Tcpdump - லினக்ஸ் கட்டளை - யூனிக்ஸ் கட்டளை

பெயர்

tcpdump - ஒரு நெட்வொர்க்கில் டம்ப் போக்குவரத்து

சுருக்கம்

tcpdump [ -adeflnNOpqRStuvxX ] [ -c எண்ணிக்கை ]

[ -C file_size ] [ -F கோப்பு ]

[ -i இடைமுகம் ] [ -m தொகுதி ] [ -r கோப்பு ]

[ -பின்னர் ] [ -T வகை ] [ -U பயனர் ] [ -w கோப்பு ]

[ -E algo: இரகசிய ] [ வெளிப்பாடு ]

விளக்கம்

Tcpdump பூட்ஸின் வெளிப்பாட்டை பொருத்த ஒரு பிணைய இடைமுகத்தில் பாக்கெட்டுகளின் தலைப்புகளை அச்சிடுகிறது. இது -w கொடிடன் இயங்கக்கூடியது, இது பாக்கெட் தரவை பின்னர் பகுப்பாய்விற்கான ஒரு கோப்பில் சேமிக்கும், மற்றும் / அல்லது -ஆர் கொடிடன் சேமிக்கிறது, இது பாக்கெட்டுகளைப் படிக்க விட சேமிக்கப்பட்ட பாக்கெட் கோப்பில் இருந்து படிப்பதற்கு காரணமாகிறது பிணைய இடைமுகத்திலிருந்து. அனைத்து சந்தர்ப்பங்களிலும், tcpdump மூலம் வெளிப்பாடு பொருந்தும் பாக்கெட்டுகள் மட்டுமே செயல்படுத்தப்படும் .

-c கொடிடன் இயங்கவில்லையெனில் Tcpdump , பாக்கெட்டுகளை கைப்பற்றும் வரை தொடர்ந்து ஒரு SIGINT சமிக்ஞையால் குறுக்கீடு செய்யப்படும் (உதாரணமாக, உங்கள் குறுக்கீடு பாத்திரம், பொதுவாக கட்டுப்பாட்டு-சி) அல்லது ஒரு SIGTERM சமிக்ஞையை (பொதுவாக (1) கட்டளை); -c கொடிடன் இயங்கினால், அது SIGINT அல்லது SIGTERM சமிக்ஞையால் குறுக்கிடப்படும் வரை அல்லது பாக்கெட்டுகளின் குறிப்பிட்ட எண்ணிக்கையிலான செயல்முறைகள் செயல்படுத்தப்படும் வரை பாக்கெட்டுகளை கைப்பற்றும்.

பாக்கெட்டுகளை கைப்பற்றி tcpdump முடிந்ததும், அது பின்வரும் எண்ணிக்கையை அறிக்கையிடுகிறது:

பாக்கெட்டுகள் `` வடிகட்டி மூலம் பெறப்பட்டவை '' (இதன் அர்த்தம் நீங்கள் tcpdump இயங்கிக்கொண்டிருக்கும் OS இல் சார்ந்துள்ளது, மற்றும் OS கட்டமைக்கப்படும் வழியில் இருக்கலாம் - கட்டளை வரியில் ஒரு வடிப்பான் குறிப்பிட்டிருந்தால், சில OS இல் அது கணக்கிடுகிறது பாக்கெட்டுகள் வடிகட்டி வெளிப்பாடுடன் பொருந்தியிருந்ததா என்பதைப் பொருட்படுத்தாமல், மற்ற OS கள் மீது இது வடிகட்டி வெளிப்பாடுடன் பொருந்தப்பட்ட பாக்கெட்டுகளை மட்டுமே கணக்கிடுகிறது மற்றும் tcpdump ஆல் செயல்படுத்தப்பட்டது );

பாக்கெட்டுகள் `` கெர்னரால் கைவிடப்பட்டன`` (இது, பாஸ்போர்ட்டின் பற்றாக்குறையின் காரணமாக கைவிடப்பட்ட பாக்கெட்டுகளின் எண்ணிக்கை, OS இல் உள்ள பாக்கெட் கைப்பற்றும் இயங்குதளம், tcpdump இயங்கிக்கொண்டால், பயன்பாடுகளுக்கு தகவல் தெரிவித்தால்; இல்லையெனில், அது 0 என அறிக்கை செய்யப்படும்.

SIGINFO சமிக்ஞை போன்ற SIGINFO சமிக்ஞையை ஆதரிக்கும் தளங்களில், இது SIGINFO சமிக்ஞையை (உதாரணமாக, உங்கள் `` நிலை '' பாத்திரம், பொதுவாக கட்டுப்படுத்த-டி) தட்டச்சு செய்து, பாக்கெட்டுகளை கைப்பற்றி .

ஒரு நெட்வொர்க் இடைமுகத்திலிருந்து படித்தல் பத்திகள் உங்களுக்கு சிறப்பு சலுகைகள் தேவைப்படலாம்:

NIT அல்லது BPF உடன் SunOS 3.x அல்லது 4.x கீழ்:

நீங்கள் / dev / nit அல்லது / dev / bpf * ஐ அணுக வேண்டும்.

DLPI உடன் Solaris கீழ்:

நீங்கள் பிணைய போலி சூழலுக்கு படிக்க / எழுத அணுக வேண்டும், எ.கா. / dev / le . சோலாரிஸின் குறைந்தபட்ச பதிப்புகளில், tcpdump ப்ரெச்செக்டுவல் முறையில் கைப்பற்ற அனுமதிக்க போதுமானதாக இல்லை; Solaris இன் பதிப்பில், நீங்கள் வேர்வாக இருக்க வேண்டும், அல்லது tcpdump ஐ root செய்து நிறுவ வேண்டும், prommediuous முறையில் கைப்பற்ற வேண்டும். பல (ஒருவேளை அனைத்து) இடைமுகங்கள், நீங்கள் வேகமான முறையில் கைப்பற்றவில்லை எனில், வெளிச்செல்லும் பாக்கெட்டுகளை நீங்கள் பார்க்க மாட்டீர்கள், எனவே ப்ரெச்செச்சுவல் முறையில் செய்யப்படாத ஒரு பிடிப்பு மிகவும் பயனுள்ளதாக இருக்காது.

DLPI உடன் HP-UX கீழ்:

ரூட் அல்லது tcpdump ஐ root ஆக நிறுவ வேண்டும்.

IRIX இன் கீழ் ஸ்னூப் உடன்:

ரூட் அல்லது tcpdump ஐ root ஆக நிறுவ வேண்டும்.

லினக்ஸின் கீழ்:

ரூட் அல்லது tcpdump ஐ root ஆக நிறுவ வேண்டும்.

Ultrix மற்றும் டிஜிட்டல் யுனிக்ஸ் / Tru64 கீழ் UNIX:

எந்தவொரு பயனரும் tcpdump உடன் பிணைய போக்குவரத்தை கைப்பற்றலாம். இருப்பினும், சூப்பர்-பயனர் pfconfig (8) ஐப் பயன்படுத்தி அந்த இடைமுகத்தில் ப்ரெமஸ்கு -மோட் செயல்பாட்டை இயக்கியிருக்கவில்லை, பயனர் இல்லை (சூப்பர்-பயனர் கூட இல்லை) ) சூப்பர் பயனர் பயனர் இடைமுகத்தில் pfconfig ஐ பயன்படுத்தி அந்த இடைமுகத்தில் நகலெடுக்கும்-அனைத்து-செயல்பாட்டு செயல்பாட்டை இயக்கியிருக்காவிட்டால், ஒரு இடைமுகத்தில் கணினியால் பெறப்பட்ட அல்லது அனுப்பப்பட்ட ஒற்றை டிராஃபிக் டிராஃபிக்கைக் கைப்பற்ற முடியும், எனவே இடைமுகத்தில் பயனுள்ள பாக்கெட் பிடிப்புப் பிணையம் -முழு-முறை அறுவைச் செயல் அல்லது இரண்டு செயல்பாட்டு முறைகள், அந்த இடைமுகத்தில் செயல்படுத்தப்படும்.

BSD கீழ்:

நீங்கள் / dev / bpf * ஐ அணுக வேண்டும்.

சேமித்த பாக்கெட் கோப்பை படித்தல் சிறப்பு சலுகைகள் தேவையில்லை.

விருப்பங்கள்

-a

நெட்வொர்க் மற்றும் ஒளிபரப்பு முகவரிகள் பெயர்களை மாற்றுவதற்கான முயற்சி.

-c

எண்ணிக்கை பாக்கெட்டுகளைப் பெற்ற பிறகு வெளியேறு.

-C

ஒரு சேப்பல் பாக்கெட் ஒரு சேப்பல்ஃபைல் எழுதும் முன், கோப்பு file_size ஐ விட பெரிதாக இருக்கிறதா என சரிபார்க்கவும் , இல்லையெனில், தற்போதைய savefile ஐ மூடிவிட்டு புதிய ஒன்றைத் திறக்கவும். முதல் சேமிப்பகத்திற்குப் பிறகு Savefiles -w கொடிடன் குறிப்பிடப்பட்டிருக்கும் பெயரைக் கொண்டிருக்கும், அதன் பிறகு ஒரு எண்ணுடன், 2 இல் தொடங்கி மேலே தொடரும். File_size அலகுகள் மில்லியன் கணக்கான பைட்டுகள் (1,000,000 பைட்டுகள், 1,048,576 பைட்டுகள் அல்ல).

-d

தொகுக்கப்பட்ட பாக்கெட்-பொருந்தும் குறியீட்டை ஒரு மனித படிக்கக்கூடிய படிவத்தில் தரநிலை வெளியீட்டிற்காகவும் நிறுத்தவும்.

-DD

பேக்கேஜிங்-குறியீட்டு குறியீட்டை C நிரல் துண்டுகளாக நிரப்பவும்.

-ddd

பாக்கெட்-பொருந்தும் குறியீட்டை தசம எண்களாக (ஒரு கணக்கோடு முன்னர்) நிரப்பவும்.

-e

ஒவ்வொரு டம்ப் வரிசையிலும் இணைப்பை நிலை தலைப்பு அச்சிட.

-E

Algo ஐப் பயன்படுத்தவும் : IPsec ESP பாக்கெட்டுகளை டிக்ரிப்டிங் செய்ய இரகசியம் . அல்காரிதம்கள் டெஸ்- cbc , 3des -cbc , டிராபி-சிபிசி , rc3-cbc , cast128-cbc , அல்லது எதுவாக இருக்கலாம் . முன்னிருப்பு des-cbc ஆகும் . Tcpdump குறியாக்கப்பட இயலுமைப்படுத்தப்பட்டால் packets ஐ கையாளும் திறன் மட்டுமே உள்ளது. ESP ரகசிய விசைக்கான ASCII உரை இரகசியம். இந்த நேரத்தில் எவ்வளவேனும் பைனரி மதிப்பை எடுக்க முடியாது. விருப்பம் RFC2406 ESP, RFC1827 ESP அல்ல. விருப்பத்தை பிழைத்திருத்த நோக்கங்களுக்காக மட்டுமே, மற்றும் இந்த விருப்பத்தை உண்மையிலேயே `இரகசிய 'விசைடன் பயன்படுத்துவது ஊக்கமளிக்கிறது. கட்டளை வரிக்கு IPsec இரகசிய விசையை வழங்குவதன் மூலம் நீங்கள் மற்றவர்களுக்கு ( ps) (1) மற்றும் பிற சந்தர்ப்பங்கள் வழியாக மற்றவர்களுக்கும் தெரியும்.

-f

வெளிநாட்டு 'இணைய முகவரிகள் குறியீட்டு ரீதியில் குறியீட்டு ரீதியாக (இந்த விருப்பம், சூரியனின் yp சேவையகத்தில் தீவிர மூளை சேதத்தைச் சுற்றி வருவதற்கான நோக்கமாகக் கொண்டது --- வழக்கமாக அது உள்ளூர் இணைய எண்களை மொழிபெயர்த்தது).

-F

வடிப்பான் வெளிப்பாட்டிற்கான உள்ளீட்டாக கோப்புகளைப் பயன்படுத்தவும். கட்டளை வரியில் கொடுக்கப்பட்ட கூடுதல் வெளிப்பாடு புறக்கணிக்கப்படுகிறது.

-நான்

இடைமுகத்தில் கேள். குறிப்பிடப்படவில்லை என்றால், tcpdump கணினி எண்ணின் பட்டியலை குறைந்த எண்ணிக்கையில், கட்டமைக்கப்பட்ட இடைமுகம் (லூப்பேக் தவிர்த்து) தேடுகிறது. முந்தைய போட்டியை தேர்வு செய்வதன் மூலம் உறவுகள் முறிந்துபோகும்.

2.2 அல்லது அதற்கு மேற்பட்ட கர்னல்கள் கொண்ட லினக்ஸ் கணினிகளில், "ஏதேனும்" ஒரு இடைமுக வாதம் அனைத்து இடைமுகங்களிலிருந்து பாக்கெட்டுகளை கைப்பற்ற பயன்படுத்தப்படலாம். "எந்த '' சாதனத்திலும் கைப்பற்றப்பட்டவை செயலற்ற முறையில் செய்யப்படாது என்பதை நினைவில் கொள்க.

-l

ஸ்டௌட் வரி தடைசெய்யப்பட்டது. தரவு கைப்பற்றும் போது நீங்கள் அதை பார்க்க விரும்பினால் பயனுள்ள. எ.கா.,
`` tcpdump -l | டீ 'அல்லது `` tcpdump -l> அது & வால்- t' '.

-m

கோப்பு தொகுதி இருந்து SMI MIB தொகுதி வரையறைகள் ஏற்ற. Tcpdump இல் பல MIB தொகுதிகளை ஏற்றுவதற்கு இந்த விருப்பத்தை பல முறை பயன்படுத்தலாம்.

