TCPDUMP 8

中文man手册

目录

TCPDUMP

NAME
æ»è§ (SYNOPSIS)
æè¿° (DESCRIPTION)
é项 (OPTIONS)
ç¤ºä¾ (EXAMPLES)
è¾åºæ ¼å¼ (OUTPUT FORMAT)
å¦è§ (SEE ALSO)
ä½è (AUTHORS)
BUGS
[ä¸æçç»´æ¤äºº]
[ä¸æçææ°æ´æ°]
ãä¸å½Linux论åmanæå页翻è¯è®¡åã
è·

NAME

tcpdump - 转å¨ç½ç»ä¸çæ°æ®æµ

æ»è§ (SYNOPSIS)

tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ]
[ -i interface ] [ -r file ] [ -s snaplen ]
[ -T type ] [ -w file ] [ expression ]

æè¿° (DESCRIPTION)

Tcpdump æå°åº å¨æ个 ç½ç»çé¢ ä¸, å¹é å¸å°è¡¨è¾¾å¼ expression çæ¥æ ç æ¥å¤´.

å¯¹äº SunOS ç nit æ bpf çé¢: è¦ è¿è¡ tcpdump , ä½  å¿é¡» æ /dev/nit æ /dev/bpf* ç è¯»è®¿é® æé.

å¯¹äº Solaris ç dlpi: ä½  å¿é¡» æ ç½ç»ä»¿çè®¾å¤ (network pseudo device), å¦ /dev/le ç è¯»è®¿é® æé.

å¯¹äº HP-UX ç dlpi: ä½  å¿é¡» æ¯ root, æè æå® å®è£æ root ç 设置uid ç¨åº.

å¯¹äº IRIX ç snoop: ä½  å¿é¡» æ¯ root, æè æå® å®è£æ root ç 设置uid ç¨åº.

å¯¹äº Linux: ä½  å¿é¡» æ¯ root, æè æå® å®è£æ root ç 设置uid ç¨åº.

å¯¹äº Ultrix å Digital UNIX: ä¸æ¦ è¶çº§ç¨æ· ä½¿ç¨ pfconfig(8) å¼æ¾äº promiscuous æä½æ¨¡å¼ (promiscuous-mode), ä»»ä½ç¨æ· é½å¯ä»¥ è¿è¡ tcpdump.

å¯¹äº BSD: ä½  å¿é¡» æ /dev/bpf* ç è¯»è®¿é® æé.

é项 (OPTIONS)

-a

è¯ç æ ç½ç»å广æå°å 转æ¢æ å称.

-c

å½ æ¶å° count æ¥æ å éåº.

-d

æ ç¼è¯å¥½ç æ¥æå¹éä»£ç  (packet-matching code) ç¿»è¯æ å¯è¯»å½¢å¼, ä¼ å¾ æ åè¾åº, ç¶åéåº.

-dd

æ æ¥æå¹éä»£ç  (packet-matching code) 以 C ç¨åºçæ ç å½¢å¼ è¾åº.

-ddd

æ æ¥æå¹éä»£ç  (packet-matching code) 以 åè¿å¶æ° å½¢å¼ è¾åº (åé¢ å ä¸ æ»æ°).

-e

æ¾ç¤º é¾è·¯å±æ¥å¤´.

-f

以 æ°åå½¢å¼ æ¾ç¤º ’å¤é¨ç’ äºèç½å°å, èä¸æ¯ åç¬¦å½¢å¼ (è¿ä¸ª é项 ç¨æ¥ ç»å¼ è壳ååç SUN é»é¡µæå¡å¨ ç é®é¢ — ä¸è¬è¯´æ¥ å½å® ç¿»è¯ å¤é¨ç½ç» ç æ°åå°å æ¶ ä¼é¿ææèµ·).

-F

æ file çå容 ç¨ä½ è¿æ»¤è¡¨è¾¾å¼. å¿½ç¥ å½ä»¤è¡ ä¸ ç 表达å¼.

-i

çå¬ interface. å¦æ ä¸æå® æ¥å£, tcpdump å¨ ç³»ç» ç æ¥å£ æ¸å ä¸, å¯»æ¾ å·ç æå°, å·²ç» é置好ç æ¥å£ (loopback é¤å¤). éä¸çæ¶å ä¼ ä¸æ è¿æ¥.

-l

è¡ç¼å² æ åè¾åº. å¯ç¨äº ææ æ°æ® ç åæ¶ æ¥ç æ°æ®. ä¾å¦,

‘‘tcpdump  -l  |  tee dat’’ or ‘‘tcpdump  -l   > dat  &  tail  -f  dat’’.

-n

ä¸è¦æ å°å 转æ¢æ åå (æçæ¯ ä¸»æºå°å, 端å£å·ç)

-N

ä¸æ¾ç¤º 主æºåå ä¸ç åå é¨å. ä¾å¦, å¦æ ä½¿ç¨ è¿ä¸ª é项, tcpdump åªæ¾ç¤º ‘‘nic’’, èä¸æ¯ ‘‘nic.ddn.mil’’.

-O

ç¦æ¢è¿è¡ æ¥æå¹éä»£ç  ç ä¼åå¨. è¿ä¸ªé项 åªæ å½ä½  æç ä¼åå¨ æ bug æ¶ ææç¨.

-p

ç¦æ¢ æ æ¥å£ ç½®æ promiscuous(æå) 模å¼. 注æ, æ¥å£ æå¯è½ å  å¶ä»åå è å¤äº promiscuous 模å¼; å æ¤, ’-p’ ä¸è½ ä½ä¸º ‘ether host {local-hw-addr} æ ether broadcast’ ç ç®å.

-q

å¿«éè¾åº. æ¾ç¤º è¾å°ç å议信æ¯, è¾åºè¡ ä¼ çä¸ç¹ç¹.

-r

ä» file ä¸ è¯»å¥ æ°æ®æ¥ (æ件 æ¯ç¨ -w é项 å建ç). å¦æ file æ¯ ‘‘-’’, å°±ä» æ åè¾å¥ 读å¥.

-s

ä»æ¯ä¸ª æ¥æ ä¸ æªå snaplen åèçæ°æ®, èä¸æ¯ 缺çç 68 (å¦ææ¯ SunOS ç NIT, æå°å¼æ¯ 96). 68 个åè éç¨äº IP, ICMP, TCP å UDP, ä½æ¯ æå¯è½ æªæ ååæå¡å¨ å NFS æ¥æ ç åè®® ä¿¡æ¯ (è§ä¸æ). è¾åºæ¶ å¦ææå® ‘‘[|proto]’’, tcpdump å¯ä»¥ æåº é£äº ææéè¿å° ç æ°æ®æ¥, è¿éç proto æ¯ æªæåçå¤ ç åè®®å± å称. 注æ, éç¨ æ´å¤§ç ææèå´ ä¸ä½ å¢å äº å¤ç æ¥æ ç æ¶é´, èä¸ åå°äº æ¥æç ç¼å² æ°é, å¯è½ å¯¼è´ æ¥æç丢失. ä½  åºè¯¥ æ snaplen 设ç å°½éå°, åªè¦ è½å¤ 容纳 ä½  éè¦ ç åè®®ä¿¡æ¯ å°±å¯ä»¥äº.

-T

æ éè¿ "expression" æéåºæ¥ç æ¥æ 解éæ æå®ç type. ç®å å·²ç¥ ç ç±»å æ: rpc (è¿ç¨è¿ç¨è°ç¨ Remote Procedure Call), rtp (å®æ¶åºç¨åè®® Real-Time Applications protocol), rtcp (å®æ¶åºç¨æ§å¶åè®® Real-Time Applications control protocol), vat (å¯è§é³é¢å·¥å· Visual Audio Tool), å wb (åå¸å¼ç½æ¿ distributed White Board).

