NAME
tcpdump - taolo ea sephethephethe ho marang-rang
SYNOPSIS
tcpdump [ -delflnNOpqRStuvxX ] [ -c count ]
[ -C file_size ] [ -F faele ]
[ -a sebopeho se nepahetseng ] [ -m module ] [ -r faele ]
[ -s snaplen ] [ -T mofuta oa [] U sebelisang ] [ -w file ]
[ -E algo: sephiring ] [ polelo ]
DESCRIPTION
Tcpdump e hlahisa lihlooho tsa lipakete holim'a marang-rang a marang-rang a lumellanang le polelo ea boolean. E ka boela ea tsamaisana le -a folakha, e etsang hore e boloke data ea pakete ho file bakeng sa tlhahlobo ea morao-rao, le / kapa le -r flag, e etsang hore e baloe ho tloha ho faele ea lipakete e bolokiloeng ho e-na le ho bala liphutheloana ho tloha inthaneteng. Maemong ohle, ke lipakete tse lumellanang le polelo e tla sebetsanoa ka tcpdump .
Tcpdump e tla, haeba e sa tsamaee le -la folakha, tsoela pele ho tšoara lipakete ho fihlela e sitisoa ke letšoao la SIGINT (ka mohlala, ka ho thapa sebopeho sa hao sa ho sitisa, ka tloaelo ho laola-C) kapa pontšo ea SIGTERM (e tloaelehileng e hlahisoang ke polao (1) taelo); haeba e matha le -la folakha, e tla tšoara lipakete ho fihlela e sitisoa ke letšoao la SIGINT kapa SIGTERM kapa lipalo tse hlalositsoeng li entsoe.
Ha tcpdump e qeta ho nka lipakete, e tla tlaleha lintlha tsa:
dipet `` tse amoheletsoeng ke filter '' (se boleloang ke sena se itšetlehile ka OS eo u nang le eona tcpdump , mme mohlomong ka tsela eo OS e neng e hlophisitsoe ka eona - haeba fensetere e boletsoeng molaong oa taelo, ho tse ling tsa OSes e lekana lipakete ho sa tsotellehe hore na li ne li lekanngoa le polelo ea sefahleho, 'me ho tse ling tsa OSes e le feela lipakete tse neng li lekana le polelo ea sehlahisoa' me li nkoa ka tcpdump );
dipet `` e theohile ke kernel '' (ena ke palo ea lipakete tse ileng tsa theoha, ka lebaka la ho haelloa ke sebaka sa moferefere, ka mekhoa ea pokello ea packet ho OS eo tcpdump e sebetsang ho eona, haeba OS e tlaleha hore boitsebiso ho likopo; haeba ho se joalo, e tla tlaleha e le 0).
Litepising tse tšehetsang letšoao la SIGINFO, tse kang li-BSD tse ngata, li tla tlaleha lintlha tseo ha li fumana letšoao la SIGINFO (e hlahisitsoeng, ka mohlala, ka ho thapa sebopeho sa `` boemo ba hau ', ka tloaelo se laola-T)' me se tla tsoela pele ho nka liphutheloana .
Ho bala liphutheloana tse tsoang mochineng oa li-network ho ka hloka hore u be le litokelo tse khethehileng:
Tlas'a SunOS 3.x kapa 4.x ka NIT kapa BPF:
E tlameha ebe u balile ho kena ho / dev / nit kapa / dev / bpf * .
Tlas'a Solaris le DLPI:
U tlameha ho ba le mokhoa oa ho bala le ho ngola hothathamong ea marang-rang, mohlala, dev / le . Bonyane liphetolelo tse ling tsa Solaris, leha ho le joalo, sena ha se lekane ho lumella tcpdump ho tšoara ka mokhoa o hlephileng; ho liphetolelo tseo tsa Solaris, u tlameha ho ba motso, kapa tcpdump e tlameha ho behoa setuid ho mela, e le hore e ka tšoaroa ka mokhoa o hlephileng. Hlokomela hore, ka litsela tse ngata (mohlomong kaofela), haeba u sa khone ho kenya mekhoa ea boitšoaro bo hlephileng, u ke ke ua bona lipakete tse hlahang, kahoo ho tšoaroa ha ho etsoa ka mokhoa o hlephileng oa boitšoaro ho ka 'na ha se ke ha e-ba molemo haholo.