-n

புரவலன் முகவரிகளை பெயர்களுக்கு மாற்ற வேண்டாம். DNS lookups ஐ தவிர்க்க இதை பயன்படுத்தலாம்.

-nn

நெறிமுறை மற்றும் போர்ட் எண்களை முதலியன பெயர்களுக்கு மாற்றாதீர்கள்.

-N

புரவலன் பெயர்கள் டொமைன் பெயர் தகுதி அச்சிட வேண்டாம். ஆம், நீங்கள் இந்த கொடியைக் கொடுத்தால், tcpdump `` nic.ddn.mil '' க்கு பதிலாக `` நிக் '' அச்சிடுவோம்.

-O

பாக்கெட்-பொருந்தும் குறியீட்டு ஒருங்கிணைப்பாளரை இயக்க வேண்டாம். Optimizer இல் ஒரு பிழை இருப்பதை நீங்கள் சந்தேகித்தால் மட்டுமே இது பயனுள்ளதாக இருக்கும்.

-p

இடைமுகத்தை வேகமான முறையில் மாற்றாதே . வேறு சில காரணங்களுக்காக இடைமுகமானது வேகமான முறையில் இருக்கலாம் என்பதை நினைவில் கொள்ளவும்; எனவே, 'ஈ' என்பது 'ஈத்தர் ஹோஸ்ட் {local-hw-addr} அல்லது ஈத்தர் ஒளிபரப்புக்கான சுருக்கமாகப் பயன்படுத்தப்பட முடியாது.

-q

விரைவு (அமைதியான?) வெளியீடு. குறைவான நெறிமுறை தகவலை அச்சிடுதல் வரிகளை குறைவாக இருக்கும்.

-R

ESP / AH பாக்கெட்டுகளை பழைய விவரக்குறிப்பு (RFC1825 க்கு RFC1829) அடிப்படையாகக் கொள்ள வேண்டும். குறிப்பிடப்பட்டால், tcpdump மறுஅளவை தடுப்பு புலத்தை அச்சிடாது. ESP / AH விவரக்குறிப்பில் எந்த நெறிமுறை பதிப்பு களமும் இல்லை என்பதால், tcpdump ESP / AH நெறிமுறையின் பதிப்பை தரமுடியாது .

-r

கோப்பிலிருந்து பாக்கெட்டுகளைப் படிக்கவும் (-w விருப்பத்துடன் உருவாக்கப்பட்டவை). கோப்பு `` - '' என்றால் நிலையான உள்ளீடு பயன்படுத்தப்படுகிறது.

-S

TCP வரிசை எண் எண்களைக் காட்டிலும் முழுமையானது அச்சிட.

-s

68 இன் இயல்புநிலைக்கு ( சானோசின் NIT உடன், குறைந்த பட்சம் 96 ஆகும்) ஒவ்வொரு பாக்கெட்டிலிருந்து தரப்பட்ட Snarf snaplen பைட்டுகள். ஐபி, ஐசிஎம்பி, TCP மற்றும் UDP க்கு 68 பைட்டுகள் போதுமானதாக உள்ளன, ஆனால் பெயர் சேவையகம் மற்றும் NFS பாக்கெட்டுகளிலிருந்து நெறிமுறை தகவலை (கீழே காண்க) துண்டிக்கக்கூடும். வெளியீட்டில் ஒரு குறிப்பிட்ட ஸ்னாப்ஷாட்டின் காரணமாக பாக்கெட்டுகள் சுருக்கப்பட்டன. `| [ புரோட்டோ ] '', இதில் புரோட்டோகால் நிலை என்னவென்றால், புரோட்டோகால் நிலை ஏற்பட்டது. பெரிய ஸ்னாப்ஷாட்களை எடுத்துக்கொள்வது பாக்கெட்டுகளைச் செயல்படுத்த எடுக்கும் நேரத்தை அதிகரிக்கிறது மற்றும் திறம்பட, பாக்கெட் பற்றாக்குறையின் அளவு குறைகிறது என்பதை நினைவில் கொள்க. இது பாக்கெட்டுகளை இழக்க நேரிடும். நீங்கள் விரும்பும் நெறிமுறை தகவலை கைப்பற்றும் மிகச் சிறிய எண்ணிக்கையிலான ஸ்னாபின்னை நீங்கள் குறைக்க வேண்டும். Snaplen 0 ஆல் அமைப்பதன் மூலம் மொத்த பாக்கெட்டுகளை பிடிக்க தேவையான நீளத்தை பயன்படுத்துங்கள்.

-T

" எக்ஸ்பிரஷன் " மூலம் தேர்ந்தெடுக்கப்பட்ட படைப்புகள் குறிப்பிட்ட வகைக்கு விளக்கம் அளிக்கும். தற்போது அறியப்பட்ட வகைகள் cnfp (சிஸ்கோ நெட்ஃப்லொ நெறிமுறை), rpc (ரிமோட் ப்ரெசச்சர் கால்), rtp (ரியல்-டைம் அப்ளிகேஷன்ஸ் நெறிமுறை), rtcp (ரியல்-டைம் அப்ளிகேஷன்ஸ் கண்ட்ரோல் புரோட்டோகால்), snmp (எளிய பிணைய மேலாண்மை நெறிமுறை), வாட் (விஷுவல் ஆடியோ கருவி ), மற்றும் WB (பகிர்ந்த வெள்ளை வாரியம்).

-t

ஒவ்வொரு டம்ப் வரிசையிலும் ஒரு நேர முத்திரையை அச்சிட வேண்டாம் .

-tt

ஒவ்வொரு டம்ப் வரிசையிலும் ஒரு வடிவமைக்கப்படாத நேர முத்திரையை அச்சிடுக.

-U

பயனரின் முதன்மை குழுக்கு பயனர் மற்றும் குழு ஐடிக்கு ரூட் சலுகைகள் மற்றும் பயனர் ஐடி மாற்றுகிறது.

குறிப்பு! வேறு எதுவும் குறிப்பிடப்படவில்லை என்றால், Red Hat Linux தானாகவே பயனர் "pcap" க்கான சலுகைகளை விடுகிறது.

-ttt

ஒவ்வொரு டம்ப் வரிசையிலும் தற்போதைய மற்றும் முந்தைய வரிக்கு இடையில் ஒரு டெல்டா (மைக்ரோ-நொடிகளில்) அச்சிட.

-tttt

ஒவ்வொரு டம்ப் வரிசையிலும் தேதியிட்ட முறையான வடிவத்தில் ஒரு நேர முத்திரையை அச்சிடலாம்.

-u

Undecoded NFS கைப்பிடிகள் அச்சிடு.

-v

(சற்று அதிகமான) வினைச்சொல் வெளியீடு. உதாரணமாக, ஒரு ஐபி பாக்கெட்டில் வாழ நேர, அடையாளம் காணல், மொத்த நீளம் மற்றும் விருப்பம் அச்சிடப்படும். ஐபி மற்றும் ICMP தலைப்பு சரிபார்ப்புகளை சரிபார்க்கும் கூடுதல் பாக்கெட் ஒருங்கிணைந்த காசோலைகளை செயல்படுத்துகிறது.

-வி வி

இன்னும் விர்பாஸ் வெளியீடு. எடுத்துக்காட்டாக, கூடுதல் புலங்கள் NFS பதில் தொகுப்புகளிலிருந்து அச்சிடப்படுகின்றன, SMB பாக்கெட்டுகள் முழுமையாக நீக்கப்படும்.

-vvv

இன்னும் விர்பாஸ் வெளியீடு. எடுத்துக்காட்டாக, telnet SB ... SE விருப்பங்களை முழுமையாக அச்சிடப்படும். எக்ஸ் டெல்நெட் விருப்பங்கள் ஹெக்சிலும் அச்சிடப்படுகின்றன.

-w

மூல பேக்கட்களை பாகுபடுத்தி மற்றும் அவற்றை அச்சிடுவதற்கு பதிலாக கோப்பில் எழுதவும். அவர்கள் பின்னர் -r விருப்பத்துடன் அச்சிடப்படலாம். கோப்பு `` - '' என்றால் தரநிலை வெளியீடு பயன்படுத்தப்படுகிறது.

-எக்ஸ்

ஒவ்வொரு பாக்கெட்டுக்கும் (மினுஸின் இணைப்பு நிலை தலைப்பு) ஹெக்சில் அச்சிடலாம். மொத்த பேக்கெட் அல்லது snaplen பைட்டுகள் சிறியதாக அச்சிடப்படும். இது முழு இணைப்பு லேயர் பாக்கெட் ஆகும், எனவே இணைப்பு அடுக்குகள் (எ.கா. ஈத்தர்நெட்), அதிக லேயர் பாக்கெட் தேவையான திணிப்புக்கு குறைவாக இருக்கும் போது திணிப்பு பைட்டுகள் அச்சிடப்படும்.

-எக்ஸ்

ஹெக்ஸ் அச்சிடும் போது, ​​அச்சு அசிசி கூட. இவ்வாறு -x கூட அமைக்கப்பட்டிருந்தால், பாக்கெட் ஹெக்ஸ் / அசோகியில் அச்சிடப்படுகிறது. புதிய நெறிமுறைகளை பகுப்பாய்வு செய்ய இது மிகவும் எளிது. -x கூட அமைக்கப்படவில்லை என்றால், சில பாக்கெட்டுகளின் சில பகுதிகளை ஹெக்ஸ் / அசிசியில் அச்சிடலாம்.

வெளிப்பாடு

பாக்கெட்டுகள் எரிக்கப்படுவதைத் தேர்ந்தெடுக்கிறது. வெளிப்பாடு இல்லை என்றால், நிகர அனைத்து பாக்கெட்டுகள் திணிப்பு. இல்லையெனில், வெளிப்பாடு என்பது உண்மைதான், இது மட்டுமே பாக்கெட்டுகள் நிராகரிக்கப்படும்.

வெளிப்பாடு ஒன்று அல்லது அதற்கு மேற்பட்ட மூலப்பொருள்களை கொண்டுள்ளது. ப்ரிமிட்டீஸ் பொதுவாக ஒரு ஐடி (பெயர் அல்லது எண்) ஒன்று அல்லது அதற்கு மேற்பட்ட தகுதிகளால் முன்வைக்கப்படுகிறது. மூன்று வேறுபட்ட தகுதிகள் உள்ளன:

வகை

தகுதி வாய்ந்தவர்கள் ஐடி பெயர் அல்லது எண் குறிப்பிடும் விஷயம் என்னவென்றால். சாத்தியமான வகைகள் ஹோஸ்ட் , நிகர மற்றும் போர்ட் ஆகும் . ஆம், `ஹோஸ்ட் ஃபூ ',` நிகர 128.3', `போர்ட் 20 '. எந்த வகை தகுதியும் இல்லை என்றால், ஹோஸ்ட் கருதப்படுகிறது.

இய

தகுதிகள் ஒரு குறிப்பிட்ட இடமாற்ற திசையை மற்றும் / அல்லது அடையாளத்திலிருந்து குறிப்பிடுகின்றன. சாத்தியமான திசைகள் src , dst , src அல்லது dst மற்றும் src மற்றும் dst ஆகும் . எ.கா, `src foo ',` dst net 128.3', `src அல்லது dst port ftp-data '. டி.ஆர்.ஜி. தகுதி இல்லை என்றால், src அல்லது dst என்பது கருதப்படுகிறது. 'பூஜ்ய' இணைப்பு அடுக்குகளுக்கு (அதாவது ஸ்லிப் போன்ற நெறிமுறைகளை சுட்டிக்காட்டுதல்) உள்வரும் மற்றும் வெளிச்செல்லும் தகுதிகள் விரும்பிய திசையை குறிப்பிடுவதற்கு பயன்படுத்தப்படலாம்.

புரோட்டோ

தகுதி ஒரு குறிப்பிட்ட நெறிமுறைக்கு போட்டியை கட்டுப்படுத்துகிறது. சாத்தியமான புரோட்டோக்கள்: ஈத்தர் , எஃப்.டிடி , டி , ஐபி , ஐபி 6 , ஆர்ப் , ரார்ப் , டென்செட் , டிசிபி மற்றும் உட் . எ.கா., `ஈதர் எஸ்.ஆர்.சி. ஃபூ ',' ஆர்ப் நிகர 128.3 ',` டிசிபி போர்ட் 21'. எந்த முன்மாதிரி தகுதியும் இல்லை என்றால், வகையுடன் பொருந்தும் எல்லா நெறிமுறைகளும் ஏற்றுக்கொள்ளப்படுகின்றன. எ.கா, `src foo 'என்றால்` ip (அல்லது arp அல்லது rarp) src foo' (பிந்தையது சட்டத் தொடரானது தவிர), `net bar 'என்பது` (ip அல்லது arp அல்லது rarp) net bar' மற்றும் `port 53 ' `(TCP அல்லது UDP) போர்ட் 53 '.

[`fddi 'உண்மையில்' ஈத்தர் 'க்கு ஒரு மாற்று ஆகும்; குறிப்பிட்ட பாக்ஸ் இடைமுகத்தில் பயன்படுத்தப்படும் தரவு இணைப்பு அளவைக் குறிக்கிறது. "FDDI தலைப்புகள் ஈதர்நெட் போன்ற மூல மற்றும் இலக்கு முகவரிகளை கொண்டிருக்கின்றன, மேலும் பெரும்பாலும் ஈத்தர்நெட் போன்ற பாக்கெட் வகைகளை கொண்டிருக்கின்றன, எனவே நீங்கள் இந்த FDDI களங்களில் வடிகட்டலாம் இதேபோல் ஈத்தர்நெட் துறைகள் போலவே. FDDI தலைப்புகள் மற்ற துறைகளையும் கொண்டிருக்கின்றன, ஆனால் அவற்றை வடிப்பான் வெளிப்பாட்டில் வெளிப்படையாக குறிப்பிட முடியாது.