-S

æ¾ç¤º ç»å¯¹ç, èä¸æ¯ ç¸å¯¹ç TCP æµåºå·.

-t

ç¦æ¢ æ¾ç¤º æ¶æ³æ å¿.

-tt

æ¾ç¤º æªæ ¼å¼åç æ¶æ³æ å¿.

-v

(ç¨å¾®å¤ä¸ç¹) ç¹ççè¾åº. ä¾å¦, æ¾ç¤º IP æ°æ®æ¥ ä¸ç çåå¨æ å æå¡ç±»å.

-vv

æ´ç¹ççè¾åº. ä¾å¦, æ¾ç¤º NFS åºçæ¥æ ç éå å.

-w

æ åå§æ¥æ åè¿ file, ä¸å åæ å æ¾ç¤º. å®ä»¬ å¯ä»¥ 以å ç¨ -r é项 æ¾ç¤º. å¦æ file æ¯ ‘‘-’’, å°± åå¾ æ åè¾åº.

-x

以 16 è¿å¶æ° å½¢å¼ æ¾ç¤º æ¯ä¸ä¸ª æ¥æ (å»æé¾è·¯å±æ¥å¤´å) . å¯ä»¥ æ¾ç¤º è¾å°ç å®æ´ æ¥æ, å¦å åª æ¾ç¤º snaplen 个 åè .

expression

ç¨æ¥ éæ© è¦ è½¬å¨ ç æ°æ®æ¥. å¦æ 没æ æå® expression , å°± è½¬å¨ ç½ç»ç å¨é¨ æ¥æ. å¦å, åªè½¬å¨ ç¸å¯¹ expression 为 ‘true’ ç æ°æ®æ¥.

expression ç± ä¸ä¸ªæå¤ä¸ª åè¯ (primitive) ç»æ. åè¯ é常 ç± ä¸ä¸ª æ è¯ (id, å称ææ°å), å æ è¯ åé¢ç ä¸ä¸ªæå¤ä¸ª 修饰å(qualifier) ç»æ. 修饰å æ ä¸ç§ ä¸åçç±»å:

type

ç±»å修饰å æåº æ è¯å称 æ æ è¯æ°å 代表 ä»ä¹ ç±»åçä¸è¥¿. å¯ä»¥ä½¿ç¨ç ç±»å æ host, net å port. ä¾å¦, ‘host foo’, ‘net 128.3’, ‘port 20’. å¦æ ä¸æå® ç±»å修饰å, å°±ä½¿ç¨ ç¼ºçç host .

dir

æ¹å修饰å æåº ç¸å¯¹äº æ è¯ ç ä¼ è¾æ¹å (æ°æ®æ¯ ä¼ å¥è¿æ¯ä¼ åº æ è¯). å¯ä»¥ä½¿ç¨ç æ¹å æ src, dst, src or dst å src and dst. ä¾å¦, ‘src foo’, ‘dst net 128.3’, ‘src or dst port ftp-data’. å¦æ ä¸æå® æ¹å修饰å, å°±ä½¿ç¨ ç¼ºçç src or dst . å¯¹äº ‘null’ é¾è·¯å± (å°±æ¯è¯´ 象 slip ä¹ç±»ç ç¹å°ç¹ åè®®), ç¨ inbound å outbound 修饰å æå® æéç ä¼ è¾æ¹å.

proto

å议修饰å è¦æ± å¹é æå®çåè®®. å¯ä»¥ä½¿ç¨ç åè®® æ: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp å udp. ä¾å¦, ‘ether src foo’, ‘arp net 128.3’, ‘tcp port 21’. å¦æ ä¸æå® å议修饰å, å°±ä½¿ç¨ ææ 符å ç±»å ç åè®®. ä¾å¦, ‘src foo’ æ ‘(ip æ arp æ rarp) src foo’ (注æåèä¸ç¬¦åè¯æ³), ‘net bar’ æ ‘(ip æ arp æ rarp) net bar’, ‘port 53’ æ ‘(tcp æ udp) port 53’.

[‘fddi’ å®éä¸ æ¯ ‘ether’ ç å«å; åæå¨ æ å®ä»¬ è§ä¸º ‘‘ç¨å¨ æå® ç½ç»æ¥å£ ä¸ç æ°æ®é¾è·¯å±.’’ FDDI æ¥å¤´ åå« ç±»ä¼¼äº ä»¥å¤ªåè®® ç æºç®å°å, èä¸ é常 åå« ç±»ä¼¼äº ä»¥å¤ªåè®® ç æ¥æç±»å, å æ¤ ä½  å¯ä»¥ è¿æ»¤ FDDI å, 就象 åæ 以太åè®® ä¸æ ·. FDDI æ¥å¤´ ä¹ åå« å¶ä» å, ä½æ¯ ä½  ä¸è½ å¨ è¿æ»¤å¨ è¡¨è¾¾å¼ é æ¾å¼æè¿°.]

ä½ä¸º ä¸è¿° ç è¡¥å, æä¸äº ç¹æ®ç ‘å诒 å³é®å: gateway, broadcast, less, greater å æ°å¦è¡¨è¾¾å¼. å®ä»¬ ä¸åäº ä¸é¢ç模å¼, è¿äº å¨ åé¢ æ åè¿°.

æ´å¤æç è¿æ»¤å¨è¡¨è¾¾å¼ å¯ä»¥ éè¿ and, or å not è¿æ¥ åè¯ æ¥ ç»å»º. ä¾å¦, ‘host foo and not port ftp and not port ftp-data’. 为äºå°æ²ç¹é®, å¯ä»¥å¿½ç¥ ç¸åç 修饰å. ä¾å¦, ‘tcp dst port ftp or ftp-data or domain’ å®éä¸ å°±æ¯ ‘tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain’.

å许ç åè¯ æ:
dst host host

å¦æ æ¥æä¸ IP ç ç®çå°åå æ¯ host, å é»è¾ 为 ç. host æ¢å¯ä»¥ æ¯ å°å, ä¹å¯ä»¥ æ¯ ä¸»æºå.

src host host

å¦æ æ¥æä¸ IP ç æºå°åå æ¯ host, å é»è¾ 为 ç.

host host

å¦æ æ¥æä¸ IP ç æºå°åå æè ç®çå°åå æ¯ host, å é»è¾ 为 ç. ä¸é¢ ææç host è¡¨è¾¾å¼ é½å¯ä»¥ å ä¸ ip, arp, æ rarp å³é®å å åç¼, 就象:

ip host host

å®çä»·äº:

ether proto \ip and host host

å¦æ host æ¯ æ¥æ å¤ä¸ª IP å°å ç 主æºå, å®ç æ¯ä¸ªå°å é½ä¼ 被æ¥éª.

ether dst ehost

å¦æ æ¥æç 以太ç®çå°å æ¯ ehost, å é»è¾ 为 ç. Ehost æ¢å¯ä»¥æ¯ åå (/etc/ethers éæ), ä¹å¯ä»¥æ¯ æ°å (æå³ æ°å- æ ¼å¼ å¦è§ ethers(3N) ).

ether src ehost

å¦æ æ¥æç 以太æºå°å æ¯ ehost, å é»è¾ 为 ç.

ether host ehost

å¦æ æ¥æç 以太æºå°å æ 以太ç®çå°å æ¯ ehost, å é»è¾ 为 ç.

gateway host

å¦æ æ¥æ æ host å½å ç½å³, å é»è¾ 为 ç. ä¹å°±æ¯è¯´, æ¥æç 以太æºæç®çå°å æ¯ host, ä½æ¯ IP ç æºç®å°å é½ä¸æ¯ host. host å¿é¡» æ¯ä¸ª 主æºå, èä¸ å¿é¡» åå¨ /etc/hosts å /etc/ethers ä¸. (ä¸ä¸ªçä»·ç表达å¼æ¯

ether host ehost and not host host

å¯¹äº host / ehost, å®æ¢å¯ä»¥æ¯ åå, ä¹å¯ä»¥æ¯ æ°å.)

