Tcpdump - Linux Command - Unix Command

ANARANA

tcpdump - fitaterana fifamoivoizana eo amin'ny tambajotra

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F rakitra ]

[ -i interface ] [ -m modifier ] [ -r file ]

[ -s snaplen ] [ -T type ] [ -U mpampiasa ] [ -w file ]

[ O algo: secret ] [ expression ]

DESCRIPTION

Ny tcpdump dia mamoaka ny lohan'ny fonosana eo amin'ny sehatry ny serasera izay mifanandrify amin'ny teny boolean. Azonao atao ihany koa ny mihazakazaka miaraka amin'ny -w saina, izay mahatonga azy io hanavotra ny angona pake ao amin'ny rakitra iray ho an'ny fanadihadiana any aoriana, ary / na miaraka amin'ny flag -r , izay mahatonga azy io hamaky avy amin'ny rakitra tahiry voavonjy, fa tsy mamaky packets avy amin'ny interface interface. Amin'ny toe-javatra rehetra, dia ny fanaovan-tsoratra izay mifanandrify amin'ny fanontana dia hcpdump .

Ny tcpdump dia, raha tsy mihazakazaka miaraka amin'ny saina -c , dia arotsaho ny fandefasana entana mandra-pandefasan'ny signal SIGINT (novokarina, ohatra, amin'ny fanoratana ny karazan-tsipikao eo anelanelanao, amin'ny ankapobeny ny control-C) na ny famantarana SIGTERM (amin'ny ankapobeny (1) baiko); Raha toa ka mihazakazaka miaraka amin'ny saina -c , dia haka fonosana izy mandra-pandefasan'ny signal SIGINT na SIGTERM na ny angona nomena ny kitapo.

Rehefa tapitra ny fanangonana fonosana ny tcpdump , dia mitatitra ny:

Packets `'noraisina tamin'ny sivana' '(ny dikan'io dia miankina amin'ny OS izay ampiasainao tcpdump , ary angamba amin'ny fomba nanamboarana ny OS - raha toa ka asiana marika eo amin'ny baikon'ny baiko ny sivana, amin'ny OSES izay heveriny pake na inona na inona raha mifanohitra amin'ny fanehoan-tsirinteny izy ireo, ary amin'ny OSes hafa dia tsy misy afa-tsy karazan-tsafidy izay mifanaraka amin'ny fanehoan- tsirinteny ary ampiasaina amin'ny tcpdump );

Pakets `` nilatsaka tamin'ny kernel '(io no isa ny fonosana nopotehina, noho ny tsy fisian'ny habaka buffer, amin'ny paikady fisintonana fonosana ao amin'ny OS izay tcpdump dia mihazakazaka, raha mitatitra izany ny OS ho fampiharana; Raha tsia, dia voalaza ho 0).

Ao amin'ny sehatra izay manohana ny famantarana SIGINFO, toy ny ankamaroan'ny BSD, dia mitatitra ireo isa ireo rehefa mahazo fahitana SIGINFO (novokarina, ohatra, amin'ny alalan'ny fanondroana ny 'status' 'karazany, amin'ny ankapobeny ny control-T) ary hanohy hanangona fonosana .

Ny famakiana fonosana avy amin'ny serasera dia mety mitaky fa manana tombontsoa manokana ianao:

Ao ambanin'ny SunOS 3.x na 4.x miaraka amin'ny NIT na BPF:

Tsy maintsy novakianao ny fahafahana miditra / dev / nit na / dev / bpf * .

Ao ambanin'ny Solaris miaraka amin'ny DLPI:

Tsy maintsy manana fahafahana mamaky na manoratra amin'ny tontolon'ny pseudo nety, ohatra / dev / le . Amin'ny farafaharatsiny sasantsasany amin'ny solaris sasany dia tsy ampy hamela ny tcpdump hisambotra amin'ny fomba mahazatra; Amin'ny solarisarin'i Solaris, tokony ho root ianao, na ny tcpdump dia tsy maintsy apetraka setuid ny root, mba hahazoana ny fomba mahazatra. Mariho fa, amin'ny ankapobeny (angamba rehetra), raha tsy maka amin'ny fomba mahazatra ianao, dia tsy hahita karazan-drakitra miseho, noho izany dia mety tsy tena ilaina ny fisamborana tsy natao tamin'ny fomba mahazatra.

Eo ambanin'ny HP-UX miaraka amin'ny DLPI:

Tokony ho faka na tcpdump dia tsy maintsy apetraka setuid ho root.

Ao amin'ny IRIX miaraka amin'ny snoop:

Tokony ho faka na tcpdump dia tsy maintsy apetraka setuid ho root.

Under Linux:

Tokony ho faka na tcpdump dia tsy maintsy apetraka setuid ho root.

Ao amin'ny Ultrix sy Digital UNIX / Tru64 UNIX:

Ny mpampiasa rehetra dia mety haka fifamoivoizana amin'ny serasera amin'ny tcpdump . Na izany aza, tsy misy mpampiasa (na ilay mpampiasa super-user) aza dia afaka misambotra amin'ny fomba mahazatra ao anaty interface raha tsy hoe nampiasa mpampiasa superficie ny fomba fiasa amin'ny fomba fampiasa amin'ny pfconfig (8), ary tsy misy mpampiasa (na dia ny mpampiasa indrindra aza) ) dia afaka misambotra ny fifamoivoizam-po iray izay naterina na nalefan'ny milina teo amin'ny takila raha tsy nampiasa ny ping-pifconfig ny dika kopia-ny-fomba rehetra ao amin'io interface io, ka ny fampidiran- drakitra tena ilaina amin'ny takelaka dia mety mitaky orana na maimaim-poana - Ny fampiasana ny rindrankajy, na ny fomba amam-panao roa, dia alefa eo amin'io interface io.

Under BSD:

Tsy maintsy novakianao ny / dev / bpf * .

Ny famakiana rakitra tahiry voavonjy dia tsy mitaky tombontsoa manokana.

FANDIKANA

-a

Fanandramana hamadika ny tambajotra sy adiresy mivantana amin'ny anarana.

-c

Mialà aorian'ny fandaharam-panampianao.

-c

Alohan'ny hanoratana fonosana iray ho an'ny savefile, tsidiho raha efa lehibe kokoa ny rakitra noho ny file_size ary raha toa ka manakombona ny savefile ankehitriny ary manokatra vaovao. Savefiles aorian'ny voalohany savefile dia hanana ny anarana voatondro miaraka amin'ny -w flag, miaraka amin'ny isa aorian'izay, manomboka amin'ny 2 ary mitohy ambony. Ireo singa amin'ny file_size dia isa be indrindra (1 000 000 bytes, fa tsy 1.048.576 bytes).

-d

Dump the code packed compact in a human readable form to standard output and stop.

-dd

Dump packet-matching code ho sanda programa C.

-ddd

Dump packet-matching code amin'ny laharan-tsarimihetsika (mialoha ny isa).

-e

Soraty ny lohara-dian-tongotra eo amin'ny tsipika tsirairay.

-MG

Ampiasao ny algo: miafina amin'ny famaritana ny psecs amin'ny IPsec ESP. Ny algorithm may be des- cbc , 3des- cbc , blowfish-cbc , rc3-cbc , cast128-cbc , na tsy misy . Ny default dia des-cbc . Ny fahafahana mametaka ny fonosana dia tsy misy afa-tsy raha ny tcpdump dia novolavola amin'ny alàlan'ny cryptography. tsiambaratelo ny lahatsoratra ascii amin'ny key secret secret ESP. Tsy afaka mandray ny sandan'ny vola tsy misy dikany isika amin'izao fotoana izao. Ny safidy dia manondro RFC2406 ESP, fa tsy RFC1827 ESP. Ny safidy dia ho an'ny teboka debugging, ary ny fampiasana io safidy io miaraka amin'ny fanalahidy 'miafina' dia kivy. Amin'ny fampisehoana ny fanalahidy miafina IPsec ao amin'ny baikon'ny baiko dia ahitanao azy amin'ny hafa, amin'ny ps (1) sy ny fotoana hafa.

-f

Ny adiresy Internet avy any ivelany dia manamarika fa tsy noho ny fanehoana an'ohatra. Ity safidy ity dia natao hanakanana ny fahasimban'ny atidoha ao amin'ny yp server Sun.-Mazàna izy io no manantona mandrakizay ny isa amin'ny Internet.

-F

Mampiasà rakitra ho fampidirana ny fanehoan-tsaho. Ny fanehoan-kevitra iray fanampiny nomena amin'ny baikon'ny baiko dia tsy raharahiana.

-i

Henoy amin'ny interface . Raha tsy voafaritra, tcpdump dia mikaroka ny lisitry ny interface an'ny finday ho an'ny isa ambany indrindra, manangana ny interface (afa-tsy ny loopback). Voafetra ny fifamatorana amin'ny fisafidianana ny lalao voalohany.

Amin'ny alàlan'ny Linux miaraka amin'ny kernel 2.2 na aoriana dia azo ampiasaina ny fisafidianana interface misy ny '' any '' mba hisamborana fonosana avy amin'ny serasera rehetra. Mariho fa ny fanangonana ny fitaovana `` any 'dia tsy hatao amin'ny fomba mahazatra.