இதேபோல், `ஆல் 'என்பது' ஈத்தர் 'க்கு ஒரு மாற்று ஆகும்; FDDI தலைப்புகள் பற்றிய முந்தைய பத்தியின் அறிக்கைகள் டோக்கென் ரிங் தலைப்புகளுக்கு பொருந்தும்.]

மேல்புறத்தில் கூடுதலாக, சில சிறப்பு "பழமையான" சொற்கள் பின்வருமாறு பின்பற்றவில்லை: நுழைவாயில் , ஒளிபரப்பு , குறைவான , அதிகமான மற்றும் எண்கணித வெளிப்பாடுகள். இவை அனைத்தும் கீழே விவரிக்கப்பட்டுள்ளன.

மிகவும் சிக்கலான வடிகட்டி வெளிப்பாடுகள் வார்த்தைகள் பயன்படுத்தி, அல்லது primitives இணைக்க முடியாது . எ.கா., `ஹோஸ்ட் ஃபூ மற்றும் போர்ட் ஃபோர்ட் அல்ல, போர்ட் ஃபாட்ப்-டேட்டா '. தட்டச்சுகளை சேமிக்க, ஒத்த தகுதி பட்டியல்கள் நீக்கப்படலாம். Eg, `tcp dst போர்ட் ftp அல்லது ftp-data அல்லது டொமைன் 'என்பது tcp dst port ftp அல்லது tcp dst port ftp-data அல்லது tcp dst port களம்.

அனுமதி மூலங்கள்:

dst host host

பாக்கெட் இன் IPv4 / v6 இலக்கு துறை ஹோஸ்ட் என்றால் , இது ஒரு முகவரி அல்லது பெயர்.

src ஹோஸ்ட் புரவலன்

பாக்கெட் இன் IPv4 / V6 ஆதார புலம் ஹோஸ்ட் என்றால் உண்மை.

ஹோஸ்ட் புரவலன்

IPv4 / V6 ஆதாரம் அல்லது பாக்கெட் இலக்கு என்றால் ஹோஸ்ட் ஆகும் . மேலே உள்ள ஹோஸ்ட் வெளிப்பாடுகள் எந்தவொரு முக்கிய வார்த்தைகளாலும், ஐபி , ஆர்ப் , ரார்ப் அல்லது ஐபி 6 ஆகியவற்றோடு முன்னுரிமை அளிக்கப்படும்:

ip host host

இது சமமானதாகும்:

ether proto \ ip மற்றும் host host

புரவலன் என்பது பல ஐபி முகவரிகள் கொண்ட ஒரு பெயராக இருந்தால், ஒவ்வொரு முகவரியும் ஒரு போட்டிக்காக சோதிக்கப்படும்.

ஈத்தர் dst ehost

ஈத்தர்நெட் இலக்கு முகவரி ehost என்றால் உண்மை. Ehost / etc / ethers அல்லது ஒரு எண் (எண் வடிவத்திற்கு ஈத்தர் (3N) பார்க்கவும்.

ஈத்தர் எஸ்ஆர்சி எஹோஸ்ட்

ஈத்தர்நெட் மூல முகவரி ehost என்றால் உண்மை.

ஈத்தர் ஹோஸ்ட் எஹோஸ்ட்

ஈத்தர்நெட் மூல அல்லது இலக்கு முகவரி ஏதோ என்றால் உண்மை.

நுழைவாயில் புரவலன்

பாக்கெட் ஹோஸ்டை ஒரு வாயிலாக பயன்படுத்தினால் உண்மை. அதாவது, ஈத்தர்நெட் மூல அல்லது இலக்கு முகவரி புரவலன் ஆனால் ஐபி ஆதாரம் அல்லது ஐபி இலக்கு ஹோஸ்ட் இல்லை . புரவலன் ஒரு பெயராக இருக்க வேண்டும் மற்றும் கணினியின் புரவலன்-பெயர்-ஐ-ஐபி-முகவரி தீர்மான வழிமுறைகள் (புரவலன் பெயர் கோப்பை, DNS, NIS, முதலியன) மற்றும் இயந்திரத்தின் ஹோஸ்ட்-பெயர்-க்கு-ஈத்தர்நெட் முகவரி நுட்பம் (/ etc / ethers, முதலியன). (சமமான வெளிப்பாடு

ஈத்தர் ஹோஸ்ட் ehost மற்றும் புரவலன் புரவலன் இல்லை

இது host / ehost க்கான பெயர்கள் அல்லது எண்களைப் பயன்படுத்தலாம்.) இந்த இலக்கணத்தை இந்த நேரத்தில் IPv6 செயல்படுத்தப்பட்ட உள்ளமைவில் வேலை செய்யாது.

dst net net

பாக்கட்டின் IPv4 / V6 இலக்கு முகவரி நிகர வலைப்பின்னல் எண் இருந்தால் உண்மை. நிகர இருக்கலாம் / etc / நெட்வொர்க்குகள் அல்லது ஒரு நெட்வொர்க் எண் ஒரு பெயர் ( நெட்வொர்க்குகள் (4) விவரங்களுக்கு).

src நிகர நிகர

பாக்கட்டின் IPv4 / V6 மூல முகவரி நிகர வலைப்பின்னல் எண் இருந்தால் உண்மை.

நிகர நிகர

பாக்கட்டின் IPv4 / V6 மூல அல்லது இலக்கு முகவரி ஒன்று நெட் நெட்வொர்க் எண் இருந்தால் உண்மை.

நிகர நிகர முகமூடி நெட்மாஸ்க்

IP முகவரி குறிப்பிட்ட நெட்மாஸ்க் உடன் நிகரமாக பொருந்தும் என்றால் உண்மை. Src அல்லது dst உடன் தகுதிபெறலாம். IPv6 நிகரத்திற்கான இந்த தொடரியல் செல்லுபடியாகாதது என்பதை நினைவில் கொள்ளவும்.

நிகர நிகர / லென்

IPv4 / v6 முகவரி நிகரமாக்க லென் பிட்கள் பரவலாக நிகரமாக பொருந்தும் என்றால் உண்மை. Src அல்லது dst உடன் தகுதிபெறலாம்.

dst துறைமுக துறை

பாக்கெட் ip / tcp, ip / udp, ip6 / tcp அல்லது ip6 / udp என்பது உண்மை என்றால் துறைமுகத்தின் இலக்கு துறைமுக மதிப்பு உள்ளது. துறைமுகமானது / etc / services இல் பயன்படுத்தப்படும் எண் அல்லது பெயர் ( tcp (4P) மற்றும் udp (4P) இல் காணலாம். ஒரு பெயர் பயன்படுத்தப்பட்டால், போர்ட் எண் மற்றும் நெறிமுறை இரண்டும் சோதிக்கப்படும். எண் அல்லது தெளிவற்ற பெயரைப் பயன்படுத்தினால், போர்ட் எண் மட்டுமே சோதிக்கப்படும் (எ.கா., டி.டி. துறை 513 , டி.சி.பி. / உள்நுழைவு போக்குவரத்து மற்றும் udp / டிராப் யார், மற்றும் போர்ட் டொமைன் இரண்டு டிசிபி / டொமைன் மற்றும் udp / டொமைன் டிராஃபிக்கை அச்சிடும்) அச்சிடப்படும்.

src துறைமுக துறை

பாக்கெட் துறைமுகத்தின் மூல துறைமுக மதிப்பு இருந்தால் உண்மை.

துறைமுக துறைமுகம்

பாக்கின் மூல அல்லது இலக்கு துறைமுகமானது துறைமுகமாக இருந்தால் உண்மை. மேற்கூறிய துறைமுக வெளிப்பாடுகள் எந்தவொரு முக்கிய வார்த்தைகளாலும், tcp அல்லது udp யுடன் முன்னெடுக்கப்படலாம்:

tcp src துறைமுக துறை

இது Tcp packets உடையது, அதன் மூல துறைமுகம் போர்ட் ஆகும்.

குறைந்த நீளம்

பாக்கெட் ஒரு நீளம் குறைவாக இருந்தால் அல்லது நீளம் சமமாக இருந்தால் உண்மை. இது சமமானதாகும்:

len <= நீளம் .

அதிக நீளம்

பாக்கெட் ஒரு நீளத்தை விட நீளம் அல்லது சமமாக இருந்தால் உண்மை. இது சமமானதாகும்:

len> = நீளம் .

ஐ.பி. புரோட்டோகால் நெறிமுறை

பாக்கெட் ஒரு IP பாக்கெட் என்றால் உண்மை ( IP (4P) பார்க்கவும் நெறிமுறை வகை நெறிமுறை . நெறிமுறை iMmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp அல்லது tcp பெயர்களில் ஒரு எண் அல்லது ஒன்றாகும். அடையாளங்காட்டிகள் tcp , udp மற்றும் icmp ஆகியவையும் முக்கிய சொற்களாகும் மற்றும் C- ஷெல் இல் உள்ள \\ backslash (\) வழியாக தப்பிவிட வேண்டும். இந்த பழமையான நெறிமுறை தலைப்பு சங்கிலியை துரத்துவதில்லை என்பதை நினைவில் கொள்க.

ip6 proto நெறிமுறை

பாக்கெட் நெறிமுறை வகை நெறிமுறையின் IPv6 பாக்கெட் என்றால் உண்மை. இந்த பழமையான நெறிமுறை தலைப்பு சங்கிலியை துரத்துவதில்லை என்பதை நினைவில் கொள்க.

ip6 protochain நெறிமுறை

பாக்கெட் IPv6 பாக்கெட் என்றால், அதன் நெறிமுறை தலைப்பு சங்கிலியில் வகை நெறிமுறைகளுடன் நெறிமுறை தலைப்பு உள்ளது. உதாரணத்திற்கு,

ip6 புரோட்டோசான் 6

நெறிமுறை தலைப்பு சங்கிலியில் TCP நெறிமுறை தலைப்புடன் எந்த IPv6 பாக்கெட்டுடன் பொருந்துகிறது. பாக்கெட், எடுத்துக்காட்டாக, அங்கீகார தலைப்பு, ரூட்டிங் தலைப்பு, அல்லது ஹாப்- by- ஹாப் விருப்பத்தை தலைப்பு, IPv6 தலைப்பு மற்றும் TCP தலைப்பு இடையே இருக்கலாம். இந்த பழங்காலத்தினால் வெளியிடப்படும் BPF குறியீடு சிக்கலானது மற்றும் tppdump இல் BPF உகப்பாசரின் குறியீட்டை உகந்ததாக்க முடியாது, எனவே இது மெதுவாக இருக்கலாம்.

ஐ.பி. புரோட்டான் நெறிமுறை

IP6 protochain நெறிமுறைக்கு சமமானதாகும், ஆனால் இது IPv4 க்கு ஆகும்.

ஈத்தர் ஒளிபரப்பு

பேக்கெட் ஒரு ஈத்தர்நெட் ஒளிபரப்பு பாக்கெட் என்றால் உண்மை. ஈத்தர் சொல் விருப்பமானது.

ஐபி ஒளிபரப்பு

பாக்கெட் ஒரு ஐபி ஒளிபரப்பு பாக்கெட் என்றால் உண்மை. இது அனைத்து சுழற்சிகளையும் மற்றும் அனைத்து ஒளிபரப்பு மாநாடுகளையும் சரிபார்க்கிறது, மேலும் உள்ளூர் சப்நெட் முகமூடியைப் பார்க்கிறது.

ஈத்தர் மல்டிக்ட்

பேக்கெட் ஒரு ஈத்தர்நெட் மல்டிக்ட் பாக்கெட் என்றால் உண்மை. ஈத்தர் சொல் விருப்பமானது. இது ஈத்தர் [0] & 1! = 0 'சுருக்கமாக உள்ளது.

IP மல்டிக்ட்

பாக்கெட் என்பது ஒரு IP பல்ப் பாக்கெட் என்றால் உண்மை.

ip6 மல்டிக்ட்

பாக்கெட் ஒரு IPv6 மல்டிகாஸ்ட் பாக்கெட் என்றால் உண்மை.

ஈத்தர் புரோட்டோகால்

பாக்கெட் என்பது ஈத்தர் வகை நெறிமுறை இருந்தால் உண்மை. நெறிமுறை IP , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , அல்லது netbeui பெயர்களில் ஒன்று அல்லது ஒன்று . இந்த அடையாளங்காட்டிகளும் குறிச்சொற்கள் மற்றும் பின்சாய்வு (\) வழியாக தப்பித்துக்கொள்ள வேண்டும் என்பதை நினைவில் கொள்க.

இந்த நெறிமுறைகளின் பெரும்பகுதிக்கு [FDDI (எ.கா., ` fddi நெறிமுறை arp ') மற்றும் டோக்கன் ரிங் (எ.கா.,` ட்ரோ நெறிமுறை arp ') ஆகியவற்றில், நெறிமுறை அடையாளமானது 802.2 லாஜிக்கல் லிங்க் கண்ட்ரோல் (LLC) தலைப்பு, பொதுவாக FDDI அல்லது டோக்கன் ரிங் தலைப்பு மேல் அடுக்கு.

FDDI அல்லது டோக்கன் ரிங் மீது அதிக நெறிமுறை அடையாளங்காட்டிகளை வடிகட்டுகையில், tcpdump SNAP வடிவமைப்பில் ஒரு எல்.எல்.டி. தலைவரின் நெறிமுறை ID களத்தை 0x000000 இன் ஒருங்கிணைந்த யூனிட் அடையாளங்காட்டி (OUI) உடன் இணைக்கப்பட்டுள்ள ஈத்தர்நெட், சரிபார்க்கிறது; அது பாக்கெட் 0x000000 ஒரு OUI உடன் SNAP வடிவமைப்பில் உள்ளதா எனச் சரிபார்க்கவில்லை.