dst net net

å¦æ æ¥æç IP ç®çå°å å±äº ç½ç»å· net, å é»è¾ 为 ç. net æ¢å¯ä»¥ æ¯ åå (åå¨ /etc/networks ä¸), ä¹å¯ä»¥æ¯ ç½ç»å·. (è¯¦è§ networks(4)).

src net net

å¦æ æ¥æç IP æºå°å å±äº ç½ç»å· net, å é»è¾ 为 ç.

net net

å¦æ æ¥æç IP æºå°å æ ç®çå°å å±äº ç½ç»å· net, å é»è¾ 为 ç.

net net mask mask

å¦æ IP å°å å¹é æå® ç½ç»æ©ç (netmask) ç net, å é»è¾ 为 ç. æ¬åè¯ å¯ä»¥ç¨ src æ dst 修饰.

net net/len

å¦æ IP å°å å¹é æå® ç½ç»æ©ç  ç net, å é»è¾ 为 ç, æ©ç  ç ææä½å®½ 为 len. æ¬åè¯ å¯ä»¥ç¨ src æ dst 修饰.

dst port port

å¦æ æ¥æ æ¯ ip/tcp æ ip/udp, å¹¶ä¸ ç®çç«¯å£ æ¯ port, å é»è¾ 为 ç. port æ¯ä¸ä¸ª æ°å, ä¹å¯ä»¥æ¯ /etc/services ä¸ è¯´æè¿ç åå (åç tcp(4P) å udp(4P)). å¦æ ä½¿ç¨ åå, å æ£æ¥ 端å£å· å åè®®. å¦æ ä½¿ç¨ æ°å, æè æäºä¹çåå, å åªæ£æ¥ 端å£å· (ä¾å¦, dst port 513 å°æ¾ç¤º tcp/login çæ°æ® å udp/who çæ°æ®, è port domain å°æ¾ç¤º tcp/domain å udp/domain çæ°æ®).

src port port

å¦æ æ¥æ ç æºç«¯å£å· æ¯ port, å é»è¾ 为 ç.

port port

å¦æ æ¥æ ç æºç«¯å£ æ ç®çç«¯å£ æ¯ port, å é»è¾ 为 ç. ä¸è¿°ç ä»»æä¸ä¸ª 端å£è¡¨è¾¾å¼ é½å¯ä»¥ ç¨ å³é®å tcp æ udp å åç¼, 就象:

tcp src port port

å® åªå¹é æºç«¯å£ æ¯ port ç TCP æ¥æ.

less length

å¦æ æ¥æ ç é¿åº¦ å°äºçäº length, å é»è¾ 为 ç. å®çåäº:

len <= length.

greater length

å¦æ æ¥æ ç é¿åº¦ 大äºçäº length, å é»è¾ 为 ç. å®çåäº:

len >= length.

ip proto protocol

å¦æ æ¥æ æ¯ IP æ°æ®æ¥(åè§ ip(4P)), å¶ å容 ç å议类å æ¯ protocol, å é»è¾ 为 ç. Protocol å¯ä»¥æ¯ æ°å, ä¹å¯ä»¥æ¯ ä¸å å称 ä¸ç ä¸ä¸ª: icmp, igrp, udp, nd, æ tcp. 注æ è¿äº æ è¯ç¬¦ tcp, udp, å icmp ä¹æ¯ å³é®å, æ以 å¿é¡» ç¨ åææ (\) 转ä¹, å¨ C-shell ä¸ åºè¯¥æ¯ \\ .

ether broadcast

å¦æ æ¥æ æ¯ ä»¥å¤ªå¹¿ææ¥æ, å é»è¾ 为 ç. å³é®å ether æ¯ å¯éç.

ip broadcast

å¦æ æ¥æ æ¯ IP广ææ¥æ, å é»è¾ 为 ç. Tcpdump æ£æ¥ å¨0 å å¨1 广æ约å®, å¹¶ä¸ æ£æ¥ æ¬å° ç åç½æ©ç .

ether multicast

å¦æ æ¥æ æ¯ ä»¥å¤ªå¤ç®ä¼ éæ¥æ(multicast), å é»è¾ 为 ç. å³é®å ether æ¯ å¯éç. è¿å®éä¸ æ¯ ‘ether[0] & 1 != 0’ çç®å.

ip multicast

å¦æ æ¥æ æ¯ IPå¤ç®ä¼ éæ¥æ, å é»è¾ 为 ç.

ether proto protocol

å¦æ æ¥æåè®® å±äº 以太类å ç protocol, å é»è¾ 为 ç. Protocol å¯ä»¥æ¯ æ°å, ä¹å¯ä»¥æ¯ åå, å¦ ip, arp, æ rarp. 注æ è¿äº æ è¯ç¬¦ ä¹æ¯ å³é®å, æ以 å¿é¡» ç¨ åææ (\) 转ä¹. [å¦ææ¯ FDDI (ä¾å¦, ‘fddi protocol arp’), åè®® æ è¯ æ¥èª 802.2 é»è¾é¾è·¯æ§å¶(LLC)æ¥å¤´, å® é常 ä½äº FDDI æ¥å¤´ ç 顶å±. å½ æ ¹æ® åè®®æ è¯ è¿æ»¤ æ¥æ æ¶, Tcpdump å设 ææç FDDI æ¥æ å«æ LLC æ¥å¤´, èä¸ LLC æ¥å¤´ ç¨çæ¯ SNAP æ ¼å¼.]

decnet src host

å¦æ DECNET ç æºå°å æ¯ host, å é»è¾ 为 ç, 该 主æºå°å ç å½¢å¼ å¯è½ æ¯ ‘‘10.123’’, æèæ¯ DECNET 主æºå. [åªæ éç½®æ è¿è¡ DECNET ç Ultrix ç³»ç» æ¯æ DECNET 主æºå.]

decnet dst host

å¦æ DECNET ç ç®çå°å æ¯ host, å é»è¾ 为 ç.

decnet host host

å¦æ DECNET ç æºå°å æ ç®çå°å æ¯ host, å é»è¾ 为 ç.

ip, arp, rarp, decnet

æ¯:

ether proto p

ç ç®å å½¢å¼, å¶ä¸ p 为 ä¸è¿° åè®® ç ä¸ç§.

lat, moprc, mopdl

æ¯:

ether proto p

ç ç®å å½¢å¼, å¶ä¸ p 为 ä¸è¿° åè®® ç ä¸ç§. 注æ tcpdump ç®å ä¸ç¥é å¦ä½ åæ è¿äº åè®®.

tcp, udp, icmp

æ¯:

ip proto p

ç ç®å å½¢å¼, å¶ä¸ p 为 ä¸è¿° åè®® ç ä¸ç§.

expr relop expr

å¦æ è¿ä¸ª å³ç³»å¼ æç«, å é»è¾ 为 ç, å¶ä¸ relop æ¯ >, <, >=, <=, =, != ä¹ä¸, expr æ¯ æ°å¦è¡¨è¾¾å¼, ç± å¸¸æ´æ°(æ åCè¯æ³å½¢å¼), æ®éç äºè¿å¶è¿ç®ç¬¦ [+, -, *, /, &, |], ä¸ä¸ª é¿åº¦è¿ç®ç¬¦, å æå®ç æ¥ææ°æ®è®¿é®ç®ç¬¦ ç»æ. è¦ è®¿é® æ¥æå ç æ°æ®, ä½¿ç¨ ä¸é¢ç è¯æ³:

proto [ expr : size ]

Proto æ¯ ether, fddi, ip, arp, rarp, tcp, udp, or icmp ä¹ä¸, åæ¶ ä¹æåºäº ä¸æ  æä½ ç åè®®å±. expr ç»åº åèåä½ ç å移é, 该 å移é ç¸å¯¹äº æå®ç åè®®å±. Size æ¯ å¯é项, æåº æå´è¶£ç åèæ°; å®å¯ä»¥ æ¯ 1, 2, 4, 缺ç为 1 åè. ç± å³é®å len ç»åºç é¿åº¦è¿ç®ç¬¦ ææ æ¥æ ç é¿åº¦.