-l

Ataovy tsipika ny stdout. Ilaina raha te hahita ny angon-drakitra ianao rehefa misambotra azy io. ohatra,
'tcpdump -l | tee dat '' na `` tcpdump -l> dat & tail -f dat ''.

-m

Ampidiro famaritana famaritana SMIB an'ny MIB ny solosaina rakitra. Ity safidy ity dia azo ampiasaina imbetsaka mba hamindrana môleba maromaro ao amin'ny tcpdump .

-n

Aza adino ny adiresy ny adiresy nomena. Azo ampiasaina izany mba hisorohana ny fikarohana DNS.

-nn

Aza manova ny anaran'ny protocol sy ny ports ets.

-N

Aza atao pirinty ny anaran'ny mpampiantrano anarana. Ohatra, raha omenao io sainam-pirenena io dia tcpdump dia hanonta `` nic '' fa tsy `` nic.ddn.mil ''.

-o

Aza mihodina ny fandefasana baoritra amina paikady. Tena ilaina izany raha tsy misalasala ny bug ao amin'ny optimiser.

-p

Aza apetraka amin'ny fomba mahazatra ny interface. Mariho fa ny interface dia mety amin'ny fomba fanao mahazatra noho ny antony hafa; Noho izany, `` p 'dia tsy azo ampiasaina ho alalana ho an'ny ether host [local-hw-addr} na ether broadcast'.

-q

Hery (miala?). Soraty ny fampahafantarana misimisy kokoa momba ny protocol mba ho fohy ny laharana vokatra.

-R

Atero ireo fonosana ESP / AH izay mifototra amin'ny tondroina taloha (RFC1825 hatramin'ny RFC1829). Raha voalaza, tcpdump dia tsy hanonta ny sakana ho an'ny fisorohana ny famerenana. Satria tsy misy sehatr'asa fanovàna protocol amin'ny tondrozotra ESP / AH, ny tcpdump dia tsy afaka mamoaka ny baikon'ny protocol ESP / AH.

-r

Vakio ny fonosana avy amin'ny rakitra (izay noforonina miaraka amin'ny safidy -w). Ny fampidirana endri-tsoratra dia ampiasaina raha toa ka atao `` - '' ny rakitra .

nerlandey

Famoahana tanteraka, fa tsy relancies, TCP sequence numbers.

nerlandey

Snarf snaps an'ny rakitra tsirairay avy amin'ny fonosana tsirairay fa tsy ny isa 68 (miaraka amin'ny NOS ny SunOS, ny kely indrindra dia tena 96). Ny 68 bytes dia ampy ho an'ny IP, ICMP, TCP ary UDP fa mety hanodina ny fampahalalana momba ny protocol amin'ny anaran'ny server sy ny fonosana NFS (jereo eto ambany). Ny fonosana kobanina noho ny voafetra voafetra dia voatondro ao amin'ny output mit `` [| proto ] '', izay ny prototo dia ny anaran'ny protocola nivo izay nisy ny fanakanana. Mariho fa ny fakana sary lehibe kokoa dia mampitombo ny habetsaky ny fotoana ilaina mba handaminana ny fonosana ary, raha ny marina, dia mampihena ny habetsaky ny fonosana packet. Mety hiteraka fahavoazana izany. Tokony hametra ny sombin-drakitra mankany amin'ny isa kely indrindra izay hahazoana ny fampahafantarana momba ny protocol izay tianao. Ny fametahana snaploka ho an'ny 0 dia midika ny fampiasana ny halavan'ny laha- drakitra mba hahazoana fonosana.

-T

Ny kitapom-pahefana voafantina amin'ny " expression " dia tokony ho entina ilazana ny karazana voafaritra. Ireo karazana fantatra ankehitriny dia cnfp (Cisco NetFlow protocol), rpc (Remote Procedure Call), rtp (protocol protocol d'actualités ), rtcp (protocol protocol d'actualités ), snmp (Simple Network Management Protocol), vat (Visual Audio Tool ), ary wb (zaraina White Board).

-t

Aza manonta fotoana iray isaky ny dump.

-tt

Soraty amin'ny fotoana iray tsy misy fanamafisana ny isa tsirairay.

-U

Mamoaka tombontsoa ho an'ny root sy manova ny ID mpampiasa amin'ny ID sy ny vondrona ho an'ny vondron'ny mpampiasa .

Fanamarihana! Red Hat Linux dia mamela ny tombontsoa ho an'ny mpampiasa `` pcap 'raha tsy misy zavatra hafa voatondro.

-ttt

Manonta delta (amin'ny segondra vetivety) eo anelanelan'ny ankehitriny sy ny andalana teo aloha amin'ny dump.

-tttt

Soraty amin'ny daty famaranana amin'ny daty famaranana ny daty famaranana amin'ny endri-tsoratra.

-u

Manonta andrefana ny NFS.

-v

(Slightly more) vokatra ambaratonga. Ohatra, ny fotoana hiainana, ny famantarana, ny halavany manontolo sy ny safidy amin'ny päér IP dia vita printy. Manampy ihany koa ny fanamarinana fandefasana karatra fanampiny toy ny fanamarinana ny checksum header an'ny IP sy ICMP.

-vv

Na dia avo kokoa aza ny vokatra. Ohatra, ireo saha fanampiny dia natonta avy amin'ny valin'ny fangatahana NFS, ary ny SMB packets dia feno decoded.

-vvv

Na dia avo kokoa aza ny vokatra. Ohatra, telnet SB ... safidy SE dia vita printy. Miaraka amin'ny -X telnet safidy dia vita printy amin'ny hex koa.

-w

Soraty ny fonosana manga fa tsy manaparitaka sy manonta azy. Azo atao printy miaraka amin'ny -r izy ireo any aoriana. Ny vokatra alaina dia ampiasaina raha toa ka atao `` - '' ny rakitra .

-x

Soraty ny fonosana tsirairay (minus ny lohatenin'ny rohy) amin'ny hex. Ny kely kokoa amin'ny paikady na snaplena manontolo dia hosoratana. Mariho fa ity no fonosana mifandraika amin'ny rohy rehetra, noho izany ho an'ny tranonkala mifandraika amin'ny takelaka (ohatra Ethernet), ny bytes amin'ny fonosana dia hosoratana ihany koa raha toa ka ny paikady farafaharatsiny kokoa no fohy kokoa noho ny fanesorana.

-X

Rehefa manonta hex dia ascii koa. Raha toa ka atao koa ny -x , dia vita printy amin'ny hex / ascii ilay pake. Tena fakan-tahaka tokoa ny famakafakana ny fanolorana vaovao. Na dia tsy natao koa aza ny -x , ny ampahany sasany amin'ny fonosana sasany dia azo aseho amin'ny hex / ascii.

teny

mifidy izay entana entona. Raha tsy misy fanehoan-kevitra dia hapetraka daholo ny fonosana rehetra ao anaty aterineto. Raha tsy izany, dia ny pake ihany no azo atao hoe "marina".

Ny fanehoana dia ahitana iray na maromaro . Ny primitives dia matetika avy amin'ny id (anarana na isa) mialoha ny iray na maromaro kokoa. Misy karazana telo samihafa:

karazana

Milaza ireo kalitaona hoe inona ny karazana zavatra asehon'ny anarana na tarehimarika. Ny karazana azo atao dia ny mpampiantrano , ny tambajotra ary ny port . Ohatra: 'foo fo', 'net 128.3', 'port 20'. Raha tsy misy ny sokajy karazana, dia raisina ny tompona .

Back

Ireo kalandrie dia manondro tari-dalana fampitàna manokana mankany / na avy amin'ny id . Ny toro-lalana mety dia src , dst , src na dst ary src sy dst . Ohatra, 'src foo', 'dst net 128.3', 'src na dst port ftp-data'. Raha tsy misy ny kalitao, tompoko ny src na dst . Ho an'ny 'null' fifandraisana (toy ny teboka maromaro toy ny fatorana) dia azo ampiasaina ny fepetra fanalahidy sy entana entina hanondroana tari-dalana iray.

teny

Ireo mpilatsaka hofidiana dia mametra ny lalao amin'ny protocol manokana. Possible protos dia: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp ary udp . Ohatra: 'ether src foo', 'arp net 128.3', 'tcp port 21'. Raha tsy misy ny qualifier proto, dia heverina fa ny protocoles rehetra mifanaraka amin'ny karazana. Ohatra, ny "src foo" dia midika hoe (ip na arp na rarp) src foo '(raha tsy hoe ny farany dia tsy fehezan-dalàna ara-dalàna), ny' bar bar 'midika hoe (ip na arp na rarp) bar bar' ary port ' '(tcp na udp) port 53'.

[`fddi 'dia tena alias for ether'; Ny parser dia mitazona azy ireo toy ny dikan'ny hoe 'ny rohy angona ampiasaina amin'ny aterineto.' 'Ny lohatenin'ny FDDI dia ahitana loharano sy adiresy ao amin'ny Ethernet, ary matetika ahitana karazan-tsakafo Ethernet, mba hahafahanao misintona ireo saha FDDI tahaka ny saha Ethernet analogy. Ny lohatenin'ny FDDI dia misy ihany koa saha hafa, saingy tsy afaka milaza azy ireo amin'ny fomba mazava tsara ianao.