Tlas'a HP-UX le DLPI:
O tlameha ho ba motso kapa tcpdump e tlameha ho kenngoa setuid ho metso.
Tlas'a IRIX le snoop:
O tlameha ho ba motso kapa tcpdump e tlameha ho kenngoa setuid ho metso.
Tlas'a Linux:
O tlameha ho ba motso kapa tcpdump e tlameha ho kenngoa setuid ho metso.
Tlas'a Ultrix le Digital UNIX / Tru64 UNIX:
Motho leha e le ofe ea ka sebelisang sephethephethe sa marang-rang ka tcpdump . Leha ho le joalo, ha ho na mosebedisi (esita le moqapi o moholo-holo) ea ka kenang ka mokhoa oa boitšoaro bo hlephileng habonolo ntle le hore mochine o moholo a nolofaletse mokhoa o tsoileng matsoho ka tsela e sebelisang pfconfig (8), 'me ha ho na user (esita le motlatsi o moholo ) e ka hapa sephethephethe se amohelehang kapa se rometsoeng ke mochine ntle le haeba mochine o moholo a nolofaletse ho etsa mosebetsi oa boitsebiso ka ho sebelisa pfconfig , kahoo pakete e sebetsang e tšoaroa ka sebopeho se hlokahalang e ka ba hore mokhoa o hlephileng oa boitšoaro bo hlephileng kapa oa ho kopitsa -all mode mode, kapa bobeli ba mekhoa ea ts'ebetso, e nolofalloa ho sebopeho seo.
Tlas'a BSD:
E tlameha ebe o balile ho fihlela / dev / bpf * .
Ho bala faele ea pampiri e bolokiloeng ha e hloke litokelo tse khethehileng.
OPTIONS
-a
Leka ho fetola marang-rang le ho phatlalatsa liaterese ho mabitso.
-c
Tloha ka mor'a hore u fumane lipakete tsa lipalo .
-C
Pele o ngola pakete e tala ho safasefa, hlahloba hore na fono e ntse e le khōlō ho feta file_size mme, haeba ho joalo, koala letšoao la ho boloka le ho bula e ncha. Lintho tse bolokiloeng ka mor'a saense ea pele e tla ba le lebitso le hlalositsoeng le -la folakha, le nomoro ka mor'a eona, ho qala ka 2 le ho ea holimo. Lihlopha tsa file_size ke limilione tsa bytes (1,000,000 bytes, eseng 1,048,576 byte).
-d
Lahla khoutu e tsamaisanang le lipakete ka mokhoa o ka fumanoang ke batho ho latela sehlahisoa se setle le se emeng.
-dd
Tlosa khoutu e tsamaisanang le packet e le C fragment ea lenaneo.
-dd
Tlosa khoutu e tšoanang le paketete e le linomoro tsa ho qetela (pele ho palo).
-e
Hatisa hlooho ea sehlopha sa lihlopha molaong o mong le o mong oa ho tlohela.
-E
Sebelisa algo: sephiri sa ho hlakola lipakete tsa IP ESP. Lintho tse hlakileng li ka ba tsa -cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , kapa ha ho le joalo . Ntho e sa lekanyetsoang ke des-cbc . Bokhoni ba ho hlakola lipakete bo teng feela haeba tcpdump e ne e bokelloa ka khalase e lumelitsoeng. sephiri lengolo la ascii bakeng sa senotlolo sa sekhukhu sa ESP. Ha re khone ho nka letšoao la ho bapala ka bonyane ka motsotso ona. Khetho e nka RFC2406 ESP, eseng RFC1827 ESP. Khetho ke feela bakeng sa merero ea ho buoa, le ho sebelisa kgetho ena ka 'nete' sekhukhu sa 'sephiri' se nyahame. Ka ho hlahisa senotlolo sephiring sa IPsec holim'a mohala oa litaelo o etsa hore e bonahale ho ba bang, ka ps (1) le liketsahalo tse ling.