ä¾å¦, ‘ether[0] & 1 != 0’ ææ ææç å¤ç®ä¼ é æ¥æ. è¡¨è¾¾å¼ ‘ip[0] & 0xf != 5’ ææ ææ 带 å¯éå ç IP æ¥æ. è¡¨è¾¾å¼ ‘ip[6:2] & 0x1fff = 0’ åªææ æªåç å çå移为0 ç æ°æ®æ¥. è¿ç§ æ£æ¥ éå«å¨ tcp å udp ä¸æ æä½ ä¸. ä¾å¦, tcp[0] ä¸å®æ¯ TCP æ¥å¤´ ç 第ä¸ä¸ª åè, èä¸æ¯ å¶ä¸ æ个 IPç ç 第ä¸ä¸ª åè.

åè¯ å¯ä»¥ ç¨ ä¸è¿° æ¹æ³ ç»å使ç¨:

åæ¬å¼§ æ¬èµ·æ¥ç åè¯ å æä½ç¬¦ (åæ¬å¼§ å¨ Shell ä¸ æä¸ç¨, æ以å¿é¡»è½¬ä¹).

ååæä½ (‘!’ or ‘not’).

è¿ç»æä½ (‘&&’ or ‘and’).

ææä½ (‘||’ or ‘or’).

ååæä½ æ æé«ä¼å级. ææä½ å è¿ç»æä½ æ ç¸åç ä¼å级, è¿ç®æ¶ ä»å·¦å°å³ ç»å. 注æ è¿ç»æä½ éè¦ æ¾å¼ç and ç®ç¬¦, èä¸æ¯ 并åæ¾ç½®.

å¦æ ç»åº æ è¯ç¬¦, ä½æ²¡ç» å³é®å, é£ä¹ ææ æè¿ä½¿ç¨ ç å³é®å. ä¾å¦,

not host vs and ace

ä½ä¸º

not host vs and host ace

ç ç®åå½¢å¼, ä¸åºè¯¥ å

not ( host vs or ace )

æ··æ·.

表达å¼åæ° å¯ä»¥ ä½ä¸º å个 åæ°, ä¹å¯ä»¥ ä½ä¸º å¤ååæ° ä¼ ç» tcpdump, åè æ´æ¹ä¾¿ ä¸äº. ä¸è¬è¯´æ¥, å¦æ è¡¨è¾¾å¼ åå« Shell åå- 符(metacharacter), ä¼ é å个 æ¬èµ·æ¥ ç åæ° è¦ å®¹æ ä¸äº. å¤ååæ° å¨ è¢«è§£æå ç¨ ç©ºæ ¼ èæ¥ ä¸èµ·.

ç¤ºä¾ (EXAMPLES)

æ¾ç¤º ææ è¿åº sundown ç æ¥æ:

tcpdump host sundown

æ¾ç¤º helios å ä¸»æº hot, ace ä¹é´ ç æ¥æ ä¼ é:

tcpdump host helios and \( hot or ace \)

æ¾ç¤º ace å é¤äº helios 以å¤ç ææ ä¸»æº ç IPæ¥æ:

tcpdump ip host ace and not helios

æ¾ç¤º æ¬å°çä¸»æº å Berkeleyçä¸»æº ä¹é´ ç ç½ç»æ°æ®:

tcpdump net ucb-ether

æ¾ç¤º ææ éè¿ ç½å³ snup ç ftp æ¥æ (注æ è¿ä¸ª è¡¨è¾¾å¼ è¢« åå¼å· æ¬èµ·, é²æ¢ shell 解é åæ¬å¼§):

tcpdump ’gateway snup and (port ftp or ftp-data)’

æ¾ç¤º æ¢ä¸æ¯ æ¥èª æ¬å°ä¸»æº, ä¹ä¸æ¯ ä¼ å¾ æ¬å°ä¸»æº ç ç½ç»æ°æ® (å¦æ æ¥æ éè¿ ç½å³ è¿å¥ å¶ä»ç½ç», é£ä¹ å® ç»ä¸å¯è½ å°è¾¾ ä½ ç æ¬å°ç½ç»).

tcpdump ip and not net localnet

æ¾ç¤º æ¯ä¸ª TCPä¼è¯ ç èµ·å§ å ç»æ æ¥æ (SYN å FIN æ¥æ), èä¸ ä¼è¯æ¹ ä¸ æä¸ä¸ª è¿ç¨ä¸»æº.

tcpdump ’tcp[13] & 3 != 0 and not src and dst net localnet

æ¾ç¤º ç»è¿ ç½å³ snup ä¸ å¤§äº 576 åèç IP æ°æ®æ¥:

tcpdump ’gateway snup and ip[2:2] > 576’

æ¾ç¤º IP 广æ æ å¤ç®ä¼ é ç æ°æ®æ¥, ä½è¿äº æ¥æ ä¸æ¯ éè¿ ä»¥å¤ªå¹¿æ æ 以太å¤ç®ä¼ é å½¢å¼ ä¼ éç:

tcpdump ’ether[0] & 1 = 0 and ip[16] >= 224’

æ¾ç¤º ææ ä¸æ¯ åå请æ±/åºç ç ICMP æ¥æ (ä¹å°±æ¯è¯´, ä¸æ¯ ping æ¥æ):

tcpdump ’icmp[0] != 8 and icmp[0] != 0"

è¾åºæ ¼å¼ (OUTPUT FORMAT)

tcpdump ç è¾åºæ ¼å¼ åå³äº åè®®. ä¸é¢ç æè¿° ç»åº 大å¤æ° æ ¼å¼ ç ç®è¦è¯´æ å èä¾.

é¾è·¯å±æ¥å¤´ (Link Level Headers)

å¦æ ç»åº ’-e’ é项 å°± æ¾ç¤º é¾è·¯å±æ¥å¤´.

å¨ ä»¥å¤ªç½ä¸, æ¾ç¤º æ¥æç æºç®å°å, åè®® å æ¥æé¿åº¦.

å¨ FDDI ç½ç»ä¸, ’-e’ é项 å¯¼è´ tcpdump æ¾ç¤ºåº ‘帧æ§å¶(frame control)’ å, æºç®å°å å æ¥æé¿åº¦. (‘帧æ§å¶’ å è´è´£ 解é å¶ä½ç æ¥æ. æ®éæ¥æ (ä¾å¦ è£è½½ IPæ°æ®æ¥ ç æ¥æ) æ¯ ‘å¼æ¥’ æ¥æ, ä¼å级 ä»äº 0 å° 7 (ä¾å¦, ‘async4’). é£äº 被认为 æºå¸¦äº 802.2 é»è¾é¾è·¯æ§å¶(LLC) æ¥æ; å¦æ å®ä»¬ ä¸æ¯ ISO æ°æ®æ¥ æè æè°ç SNAP æ¥æ, å°±æ¾ç¤º LLC æ¥å¤´.

(注æ: ä»¥ä¸ æè¿°ä¸ å设 ä½  çæ RFC-1144 ä¸è¯´æç SLIP å缩ç®æ³.)