விதிவிலக்குகள் ISo ஆகும் , இது DSAP (இலக்கு சேவை அணுகல் புள்ளி) மற்றும் எல்.எல்.சின் தலைமையிடமான எஸ்.எஸ்.ஏ.ஏ. (மூல சேவை அணுகல் புள்ளி) துறைகள், எல்.எல்.டி. தலைப்பின் DSAP மற்றும் ஆல்கால் 0x080007 மற்றும் Appletalk etype இன் ஒரு OUI உடன் SNAP- வடிவமைப்பு பாக்கெட் பரிசோதிக்கிறது.

ஈத்தர்நெட் வழக்கில், tcpdump பெரும்பாலான நெறிமுறைகளில் ஈத்தர்நெட் வகை புலத்தை சரிபார்க்கிறது; விதிவிலக்குகள் iso , sap மற்றும் netbeui ஆகும் , இது ஒரு 802.3 சட்டத்திற்கான சரிபார்க்கிறது மற்றும் எல்.டி.டி.டி. மற்றும் டோக்கன் ரிங், அட்லாக் ஆகியவற்றிற்கு எல்.எல்.டி. ஹெட்சரை சரிபார்க்கிறது. FDDI மற்றும் டோக்கன் ரிங், ஆர்ப் ஆகியவற்றிற்கான SNAP- வடிவமைப்பு பாக்கெட், இது ஏதர்நெட் ஃப்ரேம் அல்லது ஒரு எக்ஸ்னெட் ஃப்ரேம் அல்லது ஒரு 802.2 SNAP சட்டத்தில் 0x000000 என்ற OUI உடன், மற்றும் ஐபிஎக்ஸில் , ஈத்தர்நெட் சட்டகம், எல்.எல்.சீட்டரில் IPX DSAP, 802.3 எல்.எல்.டி.எல் தலைப்பின் குறியாக்கம் ஐபிஎக்ஸ் மற்றும் ஒரு எஸ்என்ஏபி சட்டத்தில் உள்ள ஐபிஎக்ஸ் எடைப் பிரிவைக் கொண்டது.]

decnet src host

DECNET மூல முகவரி புரவலன் என்றால் , இது `` 10.123 '' அல்லது ஒரு DECNET புரவலன் பெயரின் முகவரி. DECNET ஐ இயக்க கட்டமைக்கப்பட்ட Ultrix கணினிகளில் மட்டுமே DECNET ஹோஸ்ட் பெயர் ஆதரவு கிடைக்கும்.]

decnet dst host

DECNET இலக்கு முகவரி ஹோஸ்ட் என்றால் உண்மை.

டென்நெட் ஹோஸ்ட் புரவலன்

DECNET மூல அல்லது இலக்கு முகவரி ஹோஸ்ட் என்றால் உண்மை.

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

அதற்குரிய சுருக்கங்கள்:

ஈத்தர் புரோட்டோ ப

p என்பது மேலே உள்ள நெறிமுறைகளில் ஒன்றாகும்.

lat , moprc , mopdl

அதற்குரிய சுருக்கங்கள்:

ஈத்தர் புரோட்டோ ப

p என்பது மேலே உள்ள நெறிமுறைகளில் ஒன்றாகும். Tcpdump தற்போது இந்த நெறிமுறைகளை எப்படிப் பிரிப்பது என்று தெரியவில்லை என்பதை கவனிக்கவும்.

vlan [vlan_id]

பாக்கெட் ஒரு IEEE 802.1Q VLAN பாக்கெட் என்றால் உண்மை. [Vlan_id] குறிப்பிடப்பட்டால், உண்மையானது பாக்கெட் குறிப்பிட்ட vlan_id உள்ளது . பாக்கெட் ஒரு VLAN பாக்கெட் என்று கருதப்படும் மீதமுள்ள மீதமுள்ள வெளிப்பாட்டிற்கான டிகோடிங் ஆஃப்செட்ஸை மாற்றுகிறது என்று வெளிப்படையாகக் கண்ட முதல் குறியீட்டு முக்கியமானது.

tcp , udp , icmp

அதற்குரிய சுருக்கங்கள்:

ip proto p அல்லது ip6 proto ப

p என்பது மேலே உள்ள நெறிமுறைகளில் ஒன்றாகும்.

ISO புரோட்டோகால்

பாக்கெட் நெறிமுறை வகை நெறிமுறையின் OSI பாக்கெட் என்றால் உண்மை. புரோட்டோகால் என்பது Clnp , Esis அல்லது Isis என்ற பெயர்களில் ஒரு எண் அல்லது ஒன்றாகும்.

clnp , esis , isis

அதற்குரிய சுருக்கங்கள்:

ஐசோ புரோட்டோ ப

p என்பது மேலே உள்ள நெறிமுறைகளில் ஒன்றாகும். Tcpdump இந்த நெறிமுறைகளை பாகுபடுத்தி ஒரு முழுமையற்ற வேலை செய்கிறது என்பதை நினைவில் கொள்க.

expr relap expr

< Ref >, <=> =, =, <=, =, = =, மற்றும் = exprr என்பது முழு எண் மாறிலிகள் (நிலையான சி தொடரானில் வெளிப்படுத்தப்படுகிறது), சாதாரண பைனரி ஆபரேட்டர்களால் உருவாக்கப்பட்ட ஒரு எண்கணித வெளிப்பாடு ஆகும். , -, *, /, &, |], ஒரு நீளம் ஆபரேட்டர், மற்றும் சிறப்பு பாக்கெட் தரவு அணுகிகள். பாக்கெட் உள்ளே தரவு அணுக, பின்வரும் தொடரியல் பயன்படுத்த:

proto [ expr : அளவு ]

ப்ரோட்டோ ஈத்தர், fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp அல்லது ip6 இல் ஒன்றாகும் , மற்றும் குறியீட்டு செயல்பாட்டிற்கான நெறிமுறை அடுக்கு குறிப்பிடுகிறது. ( ஈத்தர், fddi, tr, ppp, slip மற்றும் இணைப்பு அனைத்தும் இணைப்பு லேயரைக் குறிக்கின்றன.) tcp, udp மற்றும் பிற மேல் அடுக்கு நெறிமுறை வகைகள் மட்டுமே IPv4 க்கு அல்லாமல் IPv6 க்கு அல்ல (இது எதிர்காலத்தில் சரி செய்யப்படும்) என்பதைக் கவனத்தில் கொள்ளவும். சுட்டிக்காட்டப்பட்ட நெறிமுறை அடுக்குக்கு ஒப்பான பைட் ஆஃப்செட் காலாவதியாகும் . அளவு விருப்பமானது மற்றும் வட்டி துறையில் பைட்டுகளின் எண்ணிக்கையை குறிக்கிறது; அது ஒன்று, இரண்டு, அல்லது நான்கு, மற்றும் ஒரு இயல்புநிலை. முக்கிய லென் மூலம் குறிப்பிடப்படும் நீளம் ஆபரேட்டர், பாக்கின் நீளம் கொடுக்கிறது.

எடுத்துக்காட்டாக, ' ஈத்தர் [0] & 1! = 0 ' அனைத்து மல்டிகஸ்ட் டிராஃபிக்கைப் பிடிக்கிறது. ' Ip [0] & 0xf! = 5 ' என்ற சொற்றொடரை அனைத்து IP பாக்கெட்டுகளையும் விருப்பங்களுடன் பிடிக்கிறது. வெளிப்பாடு ` ip [6: 2] & 0x1fff = 0 'மட்டுமே துண்டாக்கப்பட்ட datagrams மற்றும் துண்டு துண்டாக்கப்பட்ட datagrams குறைவான கேட்ச் பிடிக்கும். இந்த காசோலை tcp மற்றும் udp குறியீட்டு செயற்பாடுகளுக்கு மறைமுகமாக பயன்படுத்தப்படுகிறது. உதாரணமாக, TCP [0] எப்போதும் TCP தலைப்பு முதல் பைட் என்று பொருள், மற்றும் ஒரு இடைக்கால துண்டு முதல் பைட் என்று பொருள்.

சில முறிவுகள் மற்றும் புல மதிப்புகள் எண் மதிப்புகளை விட பெயர்களைக் காட்டலாம். பின்வரும் நெறிமுறை தலைப்பு புலம் களஞ்சியங்கள் கிடைக்கின்றன: icmptype (ICMP வகை புலம்), icmpcode (ICMP குறியீடு புலம்) மற்றும் tcpflags (TCP கொடிகள் புலம்).

ICMP- echoreply , icmp-unreach , icmp-sourcequench , icmp- திருப்பி , icmp-echo -ststampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

பின்வரும் TCP கொடிகள் புல மதிப்புகள் உள்ளன: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp- அவசரம் .

பிரைமிகளால் பயன்படுத்தலாம்:

பூர்வகுடிகள் மற்றும் ஆபரேட்டர்கள் ஒரு அடைப்புக்குரிய குழு (அடைப்புக்குறிகள் ஷெல் சிறப்பு மற்றும் தப்பி வேண்டும்).

மறுப்பு (` ! 'அல்லது` இல்லை`).

ஒத்திசைவு (` && 'அல்லது` மற்றும் ').

மாற்று (` || 'அல்லது` அல்லது ').

எதிர்மறை அதிக முன்னுரிமை உள்ளது. மாற்றியமைத்தல் மற்றும் இணைத்தல் ஆகியவை சமமான முன்னுரிமையும் கூட்டாளியும் இடமிருந்து வலமாக உள்ளன. வெளிப்படையானது மற்றும் ஒத்திசைவு அல்ல, இப்போது இணைப்பதற்கான தேவைப்படுகிறது.

ஒரு முக்கிய குறி இல்லாமல் ஒரு அடையாளங்காட்டி வழங்கப்பட்டால், மிகச் சமீபத்திய சொல் கருதப்படுகிறது. உதாரணத்திற்கு,

புரவலன் Vs மற்றும் சீட்டு இல்லை

சிறியது

புரவலன் Vs மற்றும் புரவலன் ஏஸ் இல்லை

இது குழப்பப்படக்கூடாது

இல்லை (புரவலன் அல்லது சீட்டு)

எக்ஸ்பிரஷன் வாதங்கள் tcpdump க்கு ஒரு ஒற்றை வாதம் அல்லது பல வாதங்கள் என அனுப்பி வைக்கப்படலாம், எது எது வசதியாக இருக்கும். பொதுவாக, வெளிப்பாடு ஷெல் மெட்டாச்சரெக்டர்களைக் கொண்டிருந்தால், அதை ஒற்றை, மேற்கோள் வாதமாகக் கடக்க எளிது. பல வாதங்கள் பாகுபடுத்தப்படுவதற்கு முன்னர் இடைவெளிகளுடன் இணைக்கப்படுகின்றன.

உதாரணங்கள்

Sundown இல் இருந்து வரும் அல்லது புறப்படும் அனைத்து பாக்கெட்டுகளையும் அச்சிட:

tcpdump host sundown

ஹீலியோக்களுக்கும் , சூடான அல்லது ஏஸிற்கும் இடையில் போக்குவரத்து அச்சிட:

tcpdump host helios மற்றும் \ (சூடான அல்லது ஏஸ் \)

ஹெஸ்ஸை தவிர ஏஸ் மற்றும் எந்த ஹோஸ்டுக்கும் இடையில் அனைத்து IP பாக்கெட்டுகளையும் அச்சிட:

tcpdump ip host ace மற்றும் helios இல்லை

பெர்க்லேயில் உள்ள உள்ளூர் புரவலன்கள் மற்றும் புரவலன்கள் ஆகியவற்றிற்கு இடையேயான அனைத்து போக்குவரத்துகளையும் அச்சிட:

tcpdump net ucb-ether

இணையத்தள நுழைவாயில் வழியாக அனைத்து FTP போக்குவரத்துகளையும் அச்சிட (: அடைப்புக்குறிக்குள் இருந்து ஷெல் (தவறாக) வரையறுக்கப்படுவதைத் தடுக்க வெளிப்பாடு மேற்கோள் காட்டப்பட்டுள்ளது):

tcpdump 'நுழைவாயில் snup மற்றும் (போர்ட் ftp அல்லது ftp-data)'

டிராஃபிக்கை அச்சிட எந்தவொரு ஆதாரமும் இல்லை அல்லது உள்ளூர் புரவலன்கள் (நீங்கள் ஒரு நிகர நுழைவாயிலுக்கு நுழைந்தால், இந்தத் தகவலை உங்கள் உள்ளூர் நெட்வொர்க்கில் செய்யக்கூடாது).

tcpdump ஐபி மற்றும் நிகர உள்ளூர்நெட் அல்ல

ஒரு அல்லாத உள்ளூர் புரவலன் உள்ளடக்கிய ஒவ்வொரு TCP உரையாடலின் தொடக்க மற்றும் இறுதி பாக்கெட்டுகள் (SYN மற்றும் FIN பாக்கெட்டுகள்) அச்சிட.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 மற்றும் src மற்றும் dst net localnet '

கேட்வே snup மூலம் அனுப்பப்பட்ட 576 பைட்டுகளுக்கு மேலான ஐபி பாக்கெட்டுகளை அச்சிடுவதற்கு:

tcpdump 'நுழைவாயில் snup மற்றும் ip [2: 2]> 576'

ஈத்தர்நெட் ஒளிபரப்பு அல்லது மல்டிகாஸ்ட் மூலம் அனுப்பப்படாத IP ஒளிபரப்பு அல்லது மல்டிகஸ்ட் பாக்கெட்டுகளை அச்சிடுவதற்கு:

tcpdump 'ether [0] & 1 = 0 மற்றும் ip [16]> = 224'

எதிரொலி கோரிக்கைகள் / பதில்கள் (அதாவது பிங் பாக்கெட்டுகள் இல்லை) இல்லாத எல்லா ICMP பாக்கெட்டுகளையும் அச்சிட:

tcpdump 'icmp [icmptype]! = icmp-echo மற்றும் icmp [icmptype]! = icmp-echoreply'

வெளியீடு வடிவம்

Tcpdump இன் வெளியீடு நெறிமுறை சார்ந்து உள்ளது. பின்வருபவரின் பெரும்பாலான விவரங்களை சுருக்கமான விளக்கமும் எடுத்துக்காட்டுகிறது.

