenye UDP / 137, UDP / 138 na TCP / 139. Baadhi ya kuandika decoding ya data IPX na NetBEUI SMB pia kufanyika.

Kwa chaguo cha chini cha haki kidogo kinafanyika, na maelezo ya kina zaidi yamefanyika ikiwa -v hutumiwa. Uelewewa kuwa na -ka moja SMB pakiti inaweza kuchukua ukurasa au zaidi, hivyo tu kutumia -v kama kweli unataka maelezo yote gory.

Ikiwa unatambua vikao vya SMB vyenye safu za unicode kisha ungependa kuweka variable ya mazingira USE_UNICODE kwa 1. Kipande cha kuchunguza auto unicode srings itakuwa kuwakaribisha.

Kwa maelezo juu ya fomu za pakiti za SMB na nini mashamba yote yanamaanisha kuona www.cifs.org au saraka ya pub / samba / specs kwenye tovuti yako favorite ya kioo ya samba.org. Majambazi ya SMB yaliandikwa na Andrew Tridgell (tridge@samba.org).

Maombi ya NFS na Replies

Maombi ya Sun NFS (Mfumo wa Mfumo wa Mtandao) na majibu huchapishwa kama:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​op matokeo sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: jibu ok Readlink 40 "../var" sushi.201b> wrl.nfs: 144 kupakua fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: jibu ok 128 kupatikana fh 9,74 / 4134.3150

Katika mstari wa kwanza, Sushi ya mwenyeji hutuma manunuzi na id 6709 kwa wrl (kumbuka kwamba nambari ifuatayo mwenyeji wa src ni id idhini, si bandari ya chanzo). Ombi lilikuwa na ote 112, bila ukiondoa vichwa vya UDP na IP. Uendeshaji ulikuwa usomaji (soma kiungo cha mfano) kwenye kushughulikia faili ( fh ) 21,24 / 10.731657119. (Ikiwa mtu ana bahati, kama ilivyo katika kesi hii, kushughulikia faili inaweza kutafsiriwa kama jozi kuu, namba ndogo ya kifaa, ikifuatiwa na idadi ya inode na idadi ya kizazi.) Wrl hujibu `ok 'na maudhui ya kiungo.

Katika mstari wa tatu, sushi inauliza wrl kufuta jina ` xcolors 'katika faili ya rekodi 9,74 / 4096.6878. Kumbuka kwamba data iliyochapishwa inategemea aina ya uendeshaji. Fomu hiyo inalenga kuwa maelezo ya kibinafsi ikiwa inasomewa kwa kushirikiana na specifikationer ya NFS.

Ikiwa bendera -v (verbose) inapewa, maelezo ya ziada yanachapishwa. Kwa mfano:

sushi.1372a> wrl.nfs: 148 kusoma fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: jibu ok 1472 kusoma Reg 100664 ids 417/0 sz 29388

(- pia inapangia kichwa cha kichwa cha TTL, ID, urefu, na ugawanyiko, ambazo zimeondolewa kwenye mfano huu.) Katika mstari wa kwanza, Sushi anauliza wrl kusoma bytes 8192 kutoka faili 21,11 / 12.195, kwa ovyo offset 24576. Wrl hujibu `ok '; pakiti iliyoonyeshwa kwenye mstari wa pili ni kipande cha kwanza cha jibu, na hivyo ni 1472 bytes muda mrefu (nyingine bytes kufuata katika vipande baadae, lakini vipande hivi hawana NFS au hata UDP vichwa na hivyo si kuchapishwa, kulingana na maelezo ya chujio kutumika). Kwa sababu bendera -v inapewa, baadhi ya sifa za faili (ambazo zinarudi kwa kuongeza data ya faili) zimechapishwa: aina ya faili (`` REG '', kwa faili ya kawaida), mode ya faili (katika octal), uid na gid, na ukubwa wa faili.

Ikiwa bendera -v inapatiwa mara moja, maelezo zaidi yanachapishwa.

Kumbuka kuwa maombi ya NFS ni makubwa sana na mengi ya maelezo hayawezi kuchapishwa isipokuwa kuongezeka kwa snaplen . Jaribu kutumia ` -s 192 'kutazama trafiki ya NFS.

Nambari za majibu za NFS hazieleze wazi wazi uendeshaji wa RPC. Badala yake, tcpdump inaendelea kufuatilia maombi ya `` hivi karibuni ', na inafanana nao kwa majibu kwa kutumia Kitambulisho cha manunuzi. Ikiwa jibu halitii kwa karibu ombi sambamba, huenda haliwezekani.