å¨ SLIP é¾è·¯ä¸, tcpdump æ¾ç¤ºåº æ¹åæ示 (‘‘I’’ æ inbound(è¿å¥), ‘‘O’’ æ outbound(离å¼)), æ¥æç±»å å å缩信æ¯. é¦åæ¾ç¤ºç æ¯ æ¥æç±»å. æä¸ç§ ç±»å ip, utcp å ctcp. å¯¹äº ip æ¥æ ä¸å æ¾ç¤º æ´å¤ç é¾è·¯ä¿¡æ¯. å¯¹äº TCP æ¥æ, å¨ ç±»å åé¢ æ¾ç¤º è¿æ¥æ è¯. å¦æ æ¥æ æ¯ å缩è¿ç, å°±æ¾ç¤ºåº å®ç ç¼ç æ¥å¤´. è¿ç§ ç¹æ®æåµ ä»¥ *S+n å *SA+n ç å½¢å¼ æ¾ç¤º, è¿éç n æ¯ æµåºå· (æè æµåºå· å ack) ç ååæ»é. å¦æ ä¸æ¯ ç¹æ®æåµ, å°±æ¾ç¤ºåº 0 æ å¤ä¸ª åå. åå ç± U (urgent pointer), W (window), A (ack), S (sequence number) å I (packet ID) ææ, åè· ä¸ä¸ª ååé(+n or -n), æè æ¯ä¸ä¸ª æ°å¼(=n). æåæ¾ç¤º æ¥æä¸ ç æ°æ®æ»é, 以å å缩æ¥å¤´ ç é¿åº¦.

ä¾å¦, ä¸é¢ä¸è¡ æ¾ç¤ºäº ä¸ä¸ª ä¼ åºç å缩ç TCP æ¥æ, æä¸ä¸ª éå«ç è¿æ¥æ è¯; 确认(ack)ç ååéæ¯ 6, æµåºå· å¢å  49, æ¥æID å¢å  6; æä¸ä¸ªå- èçæ°æ® å å个åè ç å缩æ¥å¤´:

O ctcp * A+6 S+49 I+6 3 (6)

ARP/RARP æ¥æ

Arp/rarp æ¥æ ç è¾åº æ¯ è¯·æ±ç±»å åå¶ åæ°. è¾åºæ ¼å¼ 大ä½ä¸ è½å¤ èªæ解é. è¿é æ¯ä¸ä¸ª ç®åçä¾å, æ¥èª ä¸»æº rtsg å° ä¸»æº csam ç ’rlogin’ å¼å§ é¨å:

arp who-has csam tell rtsg
arp reply csam is-at CSAM

第ä¸è¡ 说æ rtsg ååº ä¸ä¸ª arp æ¥æ è¯¢é® internet ä¸»æº csam ç 以太ç½å°å. Csam ç¨ å®ç 以太å°å ä½åºç (è¿ä¸ªä¾åä¸, 以太å°å æ¯ å¤§åç, internet å°å 为 å°å).

å¦æ ç¨ tcpdump -n ç å°± æ¸æ¥ä¸äº:

arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4

å¦æ ç¨ tcpdump -e, å¯ä»¥ çå° å®éä¸ ç¬¬ä¸ä¸ª æ¥æ æ¯ å¹¿æ, 第äºä¸ª æ¥æ æ¯ ç¹å°ç¹ ç:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM

è¿é 第ä¸ä¸ª æ¥æ æåº ä»¥å¤ªç½æºå°åæ¯ RTSG, ç®çå°å æ¯ ä»¥å¤ªç½å¹¿æå°å, ç±»åå 为 16è¿å¶æ° 0806 (ç±»å ETHER_ARP), æ¥æå¨é¿ 64 åè.

TCP æ¥æ

(注æ: 以ä¸çæè¿°ä¸ å设 ä½  çæ RFC-793 ä¸ è¯´æç TCP åè®®, å¦æ ä½ ä¸äºè§£ è¿ä¸ª åè®®, æ è®ºæ¯ æ¬æ è¿æ¯ tcpdump é½å¯¹ä½  ç¨å¤ ä¸å¤§)

ä¸è¬è¯´æ¥ tcp åè®®ç è¾åºæ ¼å¼æ¯:

src > dst: flags data-seqno ack window urgent options

Src å dst æ¯ æºç®IPå°åå端å£. Flags æ¯ S (SYN), F (FIN), P (PUSH) æ R (RST) æ åç¬ç ‘.’(æ æ å¿), æèæ¯ å®ä»¬ç ç»å. Data-seqno 说æäº æ¬æ¥æä¸- çæ°æ® å¨ æµåºå· ä¸ç ä½ç½® (è§ä¸ä¾). Ack æ¯ å¨è¿æ¡è¿æ¥ä¸ ä¿¡æºæº å¸æ ä¸ä¸ä¸ª æ¥æ¶ç åèç æµåºå· (sequence number). Window æ¯ å¨è¿æ¡è¿æ¥ä¸ ä¿¡æºæº æ¥æ¶ç¼å²åº ç åè大å°. Urg 表æ æ¥æå æ¯ ‘ç´§æ¥(urgent)’ æ°æ®. Options æ¯ tcp é项, ç¨ å°æ¬å· æ¬èµ· (ä¾å¦, <mss 1024>).

Src, dst å flags è¯å® åå¨. å¶ä»å ä¾æ® æ¥æç tcp æ¥å¤´ å容, åªè¾åº æå¿è¦ ç é¨å.

ä¸é¢ æ¯ ä» ä¸»æº rtsg rlogin å° ä¸»æº csam ç å¼å§é¨å.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

第ä¸è¡ æ¯è¯´ ä» rtsg ç tcp ç«¯å£ 1023 å csam ç login ç«¯å£ åé æ¥æ. S æ å¿ 表æ è®¾ç½®äº SYN æ å¿. æ¥æ ç æµåºå· æ¯ 768512, 没æ æ°æ®. (è¿ä¸ªåæ ‘first:last(nbytes)’, æææ¯ ‘ä» æµåºå· first å° last, ä¸åæ¬ last, æ nbytes åèç ç¨æ·æ°æ®’.) æ¤æ¶ 没æ æ带确认(piggy-backed ack), ææç æ¥æ¶çªå£ æ¯ 4096 åè, æä¸ä¸ª æ大å段é¿åº¦(max-segment-size) ç é项, è¯·æ± è®¾ç½® mss 为 1024 åè.

Csam ç¨ç±»ä¼¼ç å½¢å¼ åºç, åªæ¯ å¢å äº ä¸ä¸ª 对 rtsg SYN ç æ带确认. ç¶å Rtsg 确认 csam ç SYN. ‘.’ æå³ç 没æ 设置 æ å¿. è¿ä¸ª æ¥æ ä¸åå« æ°æ®, å æ¤ ä¹å°± 没æ æ°æ®çæµåºå·. 注æè¿ä¸ª 确认æµåºå· æ¯ä¸ä¸ª å°æ´æ°(1). å½ tcpdump 第ä¸æ¬¡ åç° ä¸ä¸ª tcp ä¼è¯æ¶, å® æ¾ç¤º æ¥æ æºå¸¦ç æµåºå·. å¨ éåæ¶å°ç æ¥æé, å® æ¾ç¤º å½å æ¥æ å æåé£ä¸ª æ¥æ ç æµåºå· ä¹ å·®. è¿ æå³ç ä»ç¬¬ä¸ä¸ªæ¥æ å¼å§, 以åç æµåºå· å¯ä»¥ ç解æ æ°æ®æµ ä¸ç ç¸å¯¹ä½ç§» (æ¯ä¸ªæ¥æ ç 第ä¸ä¸ª æ°æ®åè ä» ’1’ 计æ°). ‘-S’ é项 è½å¤ æ¹å è¿ä¸ª ç¹æ§, ç´æ¥ æ¾ç¤º åå§ç æµåºå·.