-f
Kopitsa li-intanete tsa "linaheng tse ling" liaterese tsa marang-rang ho e-na le ho tšoantšetsa (khetho ena e reretsoe ho pota-pota tšenyo e tebileng ea bokooa ho Sun's yp seva-hangata e lekana ka ho sa feleng ho fetolela linomoro tsa inthanete tsa sebaka se seng).
-F
Sebelisa faele e le pontšo bakeng sa polelo ea sefahla. Polelo e eketsehileng e fanoeng molaong oa taelo e hlokomolohuoa.
-i
Mamela ka sebopeho . Haeba e sa tsejoe, tcpdump e batlisisa lenane la sebopeho sa sebopeho sa lenane le tlaase ka ho fetisisa, le lokiselitsoeng sebopeho sa sebopeho (ntle le loopback). Maqhama a robehile ka ho khetha mocha oa pele ka ho fetisisa.
Litsing tsa Linux tse nang le 2.2 kapa tse ling tsa morao-rao, phehisano ea sebopeho sa `` leha e le efe '' e ka sebelisoa ho tšoara lipakete ho tsoa ho li-interfaces tsohle. Hlokomela hore litlhōrō tsa '`leha e le efe' 'sesebelisoa se ke ke sa etsoa ka mokhoa o hlephileng oa boitšoaro bo hlephileng.
-l
Etsa molaetsa oa ho otlolla marang-rang. E na le thuso haeba o batla ho bona data ha o ntse oe tšoara. Ka mohlala,
'tcpdump -l | tee dat '' kapa `` tcpdump -l> dat & tail -f dat ''.
-m
Loala melaetsa ea SMI MIB ho tloha mohloling oa mohala . Khetho ena e ka sebelisoa ka makhetlo a 'maloa ho tsamaisa li-modules tse ngata tsa MIB ka tcpdump .
-n
U se ke ua fetola liaterese tsa host ho mabitso. Sena se ka sebediswa ho qoba ho boloka DNS.
-nn
U se ke ua fetola linomoro tsa protocol le port, joalo-joalo ho mabitso kapa.
-N
U se ke ua hatisa lebitso la sebopeho sa lebitso la lebitso la mabitso. Ka mohlala, haeba u fana ka folakha ena joale tcpdump e tla hatisa `` nic '' ho e-na le `` nic.ddn.mil ''.
-O
U se ke ua matha ka mokhoa o nepahetseng oa khoutu ea pakete. Sena se na le thuso feela haeba u belaella bothata bo sebetsang hantle.
-p
U se ke ua beha sebopeho sa sebopeho ka mokhoa o hlephileng. Hlokomela hore sebopeho se ka 'na sa e-ba sebopeho sa boitšoaro bo hlephileng ka mabaka a mang; ka hona, `-p 'e ke ke ea sebelisoa e le tlhaloso ea' ether host {local-hw-addr} kapa ether broadcast '.
-q
Tsoalo e potlakileng (e khutsitseng?). Senya tlhahisoleseding e fokolang ea protocol e le hore mela e hlahisoang e khutšoanyane.
-R
Etsa hore lipakete tsa ESP / AH li thehoe boitsebisong ba khale (RFC1825 ho RFC1829). Haeba ho boletsoe, tcpdump e ke ke ea hatisa tšimo ea ho thibela replay. Kaha ha ho na tšimo ea phetolelo ea protocol ho ESP / AH, qcpdump e ke ke ea elelloa phetolelo ea protocol ea ESP / AH.