இணைப்பு நிலை தலைப்புகள்

'-e' விருப்பம் கொடுக்கப்பட்டால், இணைப்பு நிலை தலைப்பு அச்சிடப்படுகிறது. Ethernets இல், மூல மற்றும் இலக்கு முகவரிகள், நெறிமுறை மற்றும் பாக்கெட் நீளம் ஆகியவை அச்சிடப்படுகின்றன.

FDDI நெட்வொர்க்குகளில், '-e' விருப்பம் tcpdump ஆனது `சட்ட கட்டுப்பாட்டு 'புலம், மூல மற்றும் இலக்கு முகவரிகள் மற்றும் பாக்கெட் நீளம் ஆகியவற்றை அச்சிடுவதற்கு காரணமாகும். (ஃபிரெக்ட் கட்டுப்பாட்டுப் புலமானது மற்ற பாக்கெட்டுகளின் விளக்கத்தை நிர்வகிக்கிறது.இலக்கிய பாக்கெட்டுகள் (அதாவது ஐ.டி. datagram கள் கொண்டவை) 'async' பாக்கெட்டுகள், 0 முதல் 7 வரையிலான முன்னுரிமை மதிப்புடன், எடுத்துக்காட்டாக, ` async4` packets ஒரு 802.2 தருக்க இணைப்பு கட்டுப்பாடு (எல்எல்) பாக்கெட் கொண்டிருக்க வேண்டும் என்று கருதப்படுகிறது; இது எல்எஸ்எல் தலைப்பு ஒரு ISO தரவு அல்லது ஒரு SNAP பாக்கெட் இல்லை என்றால் அச்சிடப்படுகிறது.

டோக்கன் ரிங் நெட்வொர்க்குகளில், '-e' விருப்பமானது, tcpdump `அணுகல் கட்டுப்பாடு 'மற்றும்` சட்ட கட்டுப்பாட்டு' துறைகள், மூல மற்றும் இலக்கு முகவரிகள் மற்றும் பாக்கெட் நீளம் ஆகியவற்றை அச்சிடுவதற்கு காரணமாகும். எல்.டி.டி.டி நெட்வொர்க்குகளைப் பொறுத்தவரை, எல்.எல்.சி. '-e' விருப்பம் குறிக்கப்பட்டதா இல்லையா என்பதைப் பொருட்படுத்தாமல், ஆதார ரூட்டிங் தகவல்களும் ஆதார ரவுண்டட் பாக்கெட்டுகளுக்கு அச்சிடப்படுகின்றன.

(NB: RFC-1144 இல் விவரிக்கப்பட்ட SLIP அழுத்த அல்காரிதமைக்கு பின்வரும் விளக்கம் விவரிக்கப்படுகிறது.)

SLIP இணைப்புகளில், ஒரு திசை சுட்டிக்காட்டி (வெளியிலிருந்து "ஓ"), பாக்கெட் வகை மற்றும் சுருக்க விவரங்கள் அச்சிடப்படுகின்றன. பேக்கெட் வகை முதலில் அச்சிடப்பட்டுள்ளது. மூன்று வகைகள் ip , utcp மற்றும் ctcp . ஐபி பாக்கெட்டுகளுக்கு எந்த இணைப்பு தகவலும் அச்சிடப்படவில்லை. TCP பாக்கெட்டுகளுக்கு, வகைப்பட்டியலுடன் இணைப்பு அடையாளங்காட்டி அச்சிடப்படுகிறது. பாக்கெட் சுருக்கப்பட்டால், அதன் குறியிடப்பட்ட தலைப்பு அச்சிடப்படும். சிறப்பு நிகழ்வுகள் * S + n மற்றும் * SA + n என அச்சிடப்படுகின்றன, அங்கு n என்பது வரிசை எண் (அல்லது வரிசை எண் மற்றும் மாறி) மாறிவிட்ட தொகை. இது ஒரு சிறப்பு வழக்கு இல்லையென்றால், பூஜ்யம் அல்லது அதிகமான மாற்றங்கள் அச்சிடப்படும். ஒரு மாற்றத்தை U (அவசர சுட்டிக்காட்டி), W (சாளரம்), A (ack), S (வரிசை எண்) மற்றும் நான் (பாக்கெட் ஐடி), ஒரு டெல்டா (+ n அல்லது -n) அல்லது ஒரு புதிய மதிப்பு (= n),. இறுதியாக, பாக்கெட் மற்றும் சுருக்கப்பட்ட தலைப்பு நீளத்தில் உள்ள தரவு அளவு அச்சிடப்படும்.

உதாரணமாக, கீழ்கண்ட வரியில் ஒரு வெளிப்படையான இணைப்பு TCP பாக்கெட், ஒரு உள்ளார்ந்த இணைப்பு அடையாளங்காட்டியைக் காட்டுகிறது; ack 6 ஆல் மாற்றப்பட்டது, வரிசை எண் 49, மற்றும் பாக்கெட் ஐடி 6 ஆல்; தரவு 3 பைட்டுகள் மற்றும் சுருக்கப்பட்ட தலைப்பு 6 பைட்டுகள் உள்ளன:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP தொகுப்புகள்

Arp / rarp output கோரிக்கை வகை மற்றும் அதன் வாதங்களை காட்டுகிறது. வடிவம் சுய விளக்கமாக இருக்க வேண்டும். புரவலன் rtsg இலிருந்து ஒரு 'rlogin' துவக்கத்தில் இருந்து csam க்கு வழங்கப்படும் ஒரு சிறிய மாதிரி:

ஆஸ்பத்திடம் யார் சொன்னார்கள் என்று சி.எஸ்.எம்

இணைய தள புரோகிராம் இன் ஈத்தர்நெட் முகவரியைக் கேட்டு ஒரு ஆர்டி பாக்கெட் அனுப்பியதாக முதல் வரி கூறுகிறது. ஈத்தர்நெட் முகவரியுடன் சாம் பதில்கள் (இந்த எடுத்துக்காட்டில், ஈத்தர்நெட் முகவரிகள் தொப்பிகளிலும் இணைய முகவரியிலும் சிறிய விஷயத்தில் உள்ளன).

நாம் tcpdump -n செய்திருந்தால் இது குறைவான பணிநீக்கம் செய்யப்படும்:

128.3.254.6 ஐ 128.3.254.68 ஆல் பதில் 128.3.254.6 -இல்- 02: 07: 01: 00: 01: c4

நாம் tcpdump -e செய்திருந்தால், முதல் பாக்கெட் ஒளிபரப்பப்படுவதும் இரண்டாவதாக புள்ளியிடும் புள்ளியும் தெரியும்.

RTSG ஒளிபரப்பை 0806 64: arp who has csam rtsg CSR RTSG 0806 64: arp பதில் CSAM -இல் CSAM

முதல் பாக்கெட்டிற்கு ஈத்தர்நெட் மூல முகவரி RTSG என்று கூறுகிறது, ஈத்தர்நெட் ஒளிபரப்பு முகவரியாக உள்ளது, வகை புலத்தில் ஹெக்ஸ் 0806 (வகை ETHER_ARP) மற்றும் மொத்த நீளம் 64 பைட்டுகள்.

TCP தொகுப்புகள்

(NB: RFC-793 இல் விவரிக்கப்பட்டுள்ள TCP நெறிமுறையுடன் பரிச்சயமானது பின்வரும் விளக்கத்தை எடுத்துக்கொள்கிறது.நீ நெறிமுறைக்குத் தெரியாவிட்டால், இந்த விளக்கம் அல்லது tcpdump உங்களுக்கு மிகவும் உபயோகமாக இருக்கும்.)

டி.சி.பி. நெறிமுறையின் பொதுவான வடிவம்:

src> dst: flags data-seqno ack சாளரம் அவசர விருப்பங்கள்

Src மற்றும் dst மூல மற்றும் இலக்கு ஐபி முகவரிகள் மற்றும் துறைமுகங்கள். கொடிகள் S (SYN), F (FIN), P (PUSH) அல்லது R (RST) அல்லது ஒரு ஒற்றை `என்ற கலவையாகும். (இல்லை கொடிகள்). இந்த பாக்கெட்டிலுள்ள தரவை உள்ளடக்கிய வரிசை இடத்தின் பகுதியை Data-seqno விவரிக்கிறது (கீழே உள்ள எடுத்துக்காட்டைக் காண்க). Ack இந்த இணைப்பின் பிற திசையை எதிர்பார்க்கும் அடுத்த தரவு வரிசை எண் ஆகும். சாளரம் இந்த இணைப்பை மற்ற திசையில் கிடைக்கும் பெற இடையக இடம் பைட்டுகள் எண்ணிக்கை. பாக்கெட்டில் 'அவசர' தரவு உள்ளது என்பதை குறிக்கிறது. விருப்பங்கள் கோண அடைப்புக்குறிக்குள் மூடப்பட்டிருக்கும் TCP விருப்பங்கள் (எ.கா., ).

Src, dst மற்றும் கொடிகள் எப்போதும் இருக்கும். பிற துறைகளில் பாக்கட்டின் டிசிபி நெறிமுறை தலைப்பு உள்ளடக்கங்களை சார்ந்து இருக்கும் மற்றும் வெளியீடு மட்டுமே பொருத்தமான இருந்தால்.

புரவலன் rtsg இலிருந்து ஒரு சேனலின் துவக்க பகுதி இங்கே host csam ஆகும் .

rtsg.1023> csam.login: S 768512: 768512 (0) வெற்றி 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. உள் நுழை: . ack 1 win 4096 rtsg.1023> csam.login: பி 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: ack 2 win 4096 rtsg.1023> csam.login: p 2:21 (19) ack 1 win 4096 csam.login> P 2: 3 (1) ack 21 win 4077 அவசர 1 csam.login> rtsg.1023: பி 3: 4 (1) ack 21 வெற்றி 4077 அவசர 1

முதல் வரி என்கிறார் tcp port 1023 rtsg ஒரு பாக்கெட் அனுப்ப csam மீது உள் நுழைவு. எஸ்.ஐ.என் கொடி அமைக்கப்பட்டுள்ளதை S குறிப்பிடுகிறது. பாக்கெட் வரிசை எண் 768512 ஆகும், அதில் தரவு இல்லை. (குறியீடானது முதல்து: கடைசி (nbytes) 'என்பது' வரிசை வரிசை எண்களைக் குறிக்கிறது, ஆனால் கடந்த காலத்தை உள்ளடக்கியது அல்ல, இது பயனர் தரவுகளின் பைட்டுகள் ஆகும். ') பிஜி பிக்கட் மெக் இல்லை, கிடைக்கப்பெறும் சாளரம் 4096 பைட்டுகள் மற்றும் 1024 பைட்டுகள் ஒரு mss கோரிக்கையை அதிகபட்சமாக பிரிவு-அளவு விருப்பம் இருந்தது.

RSG இன் SYN க்காக ஒரு பிக்கி-பின்தங்கிய மாக்கை உள்ளடக்கியது தவிர, சாம் இதுபோன்ற பாக்கெட்டுடன் பதிலளிப்பது. Rtsg பின்னர் ச்சமின் SYN ஐ அடுக்கிறது. `` எந்த கொடிகளும் அமைக்கப்படவில்லை என்று பொருள். பாக்கெட் எந்த தரவையும் கொண்டிருக்கவில்லை, எனவே தரவு வரிசை எண் இல்லை. Ack வரிசை எண் ஒரு சிறிய முழு எண் (1) ஆகும் என்பதை நினைவில் கொள்க. முதல் முறை tcpdump tcp `உரையாடலை 'காண்கிறது, இது பாக்கெட்டிலிருந்து வரிசை எண் அச்சிடுகிறது. உரையாடலின் தொடர்ச்சியான பாக்கெட்டுகளில், தற்போதைய பாக்கெட் வரிசை வரிசை எண் மற்றும் இந்த ஆரம்ப வரிசை எண் ஆகியவற்றிற்கு இடையே உள்ள வேறுபாடு அச்சிடப்படுகிறது. இதன் அர்த்தம் முதல் உரையாடல் தரவு ஸ்ட்ரீமில் உறவினர் பைட்டு நிலைகள் (முதல் தரவு ஒவ்வொரு திசையையும் `1 'என்று கொண்டிருக்கும்) எனப் புரிந்துகொள்ள முடியும். இந்த அம்சத்தை அசல் வரிசை எண்கள் வெளியீடுகளாக மாற்றும் வகையில், '-S' மாறும்.

6 வது வரியில், RTSG 19 பைட்டுகள் தரவு (பைட்டுகள் 2 மூலம் 20 rtsg -> சம்மர் பக்கத்தில் உரையாடல்) அனுப்புகிறது. PUSH கொடியானது பாக்கெட்டுக்குள் அமைக்கப்பட்டுள்ளது. 7 வது வரிசையில், சாம்ட் அது rtsg மூலம் அனுப்பப்பட்ட தரவு ஆனால் பைட் 21 ஐ உள்ளடக்கியதாகக் கூறுகிறது. இந்த தரவு மிகச் சாக்கெட் இடையகத்தில் உட்கார்ந்துள்ளது, ஏனெனில் ச்சமின் வரவேற்பு சாளரம் 19 பைட்டுகள் சிறியதாக உள்ளது. இந்த பாக்கெட்டில் RSG க்கு ஒரு பைட் தரவை Csam அனுப்புகிறது. 8 மற்றும் 9 வது வரிசைகளில், CSMS அவசரமாக இரண்டு பைட்டுகள் தரவுகளை அனுப்புகிறது.