Tahaka izany ihany koa, ny 'tr' dia aliasan'ny 'ether'; ny fanambarana ofisialy teo aloha momba ny lohatenin'ny FDDI dia mihatra koa amin'ny lohatenin'ny Token Ring.]

Ankoatra ireo voalaza etsy ambony ireo dia misy sombim-peo manokana 'primitif' izay tsy manaraka ny lamina: vavahady , fampielezam-peo , latsa , lehibe kokoa ary aritmetika. Ireo rehetra ireo dia voafaritra etsy ambany.

Ny teny filamatra saro-baro kokoa dia natsangana tamin'ny fampiasana ny teny ary , na koa tsy hampifangaro ny primitives. Ohatra: `Foo foo fa tsy port ftp fa tsy port ftp-data '. Raha te hamonjy ny typing, dia azo omena ny lisitry ny lisitry ny lisitra. Ohatra, 'tcp dst port ftp na ftp-data na domains' dia mitovy mitovy amin'ny 'tcp dst port ftp na tcp dst port ftp-data na tcp dst port domain'.

Ireo loharano azo avaozina dia:

dst host host

Marina raha toa ka ny mpampiantrano IPv4 / v6 dia mety ho adiresy na anarana.

src host host

Marina raha misy mpampiantrano ny sehatr'ilay sehatra IPv4 / v6.

host host

Marina raha misy ny orinasan'ny IPv4 / v6 na ny toerana misy ny fonosana. Ny fanehoan-kevitra rehetra voalaza etsy ambony dia azo alaina amin'ny teny fototra, IP , arp , rarp , or ip6 toy ny:

ip host host

izay mitovy amin'ny:

ether proto \ ip sy host host

Raha ny tompona dia anarana misy adiresy IP miavaka, ny adiresy tsirairay dia hijery ny lalao.

ether dst ehost

Marina raha adiresy ehost ny adiresy ethernet. Ehost dia mety ho anarana avy amin'ny / etc / ethers na tarehimarika (jereo ether (3N) ho an'ny tarehimarika nomerika).

ether src ehost

Marina raha ny adiresy ethernet dia ehost .

ether host ehost

Marina raha toa ny ehnet na loharanon-tserasera ethernet.

gateway host

Marina raha nampiasa tranokala ny entana nampiasaina. Eny, ny adiresy ethernet na adiresy an- dalamby dia nampiantrano, saingy tsy ny loharanom-pahefana IP na ny destination IP no tompona . Ny mpampiantrano dia tokony ho anarana ary tsy maintsy hita amin'ny fametrahana ny fametrahana ny solosaina amin'ny fametrahana ny anaran'ny mpampiasa (anaran-to-IP amin'ny anaran'ny mpampiantrano) (file name host, DNS, NIS, sns.) Ary ny solon'ilay host-name-to-Ethernet mekanika (/ etc / ethers, sns.). (Ny teny mitovy amin'izany dia

ether host ehost ary tsy host host

izay azo ampiasaina amin'ny anarana na tarehimarika ho an'ny mpampiantrano / ehost .) Tsy miasa amin'ny fampifandraisana IPv6 amin'ny aterineto ity syntax ity.

dst net net

Marina raha manana adiresy adiresy IPv4 / v6 ao amin'ny fonosana ny tamba- jotra . Net mety ho anarana avy amin'ny / etc / tambajotra na tambanjotran'ny tambazotra (jereo ny tambajotra (4) ho an'ny antsipiriany).

src net net

Marina raha manana adiresy loharanom-pifandraisana misy ny adiresy IPv4 / v6 ao amin'ny fonosana.

net net

Marina raha misy adiresy orinasa IPv4 / v6 na adiresy ao amin'ny fonosana dia misy tamba-jotra maromaro.

net net mask mask net

Marina raha mifanaraka ny tambajotra manokana ny adiresy IP. Azonao atao ny mipetraka amin'ny src na dst . Mariho fa ity fitsipika ity dia tsy manan-kery amin'ny tranonkala IPv6.

net net / len

Marina raha toa ka adinoina ny adiresy IPv4 / v6 miaraka amin'ny bitsim- pandraketan -tserasera. Azonao atao ny mipetraka amin'ny src na dst .

dst port port

Marina raha toa ny IP / tcp, ip / udp, ip6 / tcp na ip6 / udp ary manana serivisy port ho an'ny seranan - tsambo . Ny seranana dia mety ho marika na anarana ampiasain'ny / etc / services (jereo ny tcp (4P) sy ny udp (4P)). Raha ampiasaina ny anarana, dia ny nomeraona nomerao sy ny protocol dia voamarina. Raha misy nomerao maromaro na marim-bovoka no ampiasaina, ny takila fisokajiana ihany no hijery (ohatra ny dst port 513 dia hanontana ny tcp / ny fidirana an-tserasera ary ny udp / iza ny fifamoivoizana, ary ny sehatra port dia hanonta ny tcp / domains sy ny udp / ny fifamoivoizana).

src port port

Marina raha manana sanda seranan - tseranana ny seranan - tsambo .

port port

Marina raha ny seranan-tsambo na ny seranan-tseranana ao amin'ny fonosana dia port . Ny fanehoan-tserasera etsy ambony dia azo alaina amin'ny teny fototra, tcp na udp , toy ny amin'ny:

port port tcp

izay tsy mifanaraka afa-tsy ny fonosana tcp izay port port dia port .

latsaka kely

Marina raha manana lanjany latsaky ny lanjany ny paikady. Mitovy amin'ny:

len <= làlan .

lehibe kokoa

Marina raha manana lanjany lehibe kokoa na lava ny pana . Mitovy amin'ny:

len> = lava .

ip proto protocol

Marina raha paka IP (jereo IP (4P)) ny protocol protocol . Ny Protocol dia mety ho marika na iray amin'ny anarana icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , na tcp . Mariho fa ireo mpanondro tcp , udp , ary icmp dia teny fitenenana ihany koa ary tokony ho voavonjy amin'ny backslash (\), izay \\ ao amin'ny C-shell. Mariho fa ity primitif ity dia tsy manenjika ny rojom-panalahidy protocol.

ip6 proto protocol

Marina raha pirafitry ny protocol protocol protocol protocol ny pocket IPv6. Mariho fa ity primitif ity dia tsy manenjika ny rojom-panalahidy protocol.

ip6 protochain protocol

Marina raha fonosana IPv6 ny pake, ary misy ny header misy ny protocol protocol amin'ny endritsoratra header. Ohatra,

ip6 protochain 6

dia mifanandrify amin'ny fonosana IPv6 amin'ny header header Protocol Protocol Protocol amin'ny raki-doha header. Ny fonosana dia mety ahitana, ohatra, ny lohatenin'ny fanamarinana, ny loham-pandaharana, na ny hop-by-hop lohapejy, eo anelanelan'ny lohan'ny IPv6 sy ny lohatenin'ny TCP. Ny code BPF navoakan'ity primitika ity dia sarotra ary tsy azo atao amin'ny alàlan'ny codec optimizer BPF amin'ny tcpdump , noho izany dia somary somary mihisatra izany.

ip protochain protocol

Ohatra mitovy amin'ny protocol protocol ip6 , fa ho an'ny IPv4.

ether broadcast

Marina raha toa ny poketrany ethernet broadcast. Ny teny fototra ethera dia tsy azo atao.

ip broadcast

Marina raha pake iraisam-pirenenana IP ny pake. Izy io dia manara-maso ny fampitam-baovaon'olon-tsotra sy ny mpanatrika rehetra, ary mijery ny sarimihetsika subnet eo an-toerana.

ether multicast

Marina raha toa ny pake ethernet multicast. Ny teny fototra ethera dia tsy azo atao. Ity dia mihetsika ho an'ny ether [0] & 1! = 0 '.

ip multicast

Marina raha toa ny pake IP multicast.

ip6 multicast

Marina raha pake IPv6 multicast ilay piraefa.

ether proto protocol

Marina raha toa ilay protocole karazana ethero . Ny Protocol dia mety ho marika na anarana amin'ny anarana ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , na netbeui . Mariho fa ireo teny fanalahidy ireo dia teny fanalahidy ary tsy maintsy resy amin'ny backslash (\).

[Raha ny FDDI (oh: ` fddi protocol arp ') sy ny Token Ring (ohatra,` tr protocol arp '), ho an'ny ankamaroan'ireo protocoles ireo, ny famantarana ny protocol dia avy amin'ny loharano 802.2 Logical Link Control (LLC) dia matetika misoratra eo ambony lohan'ny FDDI na Token Ring.

Rehefa sintonina ho an'ny ankamaroan'ny protocol identifier amin'ny FDDI na ny Token Ring, ny tcpdump dia tsy mijery afa-tsy ny lohan'ny solonanarana protocol ao amin'ny lohan'ny orinasa iray antsoina hoe SNAP ao amin'ny format SNAP miaraka amin'ny Organisation Unit Identifier (OUI) amin'ny 0x000000, ho an'ny Ethernet kapila; Tsy manamarina raha ao amin'ny format SNAP miaraka amin'ny OUI amin'ny 0x000000 ny fonosana.

Ny isam- panafahana dia iso , izay manara-maso ny DSAP (Point Destination Access Point) sy SSAP (source Service Access Point), ny header header, stp ary netbeui , izay manamarina ny DSAP amin'ny header header, ary atalk , izay toerana fanamarinana ho an'ny poketra SNAP-format miaraka amin'ny OUI amin'ny 0x080007 sy ny etype Appletalk.