å¨ ç¬¬åè¡, rtsg ä¼ ç» csam 19 个åè ç æ°æ® (åè 2 å° 20). æ¥æä¸ è®¾ç½®äº PUSH æ å¿. 第ä¸è¡ csam 表æ å® æ¶å°äº rtsg ç æ°æ®, åèåºå· æ¯ 21, ä½ä¸åæ¬ ç¬¬21个 åè. æ¾ç¶ 大å¤æ° æ°æ® å¨ socket ç ç¼å²åºå, å ä¸º csam ç æ¥æ¶çªå£ æ¶å°ç æ°æ® å°äº 19 个 åè. åæ¶ csam å rtsg åéäº ä¸ä¸ªåè ç æ°æ®. 第å«å第ä¹è¡ æ¾ç¤º csam åéäº ä¸¤ä¸ªåè ç ç´§æ¥æ°æ® å° rtsg.

å¦æ ææåº è®¾ç½®ç è¿å°, 以è³äº tcpdump ä¸è½ ææå° å®æ´ç TCP æ¥å¤´, tcpdump ä¼ å°½å¯è½ç ç¿»è¯ å·²æè·ç é¨å, ç¶å æ¾ç¤º ‘‘[|tcp]’’, 表æ æ æ³ ç¿»è¯ å¶ä½ é¨å. å¦æ æ¥å¤´ åå« æé®é¢ç é项 (é项表 é¿åº¦ å¤ªå° æè è¶åº æ¥å¤´èå´), tcpdump æ¾ç¤º ‘‘[bad opt]’’ å¹¶ä¸ ä¸å ç¿»è¯ å¶ä» é项é¨å (å ä¸º å® ä¸å¯è½ å¤æåº ä»åªå¿ å¼å§). å¦æ æ¥å¤´é¿åº¦ 表æ åå¨ é项, ä½æ¯ IP æ°æ®æ¥ é¿åº¦ ä¸å¤, ä¸å¯è½ çç ä¿å é项, tcpdump å°±æ¾ç¤º ‘‘[bad hdr length]’’.

UDP æ¥æ

UDP æ ¼å¼ å°±è±¡ è¿ä¸ª rwho æ¥æ æ¾ç¤ºç:

actinide.who > broadcast.who: udp 84

å°±æ¯è¯´ æä¸ä¸ª udp æ°æ®æ¥ ä» ä¸»æº actinide ç who ç«¯å£ åéå° broadcast, Internet 广æå°å ç who 端å£. æ¥æ åå« 84åè ç ç¨æ·æ°æ®.

æäº UDP æå¡ è½å¤ è¯å«åºæ¥(ä» æºç®ç«¯å£å· ä¸), å è æ¾ç¤ºåº æ´é«å±ç å议信æ¯. ç¹å«æ¯ ååæå¡è¯·æ±(RFC-1034/1035) å NFS ç RPC è°ç¨(RFC-1050).

UDP ååæå¡è¯·æ± (Name Server Requests)

(注æ: 以ä¸çæè¿°ä¸ å设 ä½  çæ RFC-1035 说æç ååæå¡åè®®. å¦æä½  ä¸çæ è¿ä¸ªåè®®, ä¸é¢çå容 å¯è½ çèµ·æ¥æ¯ 天书.)

ååæå¡è¯·æ± ç æ ¼å¼ æ¯

src > dst: id op? flags qtype qclass name (len)
h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

ä¸»æº h2opolo è®¿é® helios ä¸ç ååæå¡, è¯¢é® å ucbvax.berkeley.edu. å³èç å°åè®°å½(qtype=A). æ¥è¯¢å·æ¯ ‘3’. ‘+’ 表æ è®¾ç½®äº éå½è¯·æ± æ å¿. æ¥è¯¢é¿åº¦æ¯ 37 åè, ä¸åæ¬ UDP å IP 头. æ¥è¯¢æä½ æ¯ æ®éç Query æä½, å æ¤ op å å¯ä»¥ 忽ç¥. å¦æ op 设置æ å¶ä»ä»ä¹ä¸è¥¿, å®åºè¯¥ æ¾ç¤ºå¨ ‘3’ å ‘+’ ä¹é´. 类似ç, qclass æ¯ æ®éç C_IN ç±»å, ä¹è¢« 忽ç¥äº. å¶ä»ç±»åç qclass åºè¯¥ å¨ ‘A’ åé¢ æ¾ç¤º.

Tcpdump ä¼æ£æ¥ ä¸äº ä¸è§å æåµ, ç¸åºç ç»æ ä½ä¸º è¡¥åå æ¾å¨ æ¹æ¬å·å: å¦æ æ个 æ¥è¯¢ åå« åç, ååæå¡ æ 管çæºæé¨å, å°±æ ancount, nscount, æ arcount æ¾ç¤ºæ ‘[na]’, ‘[nn]’ æ ‘[nau]’, è¿éç n 代表 ç¸åºç æ°é. å¦æ å¨ ç¬¬äºå第ä¸åè ä¸, ä»»ä½ä¸ä¸ª åçä½(AA, RA æ rcode) æ ä»»ä½ä¸ä¸ª ‘å¿é¡»ä¸ºé¶’ çä½ è¢« ç½®ä½, å°±æ¾ç¤º ‘[b2&3=x]’, è¿éç x æ¯ æ¥å¤´ 第äºå第ä¸åè ç 16è¿å¶æ°.

UDP ååæå¡åç

ååæå¡åçç æ ¼å¼ æ¯

src > dst: id op rcode flags a/n/au type class data (len)
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)

第ä¸ä¸ªä¾åé, helios åçäº h2opolo ååºç æ è¯ä¸º3 ç 询é®, ä¸å±æ¯ 3 个 åçè®°å½, 3 个 ååæå¡è®°å½ å 7 个管çç»æè®°å½. 第ä¸ä¸ª åççºªå½ ç ç±»åæ¯ A (å°å), æ°æ®æ¯ internet å°å 128.32.137.3. åçç å¨é¿ 为 273 åè, ä¸åæ¬ UDP å IP æ¥å¤´. ä½ä¸º A è®°å½ç class(C_IN) å¯ä»¥ å¿½ç¥ op (询é®) å rcode (NoError).

å¨ç¬¬äºä¸ªä¾åé, helios 对 æ è¯ä¸º2 ç è¯¢é® ä½åº ååä¸åå¨ (NXDomain) ç åç, 没æ åçè®°å½, ä¸ä¸ª ååæå¡è®°å½, 没æ 管çç»æé¨å.
‘*’ 表æ è®¾ç½®äº æå¨åç(authoritative answer). ç±äº 没æ åçè®°å½, è¿éå°± ä¸æ¾ç¤º type, class å data.

å¶ä» æ å¿ å符 å¯ä»¥ æ¾ç¤ºä¸º ‘-’ (没æ设置éå½ææ(RA)) å ‘|’ (设置 æ¶æ¯æªç(TC)). å¦æ ‘é®é¢’ é¨å 没æ ææç å容, å°± æ¾ç¤º ‘[nq]’.

注æ ååæå¡ç 询é®ååç ä¸è¬è¯´æ¥ æ¯è¾å¤§, 68 åèç snaplen å¯è½ æ æ³ ææå° è¶³å¤ç æ¥æå容. å¦æ ä½  çç¡® å¨ ç ç©¶ ååæå¡ ç æåµ, å¯ä»¥ ä½¿ç¨ -s é项 å¢å¤§ ææç¼å²åº. ‘-s 128’ åºè¯¥ ææ ä¸éäº.