-r
Bala liphutheloana ho tloha faele (e ileng ea bōptjoa ka -o khetho). Puo e tloaelehileng e sebelisoa haeba file ke `` - ''.
-S
Hlakola ka ho feletseng, ho e-na le ho bapala, lipalo tsa likarolo tsa TCP.
-s
Snarf snaplen data ea data ho tloha paketeng e 'ngoe le e' ngoe ho e-na le ho fokolloa ha 68 (ka NIT ea SunOS, bonyane ke hantle 96). 68 bytes e lekana bakeng sa IP, ICMP, TCP le UDP empa e ka fetisa tlhahisoleseding ea protocol ho tloha ka lebitso la seva le lipakete tsa NFS (bona ka tlase). Li-packet tse truncated ka lebaka la setšoantšo se lekanyelitsoeng li bontšoa phalong e nang le `` [| | proto ] '', moo proto e leng lebitso la boemo ba protocol eo truncation e etsahetseng ho eona. Hlokomela hore ho nka litekanyetso tse kholoanyane ho eketsa nako ea nako ho nka lipakete 'me, ka katleho, ho fokotsa palo ea ho tlatsa lipakete. Sena se ka etsa hore lipakete li lahlehe. U lokela ho fokotsa lintlheng tse fokolang tse tla tšoara tlhahisoleseding ea protocol eo u e thahasellang. Ho beha 0 ho bolela bolelele bo hlokahalang ho tšoara lipakete tse feletseng.
-T
Sebelisa lipakete tse khethiloeng ke " polelo " ho fetoleloa mofuta o hlalositsoeng. Mefuta e tsejoang hona joale e na le cnfp (Cisco NetFlow protocol), rpc (Tsela ea Kakaretso ea Ts'ebetso), rtp (Real-Time Applications protocol), rtcp (Real-Time Applications control protocol), snmp (Simple Network Management Protocol), vat (Visual Audio Tool) ), le wb (e fanoe ka Bophirimela bo Botle ).
-t
U se ke ua hatisa timestamp molaong o mong le o mong oa taolo.
-tt
Hatisa timestamp e sa tsejoang moeling o mong le o mong oa ho tlohela.
-U
E fokotsa litokelo tsa motso le liphetoho tsa ID ea user ho ID le sehlopha le sehlopha sa basebetsi .
Hlokomela! Red Hat Linux e senya ka boomo litokelo ho user `` pcap '' haeba ho se letho le boletsoeng.
-ttt
Hlakola delta (ka metsotsoana e mehlano) pakeng tsa moeli oa hona joale le o fetileng ho moqolo o mong le o mong.
-THET
Hatisa timestamp ka mokhoa o fapaneng o entsoeng ka letsatsi ka mohala o mong le o mong.
-u
Hatisa NFS e sa ngolisoeng e sebetsa.
-v
(Hanyenyane ho feta) sehlahisoa sa verbose. Ka mohlala, nako ea ho phela, boitsebiso, bolelele bo feletseng le likgetho ka packet ea IP e hatisoa. E boetse e nolofalletsa linyeoe tse eketsehileng tsa botšepehi ba lipakete tse kang ho netefatsa checksum ea IP le ICMP.
-vv
Lintlha tse ling tse ngata tsa verbose. Ka mohlala, lisebelisoa tse eketsehileng li hatisoa ho tloha ho NFS karabo ea likarabo, 'me lipakete tsa SMB li khethiloe ka botlalo.
-vvv
Lintlha tse ling tse ngata tsa verbose. Ka mohlala, lisebelisoa tsa telnet SB ... SE li hatisitsoe ka botlalo. Ka khetho ea -X telnet e hatisoa ka hex hape.
-w
Ngola lipakete tse tala hore u li file ho e-na le ho li fetisa le ho li hatisa. Hamorao ba ka hatisoa ka -r kgetho. Phello e tloaelehileng e sebelisoa haeba faele e le `` - ''.