Raha ny Ethernet, ny tcpdump dia manamarina ny saha Ethernet ho an'ny ankamaroan'ireo protocols ireo; Ny Exception dia iso , sap , ary netbeui , izay manara-maso ny frame 802.3 ary avy eo dia manamarina ny lohan'ny orinasa mikirakira ny FDDI sy ny Token Ring, atalk , izay manamarina izy roa ho an'ny etsy Appletalk ao anaty rafitra Ethernet ary ho an'ny Pikantsary SNAP-format toy ny an'ny FDDI sy ny Token Ring, aarp , izay manamarina ny karazana appletalk ARP ao anaty frame Ethernet na frame 802.2 SNAP miaraka amin'ny OUI amin'ny 0x000000, ary ipx , izay manamarina ny etype IPX amin'ny Frame Ethernet, IPX DSAP ao amin'ny header header, ny 802.3 izay tsy misy fanakambanana lohan'ny IPX, ary ny etype IPX ao amin'ny frame SNAP.]

Wiki puzzle.svg

Marina raha toa ka adiresy ny adiresy DECNET dia mety ho adiresy ny endrika `` 10.123 '', na ny anaran'ny mpampiasa DECNET. [Fanomezana anarana ny solonanaran'ny DECNET dia hita amin'ny rafitra Ultrix izay natsangana hampiasa ny DECNET.]

Wiki puzzle.svg

Marina raha adiresy ny adiresy DECNET.

Wiki puzzle.svg

Marina raha misy mpampiantrano ny adiresy orinasa DECNET na adiresy.

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Abbreviations for:

ether proto p

izay p ny iray amin'ireo protocoles voalaza etsy ambony.

lat , moprc , mopdl

Abbreviations for:

ether proto p

izay p ny iray amin'ireo protocoles voalaza etsy ambony. Mariho fa ny tcpdump dia tsy mahafantatra ny fomba fijerena ireo protocoles amin'izao fotoana izao.

vlan [vlan_id]

Marina raha pakea VLAN IEEE 802.1Q ny kitapo. Raha voatondro [vlan_id] , marina ihany ilay pake dia manana ny vlan_id voatondro. Mariho fa ny teny filamatra vlan voalohany amin'ny teny manova dia manova ny famaritana decoding ho an'ny ambiny hafa amin'ny fiheverana fa ny pake dia VLAN paketa.

tcp , udp , icmp

Abbreviations for:

ip proto p na ip6 proto p

izay p ny iray amin'ireo protocoles voalaza etsy ambony.

iso proto protocol

Marina raha toa ka fonosana protocol Protocol protocole OSI ny OSI. Ny Protocol dia mety ho isa na iray amin'ireo anarana clnp , esis , na isis .

clnp , esis , isis

Abbreviations for:

iso proto p

izay p ny iray amin'ireo protocoles voalaza etsy ambony. Mariho fa ny tcpdump dia manao asa tsy feno ho an'ny fanadihadiana ireo protocols ireo.

Expr relop expr

Raha marina ny fifandraisana, ary ny relop dia iray amin'ny>, <,> =, <=, = ,! =, Ary expr dia fomba fiteny aritmetika izay ahitana constants tsotsotra (voalaza ao amin'ny sanda misy c), ireo mpandraharaha ara-barotra tsotra [ , -, *, /, &, |], mpandraharaha iray lava, ary mpampiasa angona angona manokana. Raha te hijery ny data ao anatin'ilay fonosana, ampiasao ity famantarana ity:

proto [ ekspr : habeny ]

Ny proto dia iray amin'ireo ether, fddi, tr, ppp, slip, rohy, ip, arp, rarp, tcp, udp, icmp na ip6 , ary manondro ny sarin'ny protocol amin'ny endriky ny endriky. ( ether, fddi, tr, ppp, slip ary ny rohy rehetra dia manondro ny rohy ifehezana.) Mariho fa ny tcp, ny udp ary ny protocolo hafa dia tsy misy afa-tsy amin'ny IPv4, fa tsy IPv6 (izany no ho voafaritra amin'ny ho avy). Ny fitifirana byte, raha oharina amin'ny endrika protocol voatondro, dia omena expr . Ny safidy dia tsy voafaritra ary manondro ny isan'ny bytes eo amin'ny sehatry ny tombontsoa; Mety ho iray, na roa, na efatra, ary mety ho iray ny iray. Ny mpihazakazaka lava, izay voalaza amin'ny teny keyword len , dia manome ny halavan'ny fonosana.

Ohatra, ' ether [0] & 1! = 0 ' dia mihazona ny fifamoivoizana samihafa rehetra. Ny teny hoe ' ip [0] & 0xf! = 5 ' dia manangona ny fonosana rehetra misy safidy. Ny fitenenana hoe ip [6: 2] & 0x1fff = 0 'dia mamotika ireo datagrams tsy mety sy mamaky zero amin'ny datagrams sasantsasany. Ity karoka ity dia azo ampiharina amin'ny tcp sy ny udp amin'ny endritsoratra. Ohatra, ny tcp [0] dia midika foana ny baikon'ny voalohany amin'ny lohatenin'ny TCP, ary tsy midika mihitsy hoe ny boribory voalohany amin'ny sombin- drakitra an-tsoratra.

Ny sombin-tsoratra sy ny sanda sasantsasany dia azo lazaina ho anarana fa tsy amin'ny maha-tarehy numerika. Ity famaritana fonosana fanalahidy manaraka ity dia misy: icmptype (saha karazana ICMP), icmpcode (saha famandrihan'ny ICMP), ary tcpflags (saha field TCP).

Ny sokajin'ity sokajy ICMP ity dia misy: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Ireto manaraka ireto ny sanda misy saha TCP: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Ny primitives dia azo ampiarahana amin'ny fampiasana:

Vondron'olon-tokana sy mpandraharaha (ny fonon-tanana dia manokana ny Shell ary tokony ho afa-mandositra).

Diso (` ! 'Na` tsia ').

Fifanekena (` && 'na` ary ').

Fifindrana (` || ' na` na ').

Ny fanilihana dia manana ny laharana ambony indrindra. Ny fifandimbiasana sy ny fifanarahana dia mitovy ny laharam-pahamehana sy ny mpiara-miasa eo ankavanana. Mariho fa takiana amin'ny fifanarahana izao ny hevitra mazava sy ny mari-pamantarana, fa tsy fananganana.

Raha misy nomera iray tsy nomena tenimiafatra, dia raisina ny teny fanalahidy farany indrindra. Ohatra,

tsy host vs and ace

dia fohy

tsy host vs vs and host ace

izay tsy tokony hifangaro amin'ny

tsy (host vs na ace)

Ny fanehoam-pitenenana an-tsoratra dia azo alefa amin'ny tcpdump ho hevitra tokana na adihevitra maro, izay mety kokoa. Amin'ny ankapobeny, raha manana metacaracters Shell io fomba fitenenana io, dia mora kokoa ny mametraka izany ho toy ny adihevitra tokana. Fihetseham-po maromaro mifamatotra amin'ny sehatra alohan'ny hamoahana azy.

OHATRA

Raha hanonta ny fonosana rehetra miditra na miala amin'ny sundown :

tcpdump andriambahoaka

Mba hanontana ny fifamoivoizana eo amin'ny helios ary na hafanana na ala :

helikopteran'ny tcpdump ary \ (hot na ace \)

Mba hanonta ny fonosana IP rehetra eo amin'ny ace sy ny mpampiantrano afa-tsy helios :

tcpdump ip host fa tsy helios

Mba hanonta ny fifamoivoizana rehetra eo amin'ny tokantrano sy ny hetsika ao Berkeley:

tcpdump net ucb-ether

Raha hanonta ny fifamoivoizan'ny FTP amin'ny alàlan'ny fidirana amin'ny tranokala Internet : (mariho fa ny teny faneva dia asongadina mba hisorohana ny shell amin'ny (mis-) fandikana ny fononteny):

tcpdump 'snape ary (port ftp na ftp-data)'

Mba hanontana printy tsy nomanina na tsy natao ho an'ireo tompona ao an-toerana (raha mankany amin'ny tranokala hafa ianao dia tsy tokony hampidirinao ao amin'ny tranonkalanao) izany.

tcpdump ip fa tsy localnet net

Manonta ny fanombohana sy ny endriky ny fonosana (ny fonosana SYN sy FIN) isaky ny fifanakalozan-kevitra TCP izay misy mpiantrano tsy tompon-toerana.

tcpdump 'tcp [tcp] & (tcp-syn | tcp-fin)! = 0 ary tsy src and dst net localnet '

Raha hanonta kapila IP mihoatra ny 576 bytes nalefa tamin'ny alàlan'ny vavahady:

tcpdump 'ny vavahady ary ip [2: 2]> 576'

Manonta fonosana IP na multicast izay tsy nalefa tamin'ny alalan'ny ethernet broadcast na multicast:

tcpdump 'ether [0] & 1 = 0 sy ip [16]> = 224'

Manonta ny fonosana ICMP rehetra izay tsy nangataka valiny / valiny (izany hoe, tsy ping ping):

tcpdump 'icmp [icmptype]! = icmp-echo ary icmp [icmptype]! = icmp-echoreply'

FAMPIANARANA AVY

Ny output of tcpdump dia miankina amin'ny protocol. Ireto manaraka ireto dia misy famaritana fohy sy ohatra amin'ny ankamaroan'ny endrika.