NFS 请æ±åååº

Sun NFS (ç½ç»æ件系ç») ç 请æ±åååº æ¾ç¤ºæ ¼å¼ æ¯:

src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150

å¨ç¬¬ä¸è¡, ä¸»æº sushi å wrl åé å·ç ä¸º 6709 ç 交äºä¼è¯ (注æ æºä¸»æº åé¢ç æ°å æ¯ äº¤äºå·, ä¸æ¯ 端å£). è¿é¡¹è¯·æ± é¿ 112 åè, ä¸åæ¬ UDP å IP æ¥å¤´. å¨ æ件å¥æ (fh) 21,24/10.731657119 ä¸æ§è¡ readlink (读å 符å·è¿æ¥) æä½. (å¦æ è¿æ° ä¸é, 就象 è¿ç§æåµ, æ件å¥æ å¯ä»¥ ä¾æ¬¡ç¿»è¯æ 主次设å¤å·, i èç¹å·, å äºä»¶å·(generation number). ) Wrl åç ‘ok’ å è¿æ¥ç å容.

å¨ç¬¬ä¸è¡, sushi è¯·æ± wrl å¨ ç®å½æ件 9,74/4096.6878 ä¸ æ¥æ¾ ‘xcolors’. 注æ æ°æ®ç æå°æ ¼å¼ åå³äº æä½ç±»å. æ ¼å¼ åºè¯¥ å¯ä»¥ èªæ说æ.

ç»åº -v (verbose) é项 å¯ä»¥ æ¾ç¤º éå ä¿¡æ¯. ä¾å¦:

sushi.1372a > wrl.nfs:
148 read fh 21,11/12.195 8192 bytes @ 24576
wrl.nfs > sushi.1372a:
reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v åæ¶ ä½¿å® æ¾ç¤º IP æ¥å¤´ç TTL, ID, å åçå, å¨ è¿ä¸ªä¾åé æå®ä»¬ çç¥äº.) å¨ç¬¬ä¸è¡, sushi è¯·æ± wrl ä» æ件 21,11/12.195 ç å移ä½ç½® 24576 å¼å§, 读å 8192 åè. Wrl åç ‘ok’; 第äºè¡ æ¾ç¤ºç æ¥æ æ¯ åºçç 第ä¸ä¸ª åç, å æ¤ åªæ 1472 åè (å¶ä½æ°æ® å¨ åç»ç åçä¸ ä¼ è¿æ¥, ä½ç±äº è¿äºåçé 没æ NFS çè³ UDP æ¥å¤´, å æ¤ æ ¹æ® æ使ç¨ç è¿æ»¤å¨è¡¨è¾¾å¼, æå¯è½ ä¸åæ¾ç¤º). -v é项 è¿ä¼ æ¾ç¤º ä¸äº æ件å±æ§ (å®ä»¬ ä½ä¸º æ件æ°æ® ç é带é¨å ä¼ åæ¥): æ件类å (æ®éæ件 ‘‘REG’’), ååæ¨¡å¼ (å«è¿å¶æ°), uid å gid, 以å æ件大å°.

å¦æåç»ä¸ä¸ª -v é项 (-vv), è¿è½ æ¾ç¤º æ´å¤çç»è.

注æ NFS è¯·æ± ç æ°æ®é é常大, é¤é å¢å  snaplen, å¦å å¾å¤ç»è æ æ³æ¾ç¤º. è¯ä¸è¯ ‘-s 192’ é项.

NFS åºçæ¥æ 没ææç¡® æ æ RPC æä½. å æ¤ tcpdump ä¿çæ ‘‘è¿æ¥ç’’ è¯·æ± è®°å½, æ ¹æ® äº¤äºå· å¹é åºçæ¥æ. å¦æ åºçæ¥æ 没æ ç¸åºç 请æ±æ¥æ, å® å°± æ æ³åæ.

KIP Appletalk (UDP ä¸ç DDP)

Appletalk DDP æ¥æ å°è£å¨ UDP æ°æ®æ¥ ä¸, 解åå æ DDP æ¥æ è½¬å¨ (ä¹å°±æ¯è¯´, å¿½ç¥ ææç UDP æ¥å¤´ ä¿¡æ¯). æ件 /etc/atalk.names ç¨æ¥ æ appletalk ç½ç»åèç¹å· ç¿»è¯æ åå. è¿ä¸ªæ件 ç è¡æ ¼å¼ æ¯

number name

1.254 ether
16.1 icsd-net
1.254.110 ace

åä¸¤è¡ ç»åºäº appletalk ç ç½ç»å称. 第ä¸è¡ ç»åº æä¸ªä¸»æº ç åå (主æºåç½ç» ä¾æ® 第ä¸ç» æ°å åºå - ç½ç»å· ä¸å® æ¯ ä¸¤ç»æ°å, 主æºå· ä¸å® æ¯ ä¸ç» æ°å.) å·ç  å åå ç¨ ç©ºç½ç¬¦(空格ætab) éå¼. /etc/atalk.names æ件 å¯ä»¥ åå« ç©ºè¡ æ 注éè¡(以‘#’å¼å§çè¡).

Appletalk å°å æ è¿ä¸ªæ ¼å¼ æ¾ç¤º

net.host.port

144.1.209.2 > icsd-net.112.220
office.2 > icsd-net.112.220
jssmag.149.235 > icsd-net.2

(å¦æ ä¸åå¨ /etc/atalk.names , æè éé¢ ç¼ºå° ææ项ç®, 就以 æ°åå½¢å¼ æ¾ç¤º å°å.) 第ä¸ä¸ªä¾åé, ç½ç» 144.1 ç 209 èç¹ç NBP (DDP ç«¯å£ 2) å ç½ç» icsd ç 112 èç¹ ç 220 ç«¯å£ åéæ°æ®. 第äºè¡ å ä¸é¢ ä¸æ ·, åªæ¯ ç¥éäº æºèç¹ ç å¨ç§° (‘office’). 第ä¸è¡ æ¯ä» ç½ç» jssmag ç 149 èç¹ ç 235 ç«¯å£ å icsd-net ç NBP ç«¯å£ å¹¿æ (注æ 广æå°å (255) éå«å¨ æ ä¸»æºå·ç ç½ç»åå ä¸ - æ以 å¨ /etc/atalk.names ä¸ åºå èç¹å å ç½ç»å æ¯ä¸ª 好主æ).

Tcpdump å¯ä»¥ ç¿»è¯ NBP (ååèç»åè®®) å ATP (Appletalk 交äºåè®®) ç æ¥æ å容. å¶ä»åè®® åªè½¬å¨ åè®®å称 (æå·ç , å¦æ è¿ æ²¡ç» è¿ä¸ªåè®® 注å å称) å æ¥æ大å°.

NBP æ¥æ ç è¾åºæ ¼å¼ 就象 ä¸é¢ç ä¾å:

icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186

第ä¸è¡ æ¯ ç½ç» icsd ç 112 ä¸»æº å¨ ç½ç» jssmag ä¸ç 广æ, 对 åå laserwriter å ååæ¥è¯¢è¯·æ±. ååæ¥è¯¢è¯·æ± ç nbp æ è¯å· æ¯ 190. 第äºè¡ æ¾ç¤ºçæ¯ å¯¹ è¿ä¸ªè¯·æ± ç åç (注æ å®ä»¬ æ åæ ·ç æ è¯å·), ä¸»æº jssmag.209 表示 å¨å®ç 250 ç«¯å£ æ³¨åäº ä¸ä¸ª laserwriter ç èµæº, ååæ¯ "RM1140". 第ä¸è¡ æ¯ è¿ä¸ªè¯·æ± ç å¶ä»åç, ä¸»æº techpit ç 186 ç«¯å£ æ laserwriter 注åç "techpit".