Maombi ya AFS na Majibu

Maombi ya Transarc AFS (Andrew File System) na majibu yanachapishwa kama:

src.sport> dst.dport: rx pete-aina src.sport> dst.dport: rx pete-huduma huduma wito jina args src.sport> dst.dport: rx pete-huduma huduma jibu jina wito args elvis. 7001> pike.afsfs: rx data fs wito rename zamani fid 536876964/1/1 ".newsrc.new" mpya fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs kujibu jina tena

Katika mstari wa kwanza, mwenyeji wa elvis hutuma pakiti ya RX ili kuendesha. Hii ilikuwa pakiti ya data ya RX kwenye huduma ya fs (fileserver), na ni kuanza kwa simu ya RPC. Hangout ya RPC ilikuwa rename, na id ya zamani ya faili ya saraka ya 536876964/1/1 na jina la zamani la '.newsrc.new', na id mpya ya faili ya saraka ya 536876964/1/1 na jina la jina la ``. habari '. Pike mwenyeji hujibu na jibu la RPC kwa wito wa rename (ambayo ilikuwa imefanikiwa, kwa sababu ilikuwa pakiti ya data na si pakiti ya kufuta).

Kwa ujumla, RPC zote za AFS zinatambuliwa angalau kwa jina la RPC. Wengi wa RPC za RPS zina angalau baadhi ya hoja zilizotafsiriwa (kwa ujumla ni masuala ya 'kuvutia' tu, kwa ufafanuzi fulani wa kuvutia).

Fomu hiyo inalenga kujitegemea, lakini labda haitakuwa na manufaa kwa watu ambao hawajui na kazi za AFS na RX.

Ikiwa bendera -v (verbose) inapewa mara mbili, kutambua pakiti na maelezo ya kichwa cha ziada huchapishwa, kama vile Kitambulisho cha simu cha RX, namba ya simu, nambari ya mfululizo, namba ya serial, na vifurushi vya pakiti za RX.

Ikiwa bendera -v inapewa mara mbili, maelezo ya ziada yanachapishwa, kama vile ID ya simu ya RX, namba ya serial, na vifurushi vya pakiti za RX. Taarifa ya mazungumzo ya MTU pia imechapishwa kutoka pakiti za RX ack.

Ikiwa bendera -v inapewa mara tatu, ripoti ya usalama na id ya huduma huchapishwa.

Nambari za hitilafu zimechapishwa kwa pakiti za kujifungua, isipokuwa kwa pakiti za ubik za Ubik (kwa sababu pakiti za kuacha hutumiwa kupiga kura ya ndiyo kwa protoksi ya Ubik).

Kumbuka kuwa maombi ya AFS ni makubwa sana na hoja nyingi hazitafanywa isipokuwa snaplen inapoongezeka . Jaribu kutumia ` -s 256 'kutazama trafiki ya AFS.

AFS kujibu pakiti hazieleze wazi wazi utendaji wa RPC. Badala yake, tcpdump inaendelea kufuatilia maombi ya 'hivi karibuni', na inafanana nao kwa majibu kwa kutumia namba ya simu na ID ya huduma. Ikiwa jibu halitii kwa karibu ombi sambamba, huenda haliwezekani.

Appletalk ya KIP (DDP katika UDP)

Pakiti za Appletalk DDP zilizounganishwa katika datagrams za UDP zimefungwa na kupuuzwa kama pakiti za DDP (yaani, taarifa zote za kichwa cha UDP zimeondolewa). Faili / /etc/atalk.names hutumiwa kutafsiri namba ya appletalk na node kwa majina. Mipira katika faili hii ina fomu

jina la namba 1.254 ether 16.1 icsd-net 1.254.110 ace

Mstari miwili ya kwanza hutoa majina ya mitandao ya appletalk. Mstari wa tatu hutoa jina la mwenyeji maalum (mwenyeji anajulikana kutoka kwa wavu na octet ya tatu katika nambari - namba yavu lazima iwe na octets mbili na idadi ya jeshi lazima iwe na octets tatu.) Nambari na jina lazima liparishwe kwa whitespace (blanks au tabo). Faili ya /etc/atalk.names inaweza kuwa na mistari tupu au mistari ya maoni (mistari inayoanzia `# ').

Anwani za appletalk zinachapishwa kwa fomu:

net.host.port 144.1.209.2> icsd-net.112.220 ofisi.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Kama /etc/atalk.names haipo au hauna kuingizwa kwa nambari ya majaribio ya appletalk / namba, anwani zinachapishwa kwa fomu ya simu.) Katika mfano wa kwanza, NBP bandari ya DDP 2) kwenye wavu 144.1 Node 209 inatuma kwa chochote kinachosikiliza kwenye bandari 220 ya node ya icsd yavu 112. Mstari wa pili ni sawa isipokuwa jina kamili la node ya chanzo linajulikana ('ofisi'). Mstari wa tatu ni kutuma kutoka bandari 235 kwenye node ya jssmag node 149 kutangaza kwenye bandari ya NBP ya icsd-net (kumbuka kwamba anwani ya matangazo (255) inaonyeshwa kwa jina lavu bila idadi ya mwenyeji - kwa sababu hii ni wazo nzuri kuweka majina ya node na majina ya wavu tofauti katika /etc/atalk.names).