-x
Hatisa pakete e 'ngoe le e' ngoe (fokotsa sehlooho sa eona sa lihlooho tsa sehlooho) ka hex. Tse nyenyane tsa paketete eohle kapa li-byte tse nyenyane li tla hatisoa. Hlokomela hore ena ke phakete eohle ea li-link, kahoo lihlopha tsa lihlopha tse fapaneng (mohlala, Ethernet), li-byte tsa marang-rang li tla boela li hatisoe ha pakete e phahameng ea lera e le khutšoanyane ho feta palo e hlokahalang.
-X
Ha o hatisa hex, hatisa ascii hape. Kahoo haeba -x e boetse e behiloe, pakete e hatisoa ka hex / ascii. Sena se sebetsa hantle haholo bakeng sa ho hlahloba litsamaiso tse ncha. Esita le haeba -x e sa behoa, likarolo tse ling tsa lipakete tse ling li ka hatisoa ka hex / ascii.
polelo
o khetha lipakete tse tla lahleheloa. Haeba ho se na polelo e fanoeng, lipakete tsohle tse ho letlooa li tla tlosoa. Ho seng joalo, ke lipakete feela tseo polelo e reng `'nete' e tla nyatsoa.
Polelo e na le e le 'ngoe kapa tse ling tse ngata . Hangata litemana li na le id (lebitso kapa palo) e etelletsoeng pele ho litlhaku tse le 'ngoe kapa tse ling. Ho na le mefuta e meraro e fapaneng ea qualifier:
mofuta
ba tšoanelehang ba bolela hore na lebitso la lebitso kapa nomoro e boleloa ke mofuta ofe. Mefuta e ka khonehang e amoheleha , letlooa le thepa . Ka mohlala, 'host foo', 'net 128.3', 'port 20'. Haeba ho se na sebopeho sa mofuta, mohoeletsi o nahanngoa.
ts'oana
lifilosofi li totobatsa tsela e itseng ea ho fetisetsa tataiso ho ea le / kapa ho tloha ho id . Litsela tse ka khonehang ke src , dst , src kapa dst le src le dst . Ka mohlala, `src foo ',' netst net net 128.3 ',` src kapa dst port ftp-data'. Haeba ho se na setifikeiti sa litšila , src kapa dst e nahanngoa. Bakeng sa li-layer 'link' tsa li-link (e leng lintlha tse hlalosang lintlha tse kang sepakapaka) litšoaneleho tse ka hare le tse hlahang li ka sebelisoa ho hlakisa tataiso e batlang.
proto
litsebi li thibela lipapali ho protocol e itseng. Protos e ka khonehang ke: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp le udp . Ka mohlala, `ether src foo ',' netlane ea 128.3 ',' tcp port 21 '. Haeba ho se na sebopeho sa proto, li-protocols kaofela li lumellana le mofuta oa tsona. Ka mohlala, 'src foo' e bolela `(ip kapa arp kapa rarp) src foo '(ntle le ho qetela ha ho lumellane le molao),' net bar 'e bolela' (ip kapa arp kapa rarp) net bar 'le` port 53' e bolela `(tcp kapa udp) kopo 53 '.
[`fddi 'ha e le hantle ke li-alias bakeng sa` ether'; mofani oa eona o ba tšoara ka tsela e tšoanang e le moelelo oa "sekala sa khokahanyo ea data se sebelisitsoeng ho sebopeho sa marang-rang se boletsoeng." 'Lihlooho tsa FDDI li na le liaterese tsa Ethernet le tsa libaka, mme hangata li na le mefuta ea liphutheloana tsa Ethernet, e le hore u ka hloekisa mafapheng ana a FDDI. feela joalokaha ho na le libaka tse tšoanang tsa Ethernet. Lihlooho tsa FDDI li boetse li na le lintlha tse ling, empa u ke ke ua ba bitsa ka ho hlaka polelong ea papiso.