Link Head Level

Raha nomena ny safidy '-e', ny lohatenin'ny rohy dia havaozina. Amin'ny ethernets, ny loharano sy ny adiresy an-toerana, ny protocol, ary ny halavan'ny fonosana dia vita printy.

Ao amin'ny tambajotra FDDI, ny safidin'ny '-e' dia mahatonga tcpdump hanontana ny sahan-drakitra 'frame', ny loharano sy ny adiresy an-dasy, ary ny laharam-paritra. Ny fonosana maoderina (toy ireo izay misy datagram IP) dia 'async' fonosana, izay manan-danja indrindra eo anelanelan'ny 0 sy 7, ohatra hoe ' async4 '. Ny fonosana dia heverina fa misy fonosana 802.2 logical Link Control (LLC); ny lohatenin'ny LLC dia vita pirinty raha tsy daty ISO na soatoavina SNAP izany.

Ao amin'ny tambajotran'ny tsipika , ny '-e' safidy dia mahatonga tcpdump mba hanonta ny 'access control' sy ny 'frame control' fields, ny loharano sy ny adiresy adiresy, ary ny laharam-paritra. Tahaka ny amin'ny tambajotra FDDI, ny fonosana dia heverina fa misy fonosan'entan'ny LLC. Na tsy voalaza na tsia ny safidy '-e' na tsia, ny loharanom-baovaon'ny loharanom-pejy dia natonta ho an'ny fonosana boribory.

(NB: Ity famaritana manaraka ity dia mampahafantatra ny algorithm SLPR izay voalaza ao amin'ny RFC-1144.)

Ao amin'ny rohy SLIP, misy mari-pamantarana torolalana ('I' 'ho marika,' 'O' 'ho any ivelany), karazana paikady, ary fampahafantarana compression. Ny karazana fonosana dia natonta voalohany. Ny karazana telo dia IP , utcp , ary ctcp . Tsy misy rohy hafa miseho ho an'ny pake ip . Ho an'ny fonosana TCP, ny marika fampifandraisan-davitra dia vita pirinty manaraka ny karazana. Raha voapetraka ilay fonosana, dia atao printy ny lohatenin'ny kodia. Ny tarehin-javatra manokana dia vita printy ho * S + n sy * SA + n , izay ny n dia ny isa izay niova ny laharam-pahatongavana (na ny laharana manaraka sy ny ack). Raha tsy tranga manokana dia misy dikan-teny maromaro na mihoatra. Ny fanovana dia asehon'ny U (pointer urgent), W (varavarankely), A (ack), S (laharana sequence), ary I (ID packet), arahin'ny delta (+ n na -n), na valiny vaovao (= N). Farany, ny habetsaky ny angon-drakitra ao amin'ny fonosana sy ny lavarangan'ny lohatenin'ny lohateny dia vita printy.

Ohatra, ity tsipika manaraka ity dia mampiseho karazana TCP iray misongadina misongadina, miaraka amina identifier amin'ny fifandraisana; ny alika dia niova tamin'ny 6, ny laharana manaraka tamin'ny 49, ary ny ID ny paragrafy amin'ny 6; Misy 3 isa ny data ary 6 bytes ny lohatenin'ny lohateny:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP Packets

Ny vokatra Arp / rarp dia maneho ny karazana fangatahana sy ny fanoherany. Ny format dia natao hambara mazava. Ity ny santionany fohy nalaina nanomboka tamin'ny fanombohan'ny 'rlogin' avy amin'ny host rtsg ho host csam :

arp izay-manana csam dia milaza ny rtsg arp valiny csam dia-amin'ny CSAM

Ny andalana voalohany dia milaza fa rtsg dia nandefa pandaharana arp nangataka ny adiresy ethernet an'ny csam Internet mpampiantrano. Csam dia mamaly amin'ny adiresy ethernet (amin'ity ohatra ity, ny adiresy ethernet dia ao amin'ny kapila sy adiresy Internet amin'ny raharaha ambany).

Ity dia tsy dia mendrika loatra raha toa ka nanao tcpdump -n :

arp izay-manana 128.3.254.6 dia milaza 128.3.254.68 arp valiny 128.3.254.6 dia-amin'ny 02: 07: 01: 00: 01: c4

Raha nataonay tcpdump -e , ny zava-misy dia niely ny fonosana voalohany ary ny faharoa dia teboka farany:

RTSG Broadcast 0806 64: arp izay-manana csam milaza rtsg CSAM RTSG 0806 64: arp reply csam is-at CSAM

Ho an'ny laharana voalohany dia milaza fa ny adiresy ethernet dia ny RTSG, ny toerana dia ny adiresy ethernet broadcast, ny saha karazana nahitana hex 0806 (karazana ETHER_ARP) ary ny total length dia 64 bytes.

TCP Packets

(NB: Ity famariparitana manaraka ity dia mahazatra ny takatr'ilay protocol TCP voafaritra ao amin'ny RFC-793. Raha tsy mahazatra ilay protocol ianao, dia tsy hampiasa anao io famaritana io na ny tcpdump .)

Ny endri-tsoratry ny tcp dia:

src> dst: drafitra data-seqno ack varavarankely maotera safidy

Src sy dst no loharanon-kevitra sy adiresy IP sy faritra. Ny sainam-pirenena dia sombin-javatra S (SYN), F (FIN), P (PUSH) na R (RST) na singa `. ' (tsy misy saina). Data-seqno dia manoritsoritra ny ampahany amin'ny efamira mitahiry ny rakitra ao amin'ity fonosana ity (jereo ny ohatra etsy ambany). Ack dia ny laharana manaraka ny antontan-kevitra manaraka izay nantenaina ny teboka hafa amin'io fifandraisana io. Ny varavarankely dia ny isa an'ny reception puffer toerana ahafahana mandefa ny teboka hafa amin'io fifandraisana io. Manondro i Urg fa misy angona `maika 'ao anaty fonosana. Safidy ny safidy tcp ao amin'ny tranokala (ohatra: ).

Src, dst ary saina dia eo foana. Ny saha hafa dia miankina amin'ny votoatin'ny tcp header protocole ary dia mivoaka raha tsy mety.

Ity ny ampahany fanokafana amin'ny rlogin avy amin'ny host rtsg ho host csam .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. Hiditra: . ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urgent 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

Ny andalana voalohany dia milaza fa ny port tcp 1023 amin'ny rtsg dia nandefa pake iray ho an'ny fampidirana fidirana amin'ny csam. Ny S dia manondro fa napetraka ny saina SYN . Ny laharana manaraka dia 768512 ary tsy misy data. (Ny fanoratana dia voalohany: farany (nbytes) 'izay midika hoe' laharana laharam-pahamehana voalohany aloha fa tsy farany farany izay nabytes data amin'ny fampiasana angona '.) Tsy nisy kitapo piggy, ny 4089 bytes dia misy safidy miavaka amin'ny angona bitika amin'ny fangatahana mss 1024 bytes.

Csam dia mamaly miaraka amin'ny fonosana mitovy amin'izany, afa-tsy ny fametrahana kitapom-batika ho an'ny rtsg's SYN. Rtsg avy eo dia midika hoe SYN ny csam. Ny `. ' tsy misy sainam-pirenena napetraka. Ny fonosana dia tsy misy data fa tsy misy ny laharana manaraka. Mariho fa ny laharana laharana laharana ack dia isa kely (1). Ny tcpdump voalohany dia mahita tcp 'conversation', dia manonta ny laharam- pizarana avy ao amin'ny fonosana. Ao amin'ny fonosana manaraka eo, ny fahasamihafana misy eo amin'ny laharam-pamonoana misy ankehitriny sy ny laharana manaraka dia vita printy. Midika izany fa ny laharam-pamokarana manaraka ny voalohany dia azo zaraina ho relative an'ny toetoetran'ny raki-peo ao amin'ny dinam-pandraketan-dinam-peo (miaraka amin'ny laharana voalohany amin'ny baikony tsirairay avy hoe ny '1'). '-S' dia manapaka io karazam-bika io, ka mahatonga ny laharam-piandohana voalazan'ny laharana voalohany.

Amin'ny andalana faha-6, rtsg dia mandefa csam 19 bits of data (Bytes 2 hatramin'ny 20 ao amin'ny rtsg -> csam ny resaka ny resadresaka). Ny sainan'ny PUSH dia napetraka ao anaty fonosana. Ao amin'ny andalana faha-7, csam dia milaza fa voaray avy amin'ny rtsg izy fa tsy ny bytes 21. Ny ankamaroan'ireny angon-drakitra ireny dia toa mipetraka ao amin'ny buffer socket satria ny mpikirakiran'ny csam dia nahazo 19 isa kely kokoa. Csam koa dia mandefa bitsiby iray isaky ny rtsg ao amin'ity fonosana ity. Amin'ny andalana faha-8 sy faha-9, csam dia mandefa roa bytes maika, manosika data amin'ny rtsg.