ஸ்னாப்ஷாட் சிறியதாக இருந்தால் tcpdump முழு TCP ஹெட்டரைக் கைப்பற்றவில்லை, அது முடிந்தளவு தலைப்புக்கு விளக்கம் தருகிறது மற்றும் பின்னர் `` | tcp ] '' எஞ்சியிருப்பதை விளக்க முடியாது. தலைப்பு ஒரு போலியஸ் விருப்பத்தை கொண்டிருக்கிறது (நீளம் கொண்ட ஒரு தலைப்பு அல்லது தலைப்பின் முடிவிற்கு அப்பாற்பட்டது), tcpdump அது `` மோசமான விருப்பம் '' என அறிவிக்கின்றது மேலும் எந்தவொரு விருப்பத்தையும் விளக்குவதில்லை (ஏனென்றால் அது சொல்ல முடியாது அவர்கள் தொடங்குவார்கள்). தலைப்பின் நீளத்தை விருப்பத்தேர்வுகள் குறிக்கின்றன எனில், ஆனால் IP டேட்டாக்கிரம நீளம் நீண்ட காலமாக விருப்பத்தேர்வுகள் இருக்காது, tcpdump இதை `` மோசமான hdr நீளம் ] '' என்று அறிக்கை செய்கிறது.

குறிப்பிட்ட கொடி சேர்க்கைகள் (SYN-ACK, URG-ACK, முதலியன) உடன் TCP பேக்கேட்களைப் பெறுதல்

TCP தலைப்பு கட்டுப்பாட்டில் பிட்கள் பிரிவில் 8 பிட்கள் உள்ளன:

CWR | ECE | URG | ACK | PSH | RST | SYN | இறகு

ஒரு TCP இணைப்பு நிறுவலில் பயன்படுத்தப்பட்ட பாக்கெட்டுகளை நாம் பார்க்க வேண்டும் என்று நாம் கருதிக் கொள்வோம். இது ஒரு புதிய இணைப்பு துவக்கும் போது TCP 3-வழி ஹேண்ட்ஷேக் நெறிமுறையைப் பயன்படுத்துகிறது என்பதை நினைவில் கொள்க; TCP கட்டுப்பாட்டு பிட்டுகள் தொடர்பாக இணைப்பு வரிசை

1) அழைப்பாளர் SYN ஐ அனுப்புகிறார்

2) பெற்றோர் SYN, ACK உடன் பதிலளிப்பார்

3) அழைப்பாளர் ACK ஐ அனுப்புகிறார்

இப்போது SYN பிட் செட் (படி 1) மட்டுமே கொண்ட பாக்கெட்டுகளை கைப்பற்றுவதில் ஆர்வமாக உள்ளோம். படி 2 (SYN-ACK), ஒரு சாதாரண ஆரம்ப SYN ஆகியவற்றில் இருந்து பாக்கெட்டுகளை நாங்கள் விரும்பவில்லை என்பதை கவனத்தில் கொள்க. Tcpdump க்கு சரியான வடிகட்டி வெளிப்பாடு நமக்குத் தேவை.

விருப்பங்களை இல்லாமல் ஒரு TCP தலைப்பு கட்டமைப்பு நினைவு:

0 15 31 ----------------------------------------------- ------------------ | மூல துறைமுகம் | இலக்கு துறை | -------------------------------------------------- --------------- | வரிசை எண் | -------------------------------------------------- --------------- | ஒப்புகை எண் | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | பி | ஆர் | எஸ் | எஃப் | சாளரத்தின் அளவு | -------------------------------------------------- --------------- | TCP காசோளம் | அவசர சுட்டிக்காட்டி | -------------------------------------------------- ---------------

விருப்பங்களைத் தவிர, ஒரு TCP தலைப்பு வழக்கமாக 20 அக்னெட் தரவுகளை வைத்திருக்கிறது. வரைபடத்தின் முதல் வரிசையில் அக்ஸ்கெட்ஸ் 0 - 3 உள்ளது, இரண்டாவது வரி ஆக்னெட்ஸ் 4 - 7 ஐக் காட்டுகிறது.

0 உடன் கணக்கிடத் தொடங்குகிறது, TCP கட்டுப்பாட்டு பிட்டுகள் தொடர்புடைய ஆக்டெட் 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | பி | ஆர் | எஸ் | எஃப் | சாளரத்தின் அளவு | ---------------- | --------------- | --------------- | - --------------- | | 13 ஆக்டேட் | | |

எட்டு அடுக்கில் ஒரு நெருக்கமான தோற்றத்தைக் காணலாம். 13:

| | | --------------- | | சி | மின் | யூ | எ | பி | ஆர் | எஸ் | எஃப் | | --------------- | | 7 5 3 0 |

நாம் ஆர்வமாக உள்ள TCP கட்டுப்பாட்டு பிட்கள் ஆகும். இந்த எண்களில் பிட்கள் 0 முதல் 7 வரை வலதுபுறமாக பிட்டுகள் எண்ணப்படுகின்றன, எனவே PSH பிட் பிட் எண் 3 ஆகும், URG பிட் எண் 5 ஆகும்.

SYN தொகுப்புடன் பாக்கெட்டுகளை கைப்பற்ற விரும்புகிறோம் என்பதை நினைவில் கொள்ளுங்கள். ஒரு TCP datagram அதன் தலைப்பில் உள்ள SYN பிட் தொகுப்புடன் வந்தால், ஆக்டெட் 13 க்கு என்ன நடக்கிறது என்று பார்க்கலாம்.

| சி | மின் | யூ | எ | பி | ஆர் | எஸ் | எஃப் | | --------------- | | 0 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

கட்டுப்பாட்டு பிட்களின் பிரிவைப் பார்க்கும்போது, ​​பிட் எண் 1 (SYN) அமைக்கப்பட்டிருப்பதைக் காணலாம்.

அந்த எண் எண் 13 ஆனது பிணைய பைட் வரிசையில் 8-பிட் கையொப்பமிடப்படாத முழு எண்ணாக இருப்பதால், இந்த ஆக்டேட் பைனரி மதிப்பு

00000010

அதன் தசம பிரதிநிதித்துவம்

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

நாம் கிட்டத்தட்ட முடித்துவிட்டோம், ஏனென்றால் இப்போது SYN அமைக்கப்பட்டிருந்தால், TCP தலைப்பில் 13 ஆக்டேட்டின் மதிப்பு, பிணைய பைட் வரிசையில் 8-பிட் கையொப்பமிடப்படாத முழுமையாக்கியாக, சரியாக 2 இருக்க வேண்டும் என்று நமக்குத் தெரியும்.

இந்த உறவு வெளிப்படுத்தப்படுகிறது

tcp [13] == 2

SYN அமைப்பை மட்டும் கொண்டிருக்கும் பாக்கெட்டுகளைக் காண tcpdump க்கான வடிப்பான் என நாம் இந்த வெளிப்பாட்டைப் பயன்படுத்தலாம்:

tcpdump -i xl0 tcp [13] == 2

"TCP datagram இன் 13 வது ஆக்டேட் தசம மதிப்பு 2 ஐக் கொண்டிருக்கட்டும்" என்று வெளிப்பாடு கூறுகிறது.

இப்போது, ​​SYN பாக்கெட்டுகளை கைப்பற்ற வேண்டும் என்று நாம் கருதிக் கொள்ளலாம், ஆனால் ACK அல்லது வேறு எந்த TCP கட்டுப்பாட்டு பிட் அதே நேரத்தில் அமைக்கப்பட்டால் நாம் கவலைப்படுவதில்லை. SYN-ACK தொகுப்புடன் TCP டேட்டாக்கிராம் வரும் போது ஆக்டெட் 13 க்கு என்ன நடக்கிறது என்று பார்க்கலாம்.

| சி | மின் | யூ | எ | பி | ஆர் | எஸ் | எஃப் | | --------------- | | 0 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

இப்போது பிட்கள் 1 மற்றும் 4 ஆகியவை 13 வது ஆக்ட்டில் அமைக்கப்பட்டுள்ளன. ஆக்டெட் 13 பைனரி மதிப்பு

00010010

இது தசம மொழிக்கு மொழிபெயர்க்கப்படுகிறது

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

இப்போது tcpdump வடிப்பான் வெளியீட்டில் tcp [13] == 18 'ஐப் பயன்படுத்த முடியாது, ஏனெனில் SYN-ACK அமைப்பை கொண்டிருக்கும் பாக்கெட்டுகளை மட்டும் தேர்ந்தெடுப்பது, ஆனால் SYN அமைப்பை மட்டும் கொண்டவர்கள் அல்ல. சி.என்.என் அமைக்கப்பட்டிருக்கும் வரை ACK அல்லது வேறு எந்த கட்டுப்பாடு பிட் அமைக்கப்பட்டிருந்தாலும் நாங்கள் கவலைப்படவில்லை என்பதை நினைவில் கொள்க.

நமது இலக்கை அடைய, நாம் தர்க்கரீதியாகவும், ஓனெட்டாவின் பைனரி மதிப்பையும் SYN பிட்டத்தை பாதுகாக்க சில வேறு மதிப்புடன் வேண்டும். சிஎன்என் எந்த விஷயத்திலும் அமைக்கப்பட வேண்டும் என்று நமக்குத் தெரியும், எனவே நாம் தர்க்கரீதியாகவும், 13 ஆம் நூற்றாண்டின் மதிப்பை SYN இன் பைனரி மதிப்புடன் மதிப்போம்:

00010010 SYN-ACK 00000010 SYN மற்றும் 00000010 (நாம் சிஎன்என் மற்றும் 00000010 (நாம் சிஎன்என் வேண்டும்) -------- -------- = 00000010 = 00000010

ACK அல்லது மற்றொரு TCP கட்டுப்பாட்டு பிட் அமைக்கப்பட்டுள்ளதா என்பதைப் பொருட்படுத்தாமல் இந்த மற்றும் செயல்பாட்டினை அதே விளைவு வழங்குகிறது. இந்த மதிப்புகளின் எண்ணிக்கை மற்றும் மதிப்பு ஆகியவற்றின் தசம பிரதிநிதித்துவம் மற்றும் இதன் விளைவாக 2 (பைனரி 00000010) 2 ஆகும், எனவே SYN உடன் பாக்கெட்டுகளுக்கு பின்வரும் தொடர்பை வைத்திருக்க வேண்டும் என்பதை நாங்கள் அறிவோம்:

(ஆக்டெட் 13 மதிப்பு) மற்றும் (2)) == (2)

இது நமக்கு tcpdump வடிப்பான் வெளிப்பாட்டைக் காட்டுகிறது

tcpdump -i xl0 'tcp [13] & 2 == 2'

ஷெல் இருந்து மற்றும் ('&') சிறப்பு தன்மையை மறைக்க வெளிப்பாடில் ஒற்றை மேற்கோள் அல்லது பின்னொளியை பயன்படுத்த வேண்டும் என்பதை நினைவில் கொள்க.

UDP பாக்கெட்டுகள்

UDP வடிவமைப்பு இந்த மூடிய பாக்கெட் மூலம் விவரிக்கப்பட்டுள்ளது:

actinide.who> broadcast.who: udp 84

புரவலன் ஒளிபரப்பில் , இணைய ஒளிபரப்பு முகவரியில் யார் துறைமுகத்தில் செயல்படுகின்ற ஒரு udp datagram ஐ அனுப்பினார் என்று கூறுகிறார். பாக்கெட் பயனர் தரவின் 84 பைட்டுகள் கொண்டது.

சில UDP சேவைகள் அங்கீகரிக்கப்பட்டுள்ளன (மூல அல்லது இலக்கு போர்ட் எண்) மற்றும் அச்சிடப்பட்ட உயர் நிலை நெறிமுறை தகவல். குறிப்பாக, டொமைன் பெயர் சேவை கோரிக்கைகள் (RFC-1034/1035) மற்றும் சன் RPC அழைப்புகள் (RFC-1050) NFS க்கு.

UDP பெயர் சேவையக கோரிக்கைகள்

(NB: RFC-1035 இல் விவரிக்கப்பட்டுள்ள டொமைன் சேவை நெறிமுறைக்கு பின்வரும் விளக்கம் விவரிக்கப்படுகிறது. நெறிமுறைக்கு நீங்கள் தெரிந்திருந்தால், பின்வரும் விளக்கத்தில் கிரேக்க மொழியில் எழுதப்பட்டதாகத் தோன்றும்.)

பெயர் சர்வர் கோரிக்கைகள் வடிவமைக்கப்பட்டுள்ளன

src> dst: id op? flags qtype qclass name (len) h2opolo.1538> helios.domain: 3+ ஒரு? ucbvax.berkeley.edu. (37)

புரவலன் h2opolo ஒரு ரிப்போர்ட் ரெக்கார்டிங் (qtype = A) என்ற ஹீரோஸில் டொமைன் சேவையகத்தை ucbvax.berkeley.edu உடன் தொடர்புபடுத்தினார் . கேள்வி ஐடி `3 '. `+ ' மறுசுழற்சி விரும்பிய கொடியை அமைக்கப்பட்டுள்ளது. கேள்வி நீளம் 37 பைட்டுகள், UDP மற்றும் IP நெறிமுறை தலைப்புகள் உட்பட அல்ல. கேள்வி வினவல் சாதாரணமாக இருந்தது, வினவல் , எனவே ஓப் புலம் தவிர்க்கப்பட்டது. Op வேறு ஏதாவது இருந்தால், அது `3 'மற்றும்` +' ஆகியவற்றுக்கு இடையே அச்சிடப்பட்டிருக்கும். இதேபோல், க்ளாஸ் க்ளாஸ் சாதாரணமாக, C_IN , மற்றும் தவிர்க்கப்பட்டது. வேறு எந்த qclass 'A' உடனடியாக அச்சிடப்பட்டிருக்கும்.