ATP æ¥æ æ ¼å¼ å¦ ä¸ä¾ æ示:

jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002

Jssmag.209 å ä¸»æº helios åèµ· 12266 å· äº¤äºæä½, è¯·æ± 8 个 æ¥æ(‘<0-7>’). è¡å°¾ç ååè¿å¶æ° æ¯ è¯·æ±ä¸ ‘userdata’ å ç å¼.

Helios ç¨ 8 个 512åè ç æ¥æ åºç. è·å¨ 交äºå· åé¢ç ‘:digit’ ç»åºäº 交äºè¿ç¨ä¸ æ¥æç åºåå·, æ¬å¼§åç æ°å æ¯ æ¥æç æ°æ®é, ä¸åæ¬ atp æ¥å¤´. æ¥æ 7 ç ‘*’ 表æ è®¾ç½®äº EOM ä½.

ç¶å Jssmag.209 è¯·æ± éä¼  第 3 & 5 æ¥æ. Helios åäº éä¼ å jssmag.209 ç»æ è¿æ¬¡ 交äºæä½. æå, jssmag.209 åèµ· ä¸ä¸æ¬¡ 交äºè¯·æ±. 请æ±ä¸ç ‘*’ 表æ 没æ 设置 XO (exactly once) ä½.

IP åç

åçç Internet æ°æ®æ¥ æ¾ç¤ºä¸º

(frag id:size@offset+)
(frag id:size@offset)

(第ä¸ç§ å½¢å¼ è¡¨æ è¿æ æ´å¤ç åç. 第äºç§ å½¢å¼ è¡¨æ è¿æ¯ æå ä¸ç.)

Id æ¯ åç æ è¯å·. Size æ¯ åç å¤§å° (åè), ä¸åæ¬ IP æ¥å¤´. Offset æ¯ è¯¥åç å¨ åæ°æ®æ¥ ä¸ ç å移 (åä½æ¯åè).

æ¯ä¸ä¸ª åç ç ä¿¡æ¯ é½å¯ä»¥ æå°åºæ¥. 第ä¸ä¸ª åç åå«äº é«å± åè®® æ¥å¤´, æ¾ç¤º åè®®ä¿¡æ¯ å æ¾ç¤º åç ç ä¿¡æ¯. 第ä¸ä¸ª åç 以åç åç ä¸å å«æ é«å±åè®® æ¥å¤´, æ以 å¨ æºç®å°å åé¢ åªæ¾ç¤º åç ä¿¡æ¯. ä¾å¦, ä¸é¢æ¯ ä» arizona.edu å° lbl-rtsg.arpa ç ä¸é¨å ftp ä¼ è¾, éç»ç CSNET çä¸å» å¤çä¸äº 576 åèç æ°æ®æ¥:

arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
arizona > rtsg: (frag 595a:204@328)
rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560

è¿é æå ç¹ éè¦æ³¨æ: é¦å, 第äºè¡ç å°å ä¸åæ¬ ç«¯å£å·. è¿æ¯å ä¸º TCP åè®® ä¿¡æ¯ å¨é¨ è£å°äº 第ä¸ä¸ª åçå, æ以 æ¾ç¤º åç»åçç æ¶å ä¸å¯è½ ç¥é ç«¯å£ æ æµåºå·. å¶æ¬¡, 第ä¸è¡ç tcp æµåºå·é¨å çä¸å»æ 308 åèç ç¨æ·æ°æ®, å®éä¸ æ¯ 512 åè (第ä¸ä¸ª åçç 308 å 第äºä¸ª åçç 204 åè). å¦æ ä½  æ£å¨ å¯»æ¾ æµåºå·ä¸ ç 空æ´, æè è¯å¾ å¹é æ¥æ ç 确认(ack), é£ä½ ä¸å½äº.

å¦æ æ¥æç IP æ æ ä¸è¦åç æ å¿, é£ä¹ å¨å°¾é¨ æ¾ç¤º (DF).

æ¶æ³

缺çæåµä¸, ææ è¾åºè¡ ç åé¢ é½æ æ¶æ³. æ¶æ³ å°±æ¯ å½åæ¶é´, æ¾ç¤ºæ ¼å¼ä¸º

hh:mm:ss.frac

精度 å åæ ¸æ¶é ä¸æ ·. æ¶æ³ åæ äº åæ ¸ æ¶å° æ¥æ ç æ¶é´. ä» ä»¥å¤ªæ¥å£ æ¶å° æ¥æ å° åæ ¸ ååº ’æ¥æ就绪’ ä¸æ æä¸ä¸ª æ»å, 该 æ»å ä¸è¢«èè.

å¦è§ (SEE ALSO)

traffic(1C), nit(4P), bpf(4), pcap(3)

ä½è (AUTHORS)

Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.

å½å çæ¬ å¯ä»¥ ä» å¿åftp è·å¾:

ftp://ftp.ee.lbl.gov/tcpdump.tar.Z

BUGS

请æ èè« æ¥å ä¼ å¾ tcpdump@ee.lbl.gov.

NIT ä¸å许 çè§ ä½ èªå·±ç ä¼ åºæ°æ®, BPF å¯ä»¥. æ们 建议 ä½  ä½¿ç¨ åè.

åºè¯¥ è¯ç éç» IP åç, è³å°å¯ä»¥ 为 æ´é«å±ç åè®® 计ç®åº æ£ç¡®ç é¿åº¦.

ååæå¡éåè¯¢é® è½¬å¨ç ä¸æ£ç¡®: æå°åº (空ç)é®é¢é¨å, èå®éä¸ è¯¢é® æ¾å¨äº åçé¨å. æ人 认为 è¿ç§ éåè¯¢é® æ¬èº«å°±æ¯ bug, åºè¯¥ ä¿®æ¹ äº§çé®é¢ ç ç¨åº, èé tcpdump.

è¹æ Ethertalk DDP ç æ¥æ åºè¯¥ 象 KIP DDP ç æ¥æ ä¸æ · 容æ 转å¨, äºå® å´ ä¸æ¯ è¿æ ·. å³ä½¿ æ们 ææ ä½ç¹ä»ä¹ æ¥ ä¿é Ethertalk (æ们没æ), LBL ä¹ä¸å许 Ethertalk åºç°å¨ å®ç ä»»ä½ç½ç»ä¸, æ以 æ们 没åæ³ æµè¯ è¿äºä»£ç .

å¦æ æ¥æç è·¯å¾ä¸ åºç° å¤æ¶å¶æ¶é´ åå, å¯è½ å¯¼è´ æ¶æ³ æ··ä¹±. (è¿ä¸ªæ¶é´ååå°å¿½ç¥)

æä½ FDDI æ¥å¤´ç è¿æ»¤å¨è¡¨è¾¾å¼ å设 ææç FDDI æ¥æ 被å°è£å¨ 以太æ¥æ ä¸. è¿å¯¹ IP, ARP å DECNET Phase IV æ çæ¯ æ£ç¡®ç, ä½å¯¹ æäº åè®® å¦ ISO CLNS ä¸æ£ç¡®. å æ¤, è¿æ»¤å¨ æå¯è½ä¼ ç³éç³æ¶ç ç æ¥æ¶ ä¸äº 并ä¸çæ£ å¹é è¿æ»¤å¨è¡¨è¾¾å¼ ç æ¥æ.

[ä¸æçç»´æ¤äºº]

å¾æ <xuming@users.sourceforge.net>

[ä¸æçææ°æ´æ°]

2003/05/13

ãä¸å½Linux论åmanæå页翻è¯è®¡åã

http://cmpp.linuxforum.net

è·

æ¬é¡µé¢ä¸æçç±ä¸æ man æå页计åæä¾ã
ä¸æ man æå页计åï¼https://github.com/man-pages-zh/manpages-zh