Raha kely dia kely ny tadidin'ilay tcpdump fa tsy naka ny lohatenin'ny TCP manontolo, dia mandika azy ny ankamaroan'ny lohan-doha araka izay azony ary avy eo mitatitra `` [| tcp ] '' mba hanondroana ny sisa tavela dia tsy azo adika. Raha misy safidy mitranga ny lohan-drakitra (iray amin'ny lavaka kely na kely loatra na faran'ny faran'ny lohateny), tcpdump dia mitatitra azy ho '[ safid opt ]' 'ary tsy mamela safidy hafa (satria tsy azo atao ny milaza izay toerana hanombohany). Raha toa ny lanjan'ny lohapejy dia manondro fa misy ny safidy atolotra, ny longan 'ny IP datagram dia tsy ampy loatra ho an' ireo safidy izay misy azy, tcpdump mitatitra azy ho '[ hdr hdr length ]' '.

Fakana fonosana TCP miaraka amin'ny tsikombakomba manokana (SYN-ACK, URG-ACK, sns.)

Misy bitsaka 8 ao amin'ny fizarana mifehy ny lohatenin'ny TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | Fin

Andeha hojerentsika fa tiantsika ny hijery paikady ampiasaina amin'ny fananganana fifandraisana TCP. Tsarovy fa ny TCP dia mampiasa fomba fiasa handraisana tanana telo raha vao manomboka fifandraisana vaovao; Ny dingana mifandray amin'ny fifandraisana amin'ny TCP dia

1) Miantso ny SYN ny mpanangona

2) mamaly amin'ny SYN, ACK

3) Mpitondra dia mandefa ACK

Ankehitriny dia liana amin'ny fanangonana fonosana izay ny setrin'ny SYN ihany (Dingana 1). Mariho fa tsy tianay ny fonosana amin'ny dingana 2 (SYN-ACK), tsotra fotsiny SYN voalohany. Ny ilaintsika dia fanehoan-tsoratra tsara ho an'ny tcpdump .

Tsarovy ny rafitry ny lohan'ny TCP tsy misy safidy:

0 15 31 ----------------------------------------------- ------------------ | loharano loharano | toerana misy azy -------------------------------------------------- --------------- | laharana laharana | -------------------------------------------------- --------------- | Fanamarinana tarehimarika | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | window size | -------------------------------------------------- --------------- | TCP checksumum | drafitra maika | -------------------------------------------------- ---------------

Ny lohatenin'ny TCP dia mitazona daty 20 oktety, raha tsy misy ny safidy. Ny andalana voalohany amin'ny grafika dia ahitana octets 0 - 3, ny andalana faharoa dia mampiseho octets 4 - 7 etc.

Manomboka amin'ny zana-tsokajy 0, ny bitsim-pifandraisan'ny TCP dia hita ao amin'ny octet 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | window size | ---------------- | --------------- | --------------- | - --------------- | | Faha-13 octet | | |

Andao hijery akaiky ny octet no. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Ireo no birao mifehy ny TCP izay liana amin'ny antsipiriantsika. Ny laharana faha-7 dia miankina amin'ny sombin-damosina, ary ny PSH bit dia laharana faha-3, ny laharana URG dia laharana faha 5.

Tsarovy fa te-hisambotra fonosana amin'ny setA SYN izahay. Andeha hojerentsika izay mitranga amin'ny octet 13 raha toa ka misy daty TCP tonga miaraka amin'ny sinty SYN napetraka ao amin'ny lohateniny:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Raha mijery ny fizarana baikon'ny fanaraha-maso dia hitantsika fa ny laharana laharana 1 (SYN) ihany no voafetra.

Raha heverina fa ny laharana octet 13 dia sombin-tsarimihetsika tsy misy mari-daha-doko 8-bit ao amin'ny baikon'ny serasera, ny sanda maivana amin'ity octet ity dia

00000010

ary ny fisehoan-tarehiny dia isam-bolana

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Isika dia efa vita, satria fantatsika ankehitriny fa raha ny SYN ihany no mametraka, dia tokony ho 2 ny sarany ny octet faha-13 ao amin'ny lohatenin'ny TCP, raha adika hoe sombin-tsipika tsy misy mari-pototra 8 isa amin'ny ordinateran'ny serasera.

Ity fifandraisana ity dia azo aseho amin'ny

tcp [13] == 2

Azontsika ampiasaina io sora- kevitra io ho sivana ho an'ny tcpdump mba hijerena ireo fonosana izay tsy manana afa-tsy SYN:

tcpdump -i xl0 tcp [13] == 2

Ny fiteny hoe "avelao ny oktety faha-13 amin'ny tondrozotra TCP manana ny isa 2", izay tena tadiavintsika.

Ankehitriny, andeha hojerentsika fa mila manangona fonosana SYN isika, nefa tsy miraharaha isika raha toa ka ny ACK na ny tsindry hafa an'ny TCP no atao. Andeha hojerentsika izay mitranga amin'ny octet 13 rehefa tonga ny daty TCP miaraka amin'ny SYN-ACK napetraka:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Ankehitriny ny bits 1 sy 4 dia napetraka amin'ny oktety faha-13. Ny sandan'ny binet an'ny octet 13 dia

00010010

izay midika hoe decimal

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Ankehitriny dia tsy afaka mampiasa ny 'tcp [13] == 18' ao amin'ny tcpdump expression expression, satria izany dia mifidy ireo entana izay manana SYN-ACK napetraka, fa tsy ireo izay manana SYN irery ihany. Tsarovy fa tsy miraharaha isika raha toa ka efa napetraka ny SYN na ny ACK na ny fepetra fanaraha-maso hafa.

Mba hahatratrarana ny tanjontsika dia ilaintsika ny lojika ary ny sandan'ny binet ny octet 13 amin'ny sandany hafa mba hitazonana ny bit SYN. Fantatsika fa tiantsika ny hametraka ny SYN amin'ny lafiny rehetra, noho izany dia ho lojika ary ny lanjany amin'ny octet faha-13 miaraka amin'ny lanjan'ny singa SYN:

00010010 SYN-ACK 00000010 SYN SY 00000010 (mila SYN) SY 00000010 (mila SYN) -------- -------- = 00000010 = 00000010

Hitantsika fa ity AND ANDRIAMANITRA ity dia mamaritra ny valiny mitovy na tsy misy na tsia ny ACK na ny tolotra hafa an'ny TCP. Ny endriky ny endriky ny AND sy ny valiny ary ny vokatr'izany dia 2 (binary 00000010), noho izany dia fantatsika fa amin'ny fifandraisana amin'ny SYN, ny fifandraisana manaraka dia tokony ho marina:

((lanjan'ny oktety 13) AND (2)) == (2)

Ity dia manondro antsika amin'ny fanehoan-kevitra filtre tcpdump

tcpdump -i xl0 'tcp [13] & 2 == 2'

Mariho fa tokony hampiasa teny filazana tokana ianao na tsipika iray ao amin'ny fitenenana hanafenana ny AND ('&') toetra manokana avy amin'ny shell.

UDP Packets

Ny format UDP dia asehon'ity rwho ity:

actinide.who> broadcast.who: udp 84

Milaza izany fa ny seranan-tsambo izay nanao famandrihana an-tserasera dia nandefa sarintany iray amin'ny udp mba halefa any amin'ny fampielezam-peo , ny adiresy imasom-bahoaka. Ny fonosana dia nahitana tahirin-tserasera 84 bytes.

Ny sampan-draharaha UDP sasany dia ekena (avy amin'ny loharano na ny nomerao nomerao nomerika) sy ny fampahafantarana misimisy momba ny protocol. Ny fangatahana ny serivisy nomena anarana manokana (RFC-1034/1035) sy Sun RPC dia miantso (RFC-1050) mankany amin'ny NFS.

UDP Name Server Requests

(NB: Ity famaritana manaraka ity dia mahazatra ny fahazoan-dàlana amin'ny Protocol Protocol Service izay voafaritra ao amin'ny RFC-1035. Raha tsy zatra amin'ny protocol ianao dia hiseho amin'ny teny grika ny famaritana manaraka.)

Ny fangatahana angona angon-drakitra dia asiana as

src> dst: id op? flags qtype qclass anarana (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Ny mpampiantrano h2opolo dia nanontany ny mpizara domains amin'ny helios noho ny adiresy adiresy (qtype = A) mifandraika amin'ny anarana ucbvax.berkeley.edu. Ny idika fangatahana dia '3'. Ny `+ 'dia manondro ny fandefasana ny fahazoan-dàlana fanintelony . Ny lanjan'ny fanalahidy dia 37 bytes, fa tsy ny lohatenin'ny protocols UDP sy IP. Ny fikarakarana fangatahana dia ny mahazatra, Query , noho izany dia nesorina ny sahan'ny op. Raha efa nisy zavatra hafa, dia ho vita pirintana eo amin'ny '3' sy ny '+'. Toy izany ihany koa, ny qclass dia ny mahazatra, C_IN , ary omena. Ny hafa qclass dia vita pirinty avy hatrany taorian'ny 'A'.