ஒரு சில முரண்பாடுகள் சரிபார்க்கப்பட்டு சதுர அடைப்புக்குள் மூடப்பட்டிருக்கும் கூடுதல் துறைகள் ஏற்படலாம்: ஒரு கேள்விக்கு ஒரு பதில் இருந்தால், அதிகாரம் பதிவுகள் அல்லது கூடுதல் பதிவுகள் பிரிவு, கணக்கு , கணக்கு , அல்லது கணக்கெடுப்பு `[ n ]", [ n ] ] 'அல்லது `[ n au]" எங்கே n என்பது சரியான எண்ணிக்கை. பதில் ஏதேனும் ஒரு பிட் அமைக்கப்பட்டால் (AA, RA அல்லது rcode) அல்லது 'பூஜ்யமாக இருக்க வேண்டும்' என்ற பைட்டுகள் இரண்டு மற்றும் மூன்று பைட்டுகளில் அமைக்கப்படுகின்றன என்றால், `[b2 & 3 = x ] 'அச்சிடப்படுகிறது, அங்கு x என்பது ஹெக்ஸ் மதிப்பு தலைப்பு பைட்டுகள் இரண்டு மற்றும் மூன்று.

UDP பெயர் சர்வர் மறுமொழிகள்

பெயர் சர்வர் பதில்கள் வடிவமைக்கப்பட்டுள்ளன

src> dst: id op rcode flags a / n / au வகை வகுப்பு தரவு (len) helios.domain> h2opolo.1538: 3 3/3/7 ஒரு 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

முதல் எடுத்துக்காட்டில், ஹீலியோஸ் 3 ஐ பதில்கள் , 3 பெயர் சர்வர் பதிவுகள் மற்றும் 7 கூடுதல் பதிவுகளுடன் h2opolo இலிருந்து ஐடி 3 விற்கு பதிலளிப்பார். முதல் பதில் பதிவு வகை A (முகவரி) மற்றும் அதன் தரவு இணைய முகவரி 128.32.137.3 ஆகும். பதில் மொத்த அளவு 273 பைட்டுகள், UDP மற்றும் IP தலைப்புகளை தவிர. ஒரு பதிவின் வகுப்பு (சி.ஏ.யூ.) என, op (கேள்வி) மற்றும் பதில் குறியீடு (NoError) ஆகியவை தவிர்க்கப்பட்டன.

இரண்டாவது எடுத்துக்காட்டில், ஹீலியோஸ் பதில் இல்லாத டொமைன் (NXDomain) பதில் குறியீட்டை 2 வினாக்களுக்கு விடையளிக்கிறது, பதில்கள் இல்லை, ஒரு பெயர் சேவையகம் மற்றும் அதிகாரம் பதிவுகள் இல்லை. `* ' அதிகாரப்பூர்வ பதில் பிட் அமைக்கப்பட்டது என்று குறிக்கிறது. பதில்கள் இல்லை என்பதால், வகை, வகுப்பு அல்லது தரவு அச்சிடப்படவில்லை.

தோன்றும் பிற கொடி எழுத்துகள் `- '(மறுநிகழ்வு கிடைக்கின்றன, ஆர்.ஏ., அமைக்கப்படவில்லை) மற்றும்` | (சுருக்கப்பட்ட செய்தி, TC, தொகுப்பு). `கேள்வி 'பிரிவில் சரியாக ஒரு நுழைவு இல்லையெனில்,` n [q] "அச்சிடப்படுகிறது.

பெயர் சர்வர் கோரிக்கைகள் மற்றும் மறுமொழிகள் பெரியதாக இருப்பதோடு , 68 பைட்டுகளின் இயல்புநிலை ஸ்னாபின் அச்சிட தேவையான பாக்கெட்டுகளை கைப்பற்றாமல் போகலாம். நீங்கள் பெயர் சேவையக டிராஃபிக்கை தீவிரமாக ஆய்வு செய்ய வேண்டும் என்றால் snaplen ஐ அதிகரிப்பதற்கு -s கொடி பயன்படுத்தவும். 128 'எனக்கு நன்றாக வேலை செய்தது.

SMB / CIFS டிகோடிங்

tcpdump இப்போது UDP / 137, UDP / 138 மற்றும் TCP / 139 ஆகியவற்றில் தரவுக்கு மிகவும் விரிவான SMB / CIFS / NBT டிகோடிங்கை கொண்டுள்ளது. IPX மற்றும் NetBEUI SMB தரவு சில பழமையான டிகோடிங் செய்யப்படுகிறது.

இயல்புநிலையாக, மிகக் குறைவான டிகோடு செய்யப்படுகிறது, -v பயன்படுத்தப்படுகிறது என்றால் மிகவும் விரிவான decode செய்யப்படுகிறது. ஒரு ஒற்றை SMB பாக்கெட் ஒரு பக்கத்திலோ அல்லது அதற்கு அதிகமாகவோ எடுத்துக் கொள்ளலாம் என்று எச்சரிக்கப்படவும், அதனால் மட்டுமே பயன்படுத்தவும் -நீங்கள் உண்மையிலேயே அனைத்து துணி விவரங்களையும் விரும்பினால்.

யுனிகோட் சரங்களைக் கொண்ட SMB அமர்வுகளை நீங்கள் நீக்கினால், நீங்கள் சூழல் மாறி USE_UNICODE 1 ஐ அமைக்க விரும்புகிறீர்கள். யூனிகோட் நீரூற்றுகளை தானாக கண்டறிவதற்கான ஒரு இணைப்பு வரவேற்கத்தக்கது.

SMB பாக்கெட் வடிவங்கள் மற்றும் எல்லா te களங்களும் www.cifs.org அல்லது உங்களுக்கு பிடித்த samba.org கண்ணாடி தளத்தின் pub / samba / specs / கோப்பகம் ஆகியவற்றைப் பார்க்கவும். SMB இணைப்புகளை ஆண்ட்ரூ டிரிட்ஜல் (tridge@samba.org) எழுதியுள்ளார்.

NFS கோரிக்கைகள் மற்றும் பதில்கள்

சன் NFS (நெட்வொர்க் கோப்பு முறைமை) கோரிக்கைகள் மற்றும் பதில்கள் அச்சிடப்படுகின்றன:

src.xid> dst.nfs: len op args src.nfs> dst.xid: பதில் stat len ​​op முடிவு sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: பதில் சரி 40 readlink "../var" sushi2019> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> சுபிட்ச்: பதில் ok 128 lookup fh 9,74 / 4134.3150

முதல் வரியில், புரவலன் சுஷி id 6709 உடன் ஒரு பரிமாற்றத்தை wrl க்கு அனுப்புகிறது (src புரவையைத் தொடர்ந்து வரும் எண்ணானது, பரிவர்த்தனை ஐடி அல்ல , ஆதார துறை அல்ல). இந்த கோரிக்கை 112 பைட்டுகள், UDP மற்றும் IP தலைப்புகளை தவிர. இந்த செயல்முறை கோப்பு கையேட்டில் ( எஃப்எல் ) 21,24 / 10.731657119 இல் ஒரு வாசிப்பு (குறியீட்டு இணைப்பைப் படித்தது) ஆகும். (ஒரு அதிர்ஷ்டம் என்றால், இந்த வழக்கில், கோப்பு கைப்பிடியானது ஒரு பெரிய, சிறிய சாதன எண் ஜோடி, இன்போட் எண் மற்றும் தலைமுறை எண் ஆகியவற்றைப் புரிந்து கொள்ளலாம்.) இணைப்புகளின் உள்ளடக்கத்துடன் 'அஞ்சல்' எனும் பதில் அனுப்பப்படும் .

மூன்றாவது வரிசையில், சுஷி அடைவு கோப்பில் ' xcolors ' என்ற பெயரைக் கோருகிறது 9,74 / 4096.6878. அச்சிடப்பட்ட தரவு இயக்க வகையை சார்ந்தது என்பதை நினைவில் கொள்க. ஒரு NFS நெறிமுறை ஸ்பெக் உடன் இணைந்து வாசிக்கப்பட்டால், இந்த வடிவம் சுய விளக்கமாக இருக்க வேண்டும்.

-v (verbose) கொடி கொடுக்கப்பட்டால், கூடுதல் தகவல்கள் அச்சிடப்படும். உதாரணத்திற்கு:

சுவிசேஷம்: 148 எழுத்தாளர்கள்: 148 வாசிப்பு fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: பதில் ok 1472 வாசிக்க REG 100664 ஐடிகள் 417/0 sz 29388

(-V ஐபி தலைப்பு, டிடிஎல், ஐடி, நீளம் மற்றும் துண்டுப்பிரதி துறைகள் ஆகியவற்றை அச்சிடுகிறது. இது இந்த உதாரணத்திலிருந்து நீக்கப்பட்டுள்ளது) முதல் சுற்றில், சுவிஸ் 8,192 பைட்டுகளை பை கோப்புகளில் இருந்து 21,11 / 12.195, பைட் ஆஃப்செட் 24576. தவறான பதில்கள் `சரி '; இரண்டாவது வரிசையில் காட்டப்பட்டுள்ள பாக்கெட் பதில் முதல் துண்டு இது, எனவே 1472 பைட்டுகள் மட்டுமே (பிற பைட்டுகள் தொடர்ந்து பின்தளத்தில் பின்பற்றப்படும், ஆனால் இந்த துண்டுகள் NFS அல்லது UDP தலைப்புகள் இல்லை, எனவே அச்சிடப்படாமல் இருக்கலாம், பயன்படுத்தப்படும் வடிப்பான் வெளிப்பாட்டைப் பொறுத்து). -v கொடி கொடுக்கப்பட்டதால், கோப்பின் வகை (கோப்பு தரவுக்கு கூடுதலாக திருப்பி அனுப்பப்படும்) சில கோப்பு பண்புக்கூறுகள் அச்சிடப்படுகின்றன: கோப்பு வகை (`` REG '', வழக்கமான கோப்பிற்கான), கோப்பு முறை (அக்லலில்), uid மற்றும் gid, மற்றும் கோப்பு அளவு.

-v கொடி ஒன்றுக்கு மேற்பட்ட முறை வழங்கப்பட்டால், மேலும் விவரங்கள் அச்சிடப்படும்.

NFS கோரிக்கைகளை மிகப்பெரியது மற்றும் snaplen அதிகரித்தால் விரிவான விவரங்கள் அச்சிடப்படாது என்பதை நினைவில் கொள்ளவும். NFS ட்ராஃபிக்கை பார்க்க ` s-192 'ஐப் பயன்படுத்த முயற்சிக்கவும்.

NFS பதில் பாக்கெட்டுகள் RPC செயல்பாட்டை வெளிப்படையாக அடையாளம் காணவில்லை. அதற்கு பதிலாக, tcpdump `சமீபத்திய 'கோரிக்கைகளை கண்காணிக்கும், மற்றும் பரிவர்த்தனை ஐடியைப் பயன்படுத்தி பதில்களுக்கு அவற்றை பொருந்தும். பதில் ஒரு கோரிக்கைக்கு நெருக்கமான பின்பற்றுதல் இல்லையெனில், அது பாகுபடுத்தப்படாமல் இருக்கலாம்.

AFS கோரிக்கைகள் மற்றும் பதில்கள்

Transarc AFS (ஆண்ட்ரூ கோப்பு முறைமை) கோரிக்கைகள் மற்றும் பதில்கள் அச்சிடப்படுகின்றன:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx பாக்கெட்-வகை சேவை அழைப்பு அழைப்பு பெயர் args src.sport> dst.dport: rx packet-type சேவை பதில் அழைப்பு-பெயர் args elvis. 7001> pike.afsfs: rx data fs அழைப்பு பழைய fid 536876964/1/1 ". Newsews.ru" புதிய fid 536876964/1/1 ". ந்யூஸ்ரிஸ்" pike.afsfs> elvis.7001: rx தரவு fs மறுபெயரிடு

முதல் வரியில், புரவலன் எல்விஸ் ஒரு RX பாக்கெட் பைக்குக்கு அனுப்புகிறது. இது RS தரவு பேக்கேஜ் fs (fileerver) சேவைக்கு, மற்றும் ஒரு RPC அழைப்பு துவக்கமாகும். 536876964/1/1 என்ற பழைய கோப்பகக் கோப்பு id மற்றும் `. Newsewscc.new` என்ற பழைய கோப்புப்பெயர் மற்றும் 536876964/1/1 என்ற புதிய கோப்பகக் கோப்பு id மற்றும் ஒரு புதிய கோப்புப்பெயர் என்ற பெயருடன் RPC அழைப்பு மறுபெயரிடப்பட்டது. newsrc '. மறுபெயரிட அழைப்புக்கு RPC பதிலுடன் ஹோஸ்ட் பைக் பதிலளிக்கிறது (இது வெற்றிகரமாக இருந்தது, ஏனென்றால் இது ஒரு தரவு பாக்கெட் மற்றும் ஒரு கருவி பாக்கெட் அல்ல).

பொதுவாக, அனைத்து AFS RPC களும் குறைந்தபட்சம் RPC அழைப்பு பெயரால் நீக்கப்படும். பெரும்பாலான AFS RPC களில் குறைந்தபட்சம் சில வாதங்கள் (பொதுவாக 'சுவாரஸ்யமான' வாதங்கள், சுவாரஸ்யமான சில வரையறைகளுக்கு) சிலவற்றைக் கொண்டிருக்கின்றன.