NBP (jina la itifaki ya kisheria) na ATP (pakiti ya Programu ya Programu ya Programu) ina maudhui yao yaliyotafsiriwa. Protoksi zingine tu kutupa jina la itifaki (au nambari ikiwa hakuna jina lililosajiliwa kwa itifaki) na ukubwa wa pakiti.

Pakiti za NBP zinapangiliwa kama mifano zifuatazo:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Mstari wa kwanza ni ombi la kufuatilia jina la laserwriters iliyotumwa na mwenyeji wa icsd wavu 112 na kutangaza kwenye jssmag wavu. Nbp id kwa ajili ya kufungua ni 190. Mstari wa pili inaonyesha jibu kwa ombi hili (kumbuka kuwa ina id sawa) kutoka mwenyeji jssmag.209 akisema kuwa ina rasilimali laserwriter aitwaye "RM1140" kusajiliwa katika bandari 250. ya tatu mstari ni jibu jingine kwa ombi hilo lililosema kuwa techpit mwenyeji ana laserwriter "techpit" iliyosajiliwa kwenye bandari 186.

Ufungashaji wa pakiti ya ATP unaonyeshwa na mfano unaofuata:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- mfululizo 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 huanzisha id idhini ya shughuli 12266 na helios ya jeshi kwa kuomba hadi pakiti 8 (`<0-7> '). Nambari ya hex mwisho wa mstari ni thamani ya shamba `userdata 'katika ombi.

Helios hujibu kwa pakiti 812 za byte. Nambari ': tarakimu' baada ya id idhini inatoa namba ya mlolongo wa pakiti katika shughuli na namba ya parens ni kiasi cha data katika pakiti, bila ukikuta kichwa cha atp. `` 'Kwenye pakiti 7 inaonyesha kuwa bit ya EOM iliwekwa.

Jssmag.209 kisha anaomba kwamba pakiti 3 & 5 ziwekewe tena. Helios huwasaidia kisha jssmag.209 hutoa shughuli. Hatimaye, jssmag.209 huanzisha ombi la pili. `` 'Kwenye ombi inaonyesha kwamba XO (' hasa mara moja ') haijawekwa.

Ugawanyiko wa IP

Datagrams za Mtandao zilizogawanyika zinachapishwa kama

(frag id : ukubwa @ offset +) (frag id : ukubwa @ offset )

(Fomu ya kwanza inaonyesha kuna vipande vingi .. pili inaonyesha hii ni kipande cha mwisho.)

Id ni id ya fragment. Ukubwa ni ukubwa wa fragment (kwa bytes) ukiondoa kichwa cha IP. Kutolewa ni kupunguzwa kwa kipande hiki (kwa byte) katika duka la awali.

Maelezo ya fragment ni pato kwa kila kipande. Kipande cha kwanza kina kichwa cha juu cha protokta ya kiwango na habari ya frag imechapishwa baada ya maelezo ya itifaki. Vipande baada ya kwanza kuwa na kichwa cha juu cha protokta ya kiwango cha juu na maelezo ya frag imechapishwa baada ya anwani ya chanzo na marudio. Kwa mfano, hapa ni sehemu ya ftp kutoka arizona.edu hadi lbl-rtsg.arpa juu ya uhusiano wa CSNET ambao hauonekani kushughulikia datagrams 576 byte:

Arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 kushinda 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 kushinda 2560

Kuna mambo kadhaa ya kumbuka hapa: Kwanza, anwani katika mstari wa 2 hazijumuisha namba za bandari. Hii ni kwa sababu taarifa ya itifaki ya TCP iko katika kipande cha kwanza na hatujui nini bandari au nambari za mlolongo ni wakati tunapopiga vipande vya baadaye. Pili, habari za mlolongo wa tcp katika mstari wa kwanza zimechapishwa kama kulikuwa na 308 bytes ya data ya mtumiaji wakati, kwa kweli, kuna 512 bytes (308 katika frag kwanza na 204 katika pili). Ikiwa unatafuta mashimo katika nafasi ya mlolongo au kujaribu kufanana na acks na pakiti, hii inaweza kukudanganya.

Pakiti yenye IP haipatikani bendera imewekwa na trailing (DF) .

Timestamps

Kwa default, mistari yote ya pato yanatanguliwa na timestamp. Muda wa timestampu ni wakati wa sasa wa saa katika fomu

hh: mm: ss.frac

na ni sahihi kama saa ya kernel. Timestamp inaonyesha wakati kernel ilipoona pakiti kwanza. Hakuna jaribio linalotafsiriwa kwa akaunti wakati wa kuanguka wakati kati ya interface ya ethernet iliondoa pakiti kutoka kwa waya na wakati kernel ilipopiga 'pakiti mpya'.

ANGALIA PIA

trafiki (1C), nit (4P), bpf (4), pcap (3)

Muhimu: Tumia amri ya mtu ( % mtu ) ili kuona jinsi amri hutumiwa kwenye kompyuta yako fulani.