Ka ho tšoanang, `tr 'ke lihlahisoa tsa' ether '; lipolelo tsa serapa sa pele ka lihlooho tsa FDDI li boetse li sebetsa ho lihlooho tsa Token Ring.]
Ho phaella lintlheng tse ka holimo, ho na le lihlooho tse khethehileng 'tsa khale' tse sa lateleng mohlala: monyako , ho phatlalatsoa , ka tlaase , ho feta le lipontšo tsa lipalo. Tsena tsohle li hlalosoa ka tlase.
Mantsoe a finyelloang ka ho fetisisa a lihlooho a hahiloe ka ho sebelisa mantsoe le , kapa hore a se ke a kopanya li-primiti. Ka mohlala, 'host foo' me eseng port ftp le eseng port ftp-data '. Ho boloka ho thapa, lintlha tse tšoanang tsa qualifier li ka tlosoa. Ka mohlala, 'tcp dst port port ftp kapa ftp-data kapa domain' e tšoana le `tcp dst port ftp kapa tcp dst port ftp-data kapa tcp dst port domain '.
Litlhapi tse amohelehang ke:
dst host host
Ke 'nete haeba tšimo ea IPv4 / v6 ea phakete e amoheleha , e ka' nang ea e-ba aterese kapa lebitso.
src moeti moeti
Ke 'nete haeba tšimo ea IPv4 / v6 ea pakete e amoheleha .
moeti ea amohelehang
Ke 'nete haeba mohloli oa IPv4 / v6 kapa sebaka sa phutheho e amoheleha . Mantsoe a mang a ka holimo a amohelehang a ka fetisetsoa ka mantsoe a sehlooho, ip , arp , rarp , kapa ip6 e le:
ip host hoste leng se lekana le:
ether proto \ ip le host hostHaeba moemeli ke lebitso le liaterese tse ngata tsa IP, aterese ka 'ngoe e tla hlahlojoa bakeng sa papali.
ether dst ehost
Ke 'nete haeba aterese ea ho etela le ehost e ehost . Ehost e ka 'na ea e-ba lebitso ho tloha ho / etc / ethers kapa palo (sheba li-ethers (3N) bakeng sa libopeho tsa linomoro).
ether src ehost
Ke 'nete haeba aterese ea mohloli oa ethernet ke ehost .
ether host ehost
Ke 'nete haeba e le hore aterese ea mohloli oa mohloli oa mocheso kapa ea libaka e ehost e ehost .
hekeng ea baeti
Ke 'nete haeba pakete e sebelisitse moeti e le monyako. Eena, aterese ea mohloli oa mohloli oa mocheso kapa sebaka sa ho etela o amohetse empa ha ho na mohloli oa IP kapa sebaka sa IP se neng se amoheleha . Sebaka se tlameha ho ba lebitso mme se lokela ho fumanoa ka bobeli ka mekhoa ea tharollo ea mochine-lebitso-to-IP-address (lebitso la lebitso la mohala, DNS, NIS, joalo-joalo) le ka ho rarolla li-host-name-to-Ethernet-address address mokhoa (/ joalo / ethers, joalo-joalo). (Polelo e lekanang le eona ke
ether host host ehost le ha e amohele moetie ka sebelisoang ka mabitso kapa linomoro bakeng sa ba amohelang / ehost .) Syntax ena ha e sebetse ho ponts'a matla a IPv6 hona joale.
net net
Ke 'nete haeba aterese ea IPv4 / v6 ea libaka tsa pakete e na le lenane la marang-rang la net . Nete e ka ba lebitso ho tloha / joalo / marang-rang kapa marangrang a nomoro (sheba marang-rang (4) bakeng sa lintlha tse eketsehileng).
letlooa letlooa la src
Ke 'nete haeba mohloli oa mohloli oa IPv4 / v6 oa pakete o na le lenane la marang-rang la net .