Misy fialantsiny vitsivitsy voamarina ary mety miteraka saha fanampiny ao amin'ny efamira karekera: Raha misy fangatahana misy valiny, ny firaketana an-tsoratra na ny rakitra an-tsoratra fanampiny, fanangonana , screenshot na ny arcount dia vita printy ho '[ n a]', '[ n n ] 'na' [ n au] 'izay misy n ny isa mifanaraka amin'izany. Raha toa ka misy ny bitsipika (AA, RA na rcode) na ny iray amin'ny 'must be zero' dia apetraka amin'ny bytes roa sy telo, "[b2 & 3 = x ] 'dia atao printy, izay x dia hex value bitsin'ny header roa sy telo.

Fanomezana valin'ny server an'ny UDP

Ny valin'ny server mpampiasa name dia aseho amin'ny

src> dst: id na rcode flags a / n / au class class data (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Ao amin'ny ohatra voalohany, ny helios dia mamaly ny fangatahana id 3 avy amin'ny h2opolo miaraka amin'ny rakitra 3 valiny, ny anaran'ny mpampiasa 3 ary ny rakitra fanampiny 7. Ny rakitsoratra voalohany dia ny karazana A (adiresy) ary ny angon-drakitra dia adiresy Internet 128.32.137.3. Ny habetsahan'ny valinteny dia 273 bytes, afa-tsy ny lohan'ny UDP sy IP. Ny op (Query) sy ny valin'ny valinteny (NoError) dia nesorina, toy ny kilasy (C_IN) amin'ny rakitsoratra A.

Amin'ny helony faharoa dia mamaly ny fangatahana 2 miaraka amin'ny valim-panontana avy amin'ny sehatra tsy misy misy (NXDomain) izay tsy misy valiny, nomerao anarana iray ary tsy misy firaketana an-tsoratra. Ny `* 'dia manondro fa ny fametrahana ny valin'ny fametrahan-tanana dia napetraka. Satria tsy nisy valiny, tsy nisy karazana, kilasy na angona natao pirinty.

Ny sainam-peo hafa mety hiseho dia - `'(recurrence available, RA, tsy napetraka) ary` |' (hafatra mifototra, TC, napetraka). Raha toa ka tsy misy afa-tsy iray ihany ny fizarana `fanontaniana ', dia' [q] 'no vita printy.

Mariho fa ny fangataham- peo nomerao sy ny valim-panadinana dia mazàna dia lehibe ary ny sakana azon'ny marika 68 isaky ny bytes dia mety tsy misintona loatra ny fonosana hanonta printy. Ampiasao ny sain-s ho fampitomboana ny snaplena raha mila manadihady momba ny fifamoivoizana an-tserasera ianao. ' -s 128 ' dia niasa tsara ho ahy.

SMB / CIFS famaritana

Ny tcpdump izao dia misy ny fametrahana SMB / CIFS / NBT amin'ny famoahana ny data amin'ny UDP / 137, UDP / 138 ary TCP / 139. Misy ihany koa ny famaritana voalohany ny data IPX sy NetBEUI SMB.

Raha toa ka vita ny famarotana dia alao tsikelikely, miaraka amin'ny famaritana tsotsotra kokoa raha atao -v ampiasaina. Ampitandremana fa miaraka amin'ny -dao singa SMB iray dia mety haka pejy iray na mihoatra, koa ampiasao -v raha tena tianao ny tsipiriany rehetra.

Raha toa ianao ka mamaritra ny sombin-tsoratra SMB misy sora-pitenenana miafina dia azonao atao ny mametraka ny fari-pahaizana momba ny tontolo iainana USE_UNICODE ka hatramin'ny 1.

Ho fampahalalana amin'ny format Pakistana SMB ary inona ny sehatra rehetra dia midika ao amin'ny www.cifs.org na ny pub / samba / specs / lahatahiry ao amin'ny tranokala miresaka samba.org tianao indrindra. Ny paty SMB dia nosoratan'i Andrew Tridgell (tridge@samba.org).

Fanontaniana sy fangatahana NFS

Ny Sun NFS (Network File System) dia mangataka sy mamaly ny valiny hoe:

src.xid> dst.nfs: len amin'ny args src.nfs> dst.xid: reply stat len ​​amin'ny results sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096,6878 "xcolors" wrl.nfs> sushi.201b: reply ok 128 lookup fh 9,74 / 4134.3150

Ao amin'ny laharana voalohany, ny sushi tompony dia mandefa ny fifampiraharahana amin'ny id 6709 amin'ny wrl (mariho fa ny laharana manaraka ny mpampiantrano src dia sariohatra entana, fa tsy ny seranan-tserasera). Ny fangatahana dia 112 bytes, ankoatra ny lohan'ny UDP sy IP. Ny rindranasa dia famakiana raki - peo (vakio raki-tsoratra simika) amin'ny rindrankajy ( fh ) 21,24 / 10.731657119. (Raha misy vintana, toy ity tranga ity dia azo zaraina ho singa lehibe, paikady kely ny lahatahiry rakitra, arahin'ny tarehimarika sy ny laharan'ny taranaka.) Wrl dia mamaly ny 'ok' amin'ny votoatin'ny rohy.

Amin'ny andalana fahatelo dia manontany ny sushi ny hitady ny anarana hoe xcolors amin'ny lahatahiry fitaterana 9,74 / 4096.6878. Mariho fa miankina amin'ny karazana fandidiana ny angon-drakitra. Ny format dia natao hazavain'ny tenanao raha mamaky miaraka amin'ny protocol protocol NFS.

Raha nomena ny saina -v (verbose), dia misy fanazavana fanampiny printy. Ohatra:

sushi.1372a> wrl.nfs: 148 read fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v koa dia mamoaka ny lohatenin'ny IP TTL, ID, lamandy, ary sobika, izay nesorina tamin'ity ohatra ity.) Tamin'ny andalana voalohany, sushi nangataka wrl mba hamaky 8192 bytes avy amin'ny file 21,11 / 12.195, amin'ny byte offset 24576. Ny valiny dia mamaly hoe 'ok'; Ny fonosana hita amin'ny tsipika faharoa dia sombina voalohany amin'ilay valiny, ary izany dia 1472 bytes lava (ny hafa kosa dia hanaraka ny sombina manaraka, saingy ireto sombin-dahatsoratra ireto dia tsy manana NFS na UDP mihitsy aza ary mety tsy azo pirinty, miankina amin'ny fampiasana sivana nampiasaina). Satria ny sanda -v dia nomena, ny sasantsasany amin'ireo sariohatry ny rakitra (izay naverina ankoatra ny angona rakitra) dia atao printy: ny karazan-drakitra (`` REG '', ho an'ny rakitra mahazatra), ny mode mode (amin'ny octal) ny uid sy ny gid, ary ny haben'ny rakitra.

Raha omena mihoatra ny indray mandeha ny -v saina, na dia misy antsipirihany bebe kokoa aza.

Mariho fa ny fangatahan'ny NFS dia lehibe ary ny antsipiriany amin'ny antsipiriany dia tsy natao pirinty raha toa ka mihamitombo ny snaplen . Andramo ny `` ss 192 'mba hijery ny fifamoivoizana NFS.

Ny valin'ny valiny NFS dia tsy mamaritra mazava tsara ny asa RPC. Ny tcpdump kosa dia mitazona ny fangatahana 'vao haingana', ary mifanaraka amin'ny valim-panontaniana amin'ny fampiasana ny ID transaction. Raha toa ka tsy manaraka ny fangatahana mifanaraka amin'izany ny valiny, dia mety tsy ho azo tsindriana izany.

AFS fangatahana sy fangatahana

Ny fangatahana Transarc AFS (Andrew File System) sy ny valiny dia vita printy amin'ny:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 7001> pike.afsfs: rx data fs antso rename old fid 536876964/1/1 ".newsrc.new" vaovao fidirana 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs reply rename

Ao amin'ny andalana voalohany, ny mpanolotra alvis dia mandefa fonosana RX mba hihinana. Ity dia pokera data an'ny RX mankany amin'ny serivisy (servererver) an'ny fs (fileserver), ary ny fiandohan'ny antso RPC. Ny antso RPC dia anarana nomena anarana, miaraka amin'ny lahatahiry tranainy antitra ao amin'ny 536876964/1/1 ary lahatahiry tranainy an'ny `.newsrc.new ', ary ny lahatahiry vaovao amin'ny lahatahiry vaovao amin'ny 536876964/1/1 ary ny anaran-drakitra vaovao an'ny`. newsrc '. Ny mpitsangatsangatsanganana dia mamaly amin'ny valin'ny RPC amin'ny antso anaram-panaovana (izay nahomby, satria piraketana data izany fa tsy fonosana misintona).

Amin'ny ankapobeny, ny AFS RPC rehetra dia decoded farafaharatsiny amin'ny anaran'ny RPC. Ny ankamaroan'ny AFP RPC dia farafaharatsiny ny sasantsasany amin'ireo adihevitra nolavina (amin'ny ankapobeny fotsiny ny hevitra mahaliana ', ho an'ny famaritana sasany mahaliana).

Ny format dia natao hamintina ny tenany, saingy mety tsy ho ilaina ho an'ireo olona tsy mahazatra ny fiasan'ny AFS sy RX.

Raha sendra indroa ny saina -v (verbose), ny fonosana fanamarinana sy ny fampahalalana an-tsokosoko fanampiny dia natao printy, toy ny ID ny RX, ny laharana fiantsoana, laharana laharana, serial number, ary ny sainam-pandaharana RX.