வடிவமைப்பு விவரிக்கப்படுவது சுய விவரிக்கும், ஆனால் அது AFS மற்றும் RX இன் செயல்பாடுகளை நன்கு அறிந்த மக்களுக்கு பயனுள்ளதாக இருக்காது.

-v (verbose) கொடி இருமுறை வழங்கப்பட்டிருந்தால், RX அழைப்பு ID, அழைப்பு எண், வரிசை எண், தொடர் எண் மற்றும் RX பாக்கெட் கொடிகள் போன்ற ஒப்புதல் பாக்கெட்டுகள் மற்றும் கூடுதல் தலைப்பு தகவல்கள் அச்சிடப்படுகின்றன.

-v கொடி இருமுறை வழங்கப்பட்டால், RX அழைப்பு ID, தொடர் எண் மற்றும் RX பேக்கெட் கொடிகள் போன்ற கூடுதல் தகவல்கள் அச்சிடப்படுகின்றன. MTU பேச்சுவார்த்தை தகவல் RX ack packets இலிருந்து அச்சிடப்பட்டுள்ளது.

-v கொடி மூன்று முறை வழங்கப்பட்டால், பாதுகாப்பு குறியீட்டு மற்றும் சேவை ஐடி அச்சிடப்படும்.

Ubik பீக்கான் பாக்கெட்டுகள் தவிர (முறிப்பு பாக்கெட்டுகள் Ubik நெறிமுறைக்கு ஒரு yes vote ஐ குறிக்க பயன்படுத்தப்படுவதால்) தவிர, தவறான பாக்கெட்டுகளுக்கு பிழை குறியீடுகள் அச்சிடப்படுகின்றன.

AFS கோரிக்கைகள் மிகவும் பெரியவை மற்றும் snaplen அதிகரித்தால் பல வாதங்கள் அச்சிடப்படாது என்பதை நினைவில் கொள்க . AFS ட்ராஃபிக்கைப் பார்க்க `` s 256 'ஐப் பயன்படுத்த முயற்சிக்கவும்.

AFS பதில் பாக்கெட்டுகள் RPC நடவடிக்கையை வெளிப்படையாக அடையாளம் காணவில்லை. மாறாக, tcpdump `சமீபத்திய 'கோரிக்கைகளை கண்காணிக்கும், மேலும் அழைப்பு எண் மற்றும் சேவையக ஐடியைப் பயன்படுத்தி பதில்களுக்கு அவற்றை பொருத்துகிறது. பதில் ஒரு கோரிக்கைக்கு நெருக்கமான பின்பற்றுதல் இல்லையெனில், அது பாகுபடுத்தப்படாமல் இருக்கலாம்.

KIP ஆப்பிள்டக் (UDP இல் DDP)

UDP டேட்டாக்கிராம்களில் இணைக்கப்பட்ட Appletalk DDP பாக்கெட்டுகள் டி.பீ.பீ. பாக்கெட்டுகள் (அதாவது, அனைத்து UDP தலைப்பு தகவல் நிராகரிக்கப்பட்டது) என மறைக்கப்பட்டன மற்றும் நிராகரிக்கப்படுகின்றன. பெயருடன் appletalk net மற்றும் node எண்களை மொழிபெயர்க்க /etc/atalk.names பயன்படுத்தப்படுகிறது. இந்தக் கோப்பில் உள்ள கோடுகள் படிவத்தில் உள்ளன

எண் பெயர் 1.254 ஈதர் 16.1 icsd-net 1.254.110 ace

முதல் இரண்டு வரிகள் appletalk நெட்வொர்க்குகள் பெயர்களை கொடுக்கின்றன. மூன்றாவது கோடு ஒரு குறிப்பிட்ட ஹோஸ்டின் பெயரைக் கொடுக்கும் (ஒரு ஹோஸ்ட் எண் 3 ல் 3 வது ஆக்ட்டில் நிகரதுடன் வேறுபடுகிறது - நிகர எண்ணில் இரண்டு ஆக்டெட்டுகள் இருக்க வேண்டும் மற்றும் ஒரு ஹோஸ்ட் எண் மூன்று ஆக்டெட்டுகளைக் கொண்டிருக்க வேண்டும்.) எண் மற்றும் பெயர் பிரிக்கப்பட்டிருக்க வேண்டும் இடைவெளி (வெற்றிடங்கள் அல்லது தாவல்கள்) மூலம். /etc/atalk.names கோப்பில் வெற்று கோடுகள் அல்லது கருத்து வரிகளைக் கொண்டிருக்கலாம் (ஒரு "#" உடன் தொடங்கும் வரிகள்).

Appletalk முகவரிகள் வடிவத்தில் அச்சிடப்படுகின்றன:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

( /etc/atalk.names இல்லை அல்லது சில appletalk புரவலன் / நிகர எண்ணை ஒரு நுழைவு இல்லை என்றால், முகவரிகள் எண் வடிவத்தில் அச்சிடப்படும்.) முதல் எடுத்துக்காட்டாக, நிகர 144.1 இல் NBP (DDP போர்ட் 2) node 209 net icsd node 112 ன் துறைமுகத்தில் கேட்கும் அனைத்திற்கும் 209 அனுப்புகிறது. மூல வரியின் முழுப் பெயரையும் (`அலுவலகம் ') அறியப்படுவதும் தவிர இரண்டாவது வரியும் ஒரேமாதிரியாகும். Ixd-net NBP போர்ட் (255) வலைப்பின்னல் எண் இல்லாமல் நிகர பெயரால் குறிப்பிடப்பட்டிருப்பதை கவனிக்க - இது ஒரு நல்ல யோசனையாக, மூன்றாவது கோடு நெட் ஜஸ்மக் முனை 149 இல் துறைமுக 235 இலிருந்து அனுப்பப்படுகிறது. /etc/atalk.names இல் குறிப்பிடப்பட்ட முனை பெயர்கள் மற்றும் நிகர பெயர்களை வைக்க).

NBP (பெயர் பிணைப்பு நெறிமுறை) மற்றும் ATP (Appletalk பரிவர்த்தனை நெறிமுறை) பாக்கெட்டுகள் அவற்றின் உள்ளடக்கங்களைக் கொண்டிருக்கின்றன. மற்ற நெறிமுறைகள் நெறிமுறை பெயரை (அல்லது நெறிமுறைக்கு பெயரை பதிவு செய்யவில்லை என்றால்) அல்லது பாக்கெட் அளவைப் பின்தொடரும்.

NBP பாக்கெட்டுகள் பின்வருமாறு வடிவமைக்கப்பட்டுள்ளன:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: லேசர் எழுத்தாளர் @ *" jssmag.209.2> icsd-net.112.220: nbp- பதில் 190: "RM1140: லேசர் எழுத்தாளர் @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: laserwriter @ *" 186

முதல் வரி நிகர jssmag இல் வலை நிகான் host 112 அனுப்பிய லேசர் எழுத்தாளர்கள் ஒரு பெயர் தேடல் கோரிக்கை ஆகும். தேடுபொறிக்கான nbp ஐடி 190 ஆகும். இரண்டாவது கோடு இந்த கோரிக்கைக்கான பதிலைக் காட்டுகிறது (அது அதே ஐடியைக் கொண்டிருப்பதைக் காட்டுகிறது) ஹோஸ்ட் jssmag.209 இலிருந்து போர்ட் 250 இல் பதிவு செய்யப்பட்ட "RM1140" என்ற பெயரிடப்பட்ட லேசர் எழுத்தாளர் ஆதாரம் உள்ளது என்று கூறுகிறது. கோடு 186 துறைமுகத்தில் பதிவுசெய்த லேசர் எழுத்தாளர் "டெக்ஸ்பிட்" என்ற ஹோஸ்ட் டெக்ஸ்பிட்டிக்கு அதே கோரிக்கையின் மற்றொரு பதிப்பாகும்.

ATP பாக்கெட் வடிவமைப்பு பின்வரும் எடுத்துக்காட்டில் நிரூபிக்கப்பட்டுள்ளது:

jsmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jsmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- 12266: 4 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios Hellos.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 8 பாக்கெட்டுகள் (`0-7> ') வரை கோரிக்கை மூலம் ஹோஸ்ட் ஹீலியோவுடன் பரிவர்த்தனை ஐடி 12266 ஐ தொடங்குகிறது. கோட்டின் முடிவில் உள்ள ஹெக்ஸ் எண் கோரிக்கை உள்ள `userdata 'புலத்தின் மதிப்பாகும்.

8 512-பைட் பாக்கெட்டுகளுடன் ஹீலியோஸ் பதிலளிக்கிறது. பரிவர்த்தனை அடையாளத்தைத் தொடர்ந்து `: இலக்க 'பரிவர்த்தனையில் பாக்கெட் வரிசை எண் கொடுக்கிறது மற்றும் அடைப்புக்குறிக்குள் உள்ள எண் அட்டையின் தரவின் அளவு ஆகும், அது அட்டையின் தலைப்பு தவிர. பாக்கெட் 7 இல் `* 'என்பது EOM பிட் அமைக்கப்பட்டிருப்பதை குறிக்கிறது.

Jssmag.209 பின்னர் பாக்கெட்டுகள் 3 & 5 மீட்டமைக்கப்பட வேண்டும். ஹீலியோஸ் அவர்களை அனுப்புகிறார் பின்னர் jssmag.209 பரிவர்த்தனை வெளியீடு. இறுதியாக, அடுத்த கோரிக்கையை jssmag.209 தொடங்குகிறது. கோரிக்கையின் மீது `* 'XO (` சரியாக') அமைக்கப்படவில்லை என்பதைக் குறிக்கிறது.

ஐபி துண்டு துண்டாக்கல்

துண்டு துண்டான இணைய datagrams என அச்சிடப்படுகின்றன

(frag id : size @ offset +) (frag id : size @ offset )

(முதல் வடிவத்தில் இன்னும் துண்டுகள் இருப்பதாகக் குறிக்கிறது. இரண்டாவது இது கடைசி துண்டுப்பகுதியாகும்.)

ஐடி என்பது துண்டு ஐடி. ஐபி தலைப்பு தவிர்த்து துண்டு அளவு (பைட்டுகளில்) உள்ளது. அசல் டேட்டாக்கிராமில் இந்த துண்டுப்பிரதியின் ஆஃப்செட் (பைட்டுகளில்) உள்ளது.

ஒவ்வொரு பகுதிக்கும் துண்டு வெளியீடு வெளியீடு ஆகும். முதல் துண்டு உயர் நிலை நெறிமுறை தலைப்பு கொண்டிருக்கும் மற்றும் துண்டு தகவல் நெறிமுறை தகவல் பிறகு அச்சிடப்படுகிறது. முதல் பிறகு துண்டுகள் இல்லை உயர் நிலை நெறிமுறை தலைப்பு மற்றும் துண்டு தகவல் மூல மற்றும் இலக்கு முகவரிகள் பிறகு அச்சிடப்பட்டுள்ளது. உதாரணமாக, இங்கே ars.edu இலிருந்து lb-rtsg.arpa லிருந்து CS6ET இணைப்புடன் 576 பைட் datagram களைக் கையாள தெரியவில்லையெனில்:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) அரிசனி> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. 1536 வெற்றி 2560

இங்கே கவனிக்க வேண்டிய சில விஷயங்கள் உள்ளன: முதலாவதாக, 2 வது வரிசையில் உள்ள முகவரிகள் போர்ட் எண்களைக் கொண்டிருக்காது. TCP நெறிமுறை தகவல் அனைத்து முதல் துண்டுகளாக இருப்பதால், நாம் அடுத்த துண்டுகளை அச்சிடுகையில் துறை அல்லது வரிசை எண்கள் என்னவென்று தெரியவில்லை. இரண்டாவதாக, முதல் வரிசையில் TCP வரிசை தகவல் அச்சிடப்பட்டால், 308 பைட்டுகள், 512 பைட்டுகள் (முதல் சுற்றில் 308 மற்றும் இரண்டாவது இடத்தில் 204) உள்ளன. நீங்கள் வரிசை இடத்தில் துளைகள் தேடும் அல்லது பாக்கெட்டுகள் மூலம் acks பொருத்த முயற்சி என்றால், இந்த நீங்கள் ஏமாற்ற முடியும்.

ஐபி உடனான ஒரு பாக்கெட் துண்டுப்பிரதி (டிஎஃப்) உடன் குறிக்கப்பட்டுள்ளது.

நேரமுத்திரை

முன்னிருப்பாக, அனைத்து வெளியீட்டு வரிகளும் ஒரு நேர முத்திரையால் முன் வைக்கப்படும். நேர முத்திரை வடிவத்தில் தற்போதைய கடிகார நேரம்

மம: மிமீ: ss.frac

மற்றும் கர்னலின் கடிகாரத்தின் துல்லியமாக உள்ளது. நேர முத்திரை கர்னல் முதல் பாக்கெட் பார்த்த நேரம் பிரதிபலிக்கிறது. ஈத்தர்நெட் இடைமுகமானது கம்பிவிலிருந்து பாக்கெட் நீக்கப்பட்டதும், கர்னல் 'புதிய பாக்கெட்' குறுக்கீடு செய்யப்படும்போது இடையே எந்த நேரமும் கணக்கில் எடுத்துக்கொள்ள முயற்சிக்கவில்லை.

மேலும் காண்க

டிராஃபிக் (1C), nit (4P), bpf (4), pcap (3)

முக்கியமானது: உங்கள் குறிப்பிட்ட கணினியில் ஒரு கட்டளை எவ்வாறு பயன்படுத்தப்படுகிறது என்பதைப் பார்க்க, man கட்டளை ( % man ) ஐப் பயன்படுத்தவும்.