net net
Ke 'nete haeba mohloli oa IPv4 / v6 oa mohloli kapa oa ho ea paketeng o na le lenane la marang-rang la net .
net mask net netmask
Ke 'nete haeba aterese ea IP e tšoana le net ka thepa e khethehileng. E ka ba ea tšoanelehang ka src kapa dst . Hlokomela hore syntax ena ha e sebetse bakeng sa IPv6 net .
net net / len
Ke 'nete haeba aterese ea IPv4 / v6 e tšoana le net ka bophara bo bongata. E ka ba ea tšoanelehang ka src kapa dst .
sekepe sa sekepe sa dst
Ke 'nete haeba pakete e na ip / tcp, ip / udp, ip6 / tcp kapa ip6 / udp mme e na le bohlokoa ba pariki ea port . Sebaka se ka ba palo kapa lebitso le sebelisitsoeng ho / joalo / litšebeletso (bona tcp (4P) le udp (4P)). Haeba lebitso le sebelisoa, palo ea port le protocol li hlahlojoa. Haeba ho sebelisoa nomoro kapa lebitso le hlakileng, nomoro ea port ke eona feela e hlahlojoang (mohlala, sekoahelo sa dst 513 se tla hatisa ka bobeli sephethephethe sa tcp / login le / kapa sephethephethe le marang-rang a tla hatisa ka bobeli tcp / domain le udp / domain trafic).
src port port
Ke 'nete haeba pakete e na le palo ea marang-rang ea port .
port port
Ke 'nete haeba sekepe sa mohloli kapa sepakapaka sa pakete ke koung . E 'ngoe ea lipolelo tse boletsoeng ka holimo li ka nkoa ka mantsoe a bohlokoa, tcp kapa udp , joaloka:
tcp src port porte leng feela lipakete tsa tcp tseo kou ea mohloli oa eona e leng koung .
bolelele bo fokolang
Ke 'nete haeba pakete e na le bolelele bo fokolang kapa bo lekanang le bolelele . Sena se tšoana le:
len = = bolelele .bolelele bo boholo
Ke 'nete haeba pakete e na le bolelele bo boholo ho feta kapa bo lekana le bolelele . Sena se tšoana le:
len = = bolelele .ip proto protocol
Ke 'nete haeba pakete e le lipakete tsa IP (sheba ip (4P)) ea protocol mofuta oa protocol . Phatlalatso e ka ba palo kapa e 'ngoe ea mabitso a icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , kapa tcp . Hlokomela hore li-identifier tcp , udp , le icmp le tsona ke mantsoe a bohlokoa mme li tlameha ho phonyoha ka ho khutlela morao (\), e leng \\ ka C-shell. Hlokomela hore setšoantšo sena sa khale ha se leleme ketane ea lihlooho tsa protocol.
ip6 proto protocol
Ke 'nete haeba pakete ke IPv6 pakete ea protocol mofuta oa protocol . Hlokomela hore setšoantšo sena sa khale ha se leleme ketane ea lihlooho tsa protocol.
ip6 protochain protocol
Ke 'nete haeba pakete e le IPv6 paket, mme e na le hlooho ea protocol e nang le mofuta oa protocol ka ketane ea eona ea sehlooho. Ka mohlala,
ip6 protochain 6e bapisa leha e le efe pakete ea IPv6 le TCP protocol header ka ketane ea lihlooho tsa protocol. Paka e ka 'na ea e-ba le, ka mohlala, hlooho ea ho netefatsa, ho tsamaisa hlooho, kapa hlooho ea hop-by-hop ea sehlooho, pakeng tsa sehlooho sa IPv6 le sehlooho sa TCP. Khoutu ea BPF e hlahisoang ke ena ea khale e rarahane 'me e ke ke ea ntlafatsoa ke khomphutiso ea BPF ka tcpdump , ka hona sena se ka lieha.
ip protochain protocol
E lekanang le ip6 protochain protocol , empa sena ke sa IPv4.