Raha nomena indroa ny sarimihetsika -v, dia misy ny fampahalalana fanampiny, toy ny RX antso ID, ny laharan-tariby, ary ny tarika RX. Ny fampahalalana momba ny fifampiraharahana momba ny MTU dia vita printy avy amin'ny fonosana AX.

Raha omena in-telo ny saina -v, ny endriky ny fiarovana sy ny servisy dia vita printy.

Adiresy diso no atao pirinty amin'ny fonosana fandefasana, afa-tsy ny fonosana fanaingoana Ubik (satria ampiasaina ny fonosana fandefasana anarana mba hanondroana ny safidinao ho an'ny protocol Ubik).

Mariho fa fangatahana AFS dia tena lehibe ary maro amin'ireo fanehoan-kevitra no tsy natao pirinty raha toa ka mihamitombo ny snaplen . Andramo ny fampiasana ` -s 256 'hijery ny fifamoivoizana AFS.

Ny valin'ny AFS dia tsy mamaritra mazava tsara ny asa RPC. Ny tcpdump kosa dia mitazona ny fangatahana 'vao haingana', ary mifanaraka amin'ny valiny amin'ny fampiasana ny laharana sy ny ID. Raha toa ka tsy manaraka ny fangatahana mifanaraka amin'izany ny valiny, dia mety tsy ho azo tsindriana izany.

KIP Appletalk (DDP amin'ny UDP)

Ny fonosana appletalk DDP raketina ao amin'ny UDP datagrams dia navaravara ary nopotehina ho DDP packets (izany hoe nesorina ny fampahalalam-baovao header UDP). Ny rakitra /etc/atalk.names dia ampiasaina handikana ny takelaka apetekety sy ny isan'ny node amin'ny anarana. Ireo endri-tsoratra amin'ity rakitra ity dia manana ny endrika

anarana anarana 1.254 ether 16.1 icsd-net 1.254.110 ace

Ny andalana roa voalohany dia manome ny anaran'ny tambajotra appletalk. Ny andalana fahatelo dia manome ny anaran'ny mpampiantrano iray manokana (ny isan-tokantrano dia manavaka amin'ny atin'ny octet faha-3 amin'ny isa - ny laharan-tariby dia tsy maintsy manana octets roa ary ny laharan-tariby iray dia tsy maintsy manana octets telo.) Tokony hosarahina ny isa sy ny anarana amin'ny whitespace (boka na tabs). Ny rakitra /etc/atalk.names dia mety ahitana rindran-tsisika na tsipika fanehoan-kevitra (andalana manomboka amin'ny '#').

Ny adiresy appletalk dia vita printy amin'ny endrika:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Raha tsy misy ny /etc/atalk.names na tsy misy ny nomerao amin'ny nomerao nomerao / nomerao dia misy adiresy vita printy amin'ny tarehintsoratra.) Amin'ny ohatra voalohany, ny NBP (DDP port 2) amin'ny net 144.1 Ny node 209 dia mandefa izay rehetra fihainoana eo amin'ny port 220 amin'ny nicsd node 112. Ny andalana faharoa dia mitovy ihany, afa-tsy ny anarana feno ny lohan'ny node dia fantatra (`biraon'ny '). Ny andalana fahatelo dia nalefa avy amin'ny seranan-tseranana 235 tamin'ny jssmag node 149 izay nalefa tao amin'ny seranan-tsambo icsd-net NBP (mariho fa ny adiresy fampitana (255) dia asehon'ny anaran'ny mpiserasera tsy misy nomerao - noho izany antony izany dia hevitra tsara mba hitazona anaran-tsampy sy anarana navela ao amin'ny /etc/atalk.names).

Ny NBP (famaritana anarana mifamatotra) sy ny fonosana ATP (Appletalk transaction protocol) dia manazava ny ao anatiny. Ny protocoles hafa dia mamoaka ny anaran'ny protocol (na ny isa raha tsy misy anarana voasoratra anarana ho an'ny protocol) sy ny habe.

Ny fonosana NBP dia apetaka toy ireto ohatra manaraka ireto:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> _________________________________________________________________> -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186

Ny andalana voalohany dia fangatahana fangatahana anarana amin'ny laserwriters nalefan'ny mpampiantrano 112 mpandefa ary nalefa tamin'ny jssmag net. Ny idn nbp ho an'ny lookup dia 190. Ny andalana faharoa dia mampiseho valiny ho an'ity fangatahana ity (mariho fa manana ny idony izy) avy amin'ny mpampiantrano jssmag.209 ary milaza fa manana laserwriter loharano antsoina hoe "RM1140" voasoratra ao amin'ny seranan-tsambo 250. Ny fahatelo Ny tsipika dia valiny iray hafa amin'ny fangatahana iray hafa milaza fa ny techpit mpandray ny laserwriter "techpit" voasoratra ao amin'ny seranana 186.

Ny format-endritsoratra ATP dia asehon'ity ohatra manaraka ity:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- ary ny tovana -or izay mamaritra ny mpanao (mpanao faharoa manaja); ary ny tovana -s mamaritra ny ploraly Open book 01.svg Bika matoanteny 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 dia manomboka ny transaction id 12266 miaraka amin'ny helio mpiantra amin'ny fangatahana ny packages 8 (ny `<0-7> '). Ny laharana hex eo amin'ny faran'ny tsipika dia ny lanjan'ny saha 'userdata' amin'ny fangatahana.

Mamaly amin'ny valam-pejy 8 512-byte i Helios. Ny ': digit' manaraka ny idantan'ny transaction dia manome ny laharam-pametavetana ao amin'ny lahatahiry ary ny isa maromaro dia ny tahan'ny angona ao anaty fonosana, afa-tsy ny header header. Ny '*' amin'ny fonosana 7 dia manondro fa napetraka ny bit of EOM.

Jssmag.209 dia mangataka ny famerenana ny pake 3 & 5. Namerina azy ireo Helios i jssmag.209 ary namoaka ny fifanarahana. Farany, jssmag.209 dia manomboka ny fangatahana manaraka. Ny '*' amin'ny fangatahana dia manondro fa ny XO ('indray mandeha monja') dia tsy natsangana.

IP Fragmentation

Ireo drakitra amin'ny aterineto noforonina dia vita printy

(pikantsary ID : size @ offset +) (famintina : size @ offset )

(Ny endrika voalohany dia manondro fa misy sombin-javatra maromaro kokoa. Ny faharoa dia manondro io no sombina farany.)

Id ny sombin-dahatsoratra. Ny habeny dia ny haben'ny sombin-dahatsoratra (amin'ny bytes) raha tsy misy ny lohatenin'ny IP. Ny fanontam-pirinty dia ny fanontana (amin'ny intes) ao amin'ny daty tany am-piandohana.

Ny fampahalalana sobika dia atolotra ho an'ny sobika tsirairay. Ny sombina voalohany dia ahitana ny loham-pandaharana protocol avo lenta ary ny fampisehoana an-tsoratra dia vita printy taorian'ny info protocol. Ny fragments taorian'ny voalohany dia tsy ahitana loham-peo avo kokoa ary ny takelaka vaovao dia vita pirinty taorian'ny adiresy loharanon-kevitra sy toerana. Ohatra, misy ampahany amin'ny ftp avy ao arizona.edu mankany lbl-rtsg.arpa amin'ny alalan'ny fifandraisana CSNET izay tsy hita fa ahafahana manitsy datagrams 576 byte:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 dia 2560

Misy zavatra roa tokony hosoratana eto: Voalohany, ny adiresy ao amin'ny andalana faha-2 dia tsy ahitana ny laharana port. Izany dia satria ny fampahafantarana protocol TCP dia ao anatin'ny sombina voalohany ary tsy fantatsika hoe inona ny seranan-tsambo na ny laharam-pizarana rehefa manonta ny sombin-taratasintsika aoriana. Faharoa, ny fampahalalana momba ny fizotry ny tcp ao amin'ny andalana voalohany dia vita printy toy ny hoe misy 308 bytes ny angona angona, raha ny marina dia misy 512 bytes (308 ao amin'ny fangatahana voalohany ary 204 amin'ny faharoa). Raha mitady lavaka ianao ao amin'ny efamira mandeha amin'ny sehatra na miezaka ny mifandray amin'ny fonosana miaraka amin'ny fonosana, dia mety hamitaka anao izany.

Ny fonosana miaraka amin'ny IP dia tsy misy sain- tsokosoko marika izay misy marika (DF) .

Timestamps

Matetika, ny laharana rehetra dia alohan'ny fotoana. Ny famantaram-potoana dia ny fotoan'ny famantaranandro ankehitriny amin'ny endrika

HH: MM: ss.frac

ary marina tahaka ny famantaranandro ny famantaranandro. Ny timestamp dia maneho ny fotoana izay nijerin'ny kernel voalohany ny fonosana. Tsy misy fanandramana natao hampihetsi-po ny fotoana fohy raha toa ka nesorin'ny interface ethernet ny fonosana sy ny fantson'ilay kernel ny 'pake vaovao'.

JEREO IHANY KOA

ny fifamoivoizana (1C), nit (4P), bpf (4), pcap (3)

Zava-dehibe: Ampiasao ny baikon'ny lehilahy ( % man ) mba hahitana ny fomba ampiasan'ny baiko amin'ny solosainao manokana.