ether e phatlalatsoang
Ke 'nete haeba pakete e na le pakete e phatlalatso ea ethernet. Motsoako oa ether ke o ikgethileng.
ip phatlalatso
Ke 'nete haeba pakete e le lipatlisiso tsa IP. E hlahloba li-zeroe tsohle le likopano tsohle tse phatlalatsoang, 'me li sheba litlhaku tsa masenke a sebakeng seo.
ether e ngata
Ke 'nete haeba pakete e na le paketete e ngata ea ethernet. Motsoako oa ether ke o ikgethileng. Ena ke shorthand bakeng sa ` ether [0] & 1! = 0 '.
ip multicast
Ke 'nete haeba pakete e na le pakete ea IP multicast.
ip6 e ngata
Ke 'nete haeba pakete eo ke IPv6 multicast paket.
ether proto protocol
Ke 'nete haeba pakete e na le ether mofuta oa protocol . Phatlalatso e ka ba palo kapa e 'ngoe ea mabitso ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopl , moprc , iso , stp , ipx , kapa netbeui . Hlokomela likhetho tsena hape ke mantsoe a bohlokoa mme e tlameha ho phonyoha ka ho khutlela morao (\).
[Tabeng ea FDDI (mohlala, ` fddi protocol arp ') le Token Ring (mohlala,` tr protocol arp '), bakeng sa boholo ba melao eo, ponts'o ea protocol e tsoa ho 802.2 Logical Link Control (LLC), eo hangata e rojoa ka holim'a hlooho ea FDDI kapa Token Ring.
Ha u hlakola li-identifier tse ngata tsa protocol ka FDDI kapa Token Ring, tcpdump e hlahloba feela tšimo ea ID ea protocol ea hlooho ea LLC ka seo ho thoeng ke SNAP sebopeho le Mokhatlo oa Sehlopha sa Mokhatlo (OUI) oa 0x000000, bakeng sa Ethernet encapsulated; ha e hlahlobe hore na pakete e ka SNAP format le OU ea 0x000000.
Likhetho ke iso , eo e hlahlobang DSAP (Destination Service Access Point) le masimo a SSAP (Source Service Access Point) ea hlooho ea LLC, stp le netbeui , moo e hlahlobang DSAP ea hlooho ea LLC, le atalk , moo Cheka bakeng sa pakete ea SNAP-format le OU ea 0x080007 le Appletalk etype.
Tabeng ea Ethernet, tcpdump e hlahloba mofuta oa mofuta oa Ethernet bakeng sa boholo ba li-protocol; ho khethoa ke iso , sap , le netbeui , eo e hlahlobang foreimi ea 802.3 ebe e hlahloba hlooho ea LLC joalokaha e etsoa bakeng sa FDDI le Token Ring, atalk , moo e hlahlobang bobeli ba Appletalk etype ka foreimi ea Ethernet le bakeng sa Phakete ea SNAP-format joalokaha e etsoa bakeng sa FDDI le Token Ring, aarp , moo e hlahlobang e-mail ea Appletalk ARP ka mohaho oa Ethernet kapa foreimi ea 802.2 SNAP e nang le OU ea 0x000000, le ipx , moo e hlahlobang IPX etype ka e entsoeng ka Ethernet, IPX DSAP mohloohong oa LLC, e leng 802.3 e se nang kakaretso ea hlooho ea IPX ea IPX, le IPX etype ka setšoantšo sa SNAP.]
decnet src moeti
Ke 'nete haeba aterese ea mohloli oa DECNET e amoheleha , e ka' nang ea e-ba aterese ea fomu `` 10.123 '', kapa lebitso la hostman la DECNET. [DECNET host host name tshehetso e fumaneha feela ho Ultrix tsamaiso e lokiselitsoeng ho sebetsa DECNET.]
decnet dst host
Ke 'nete haeba aterese ea destination ea DECNET e amoheleha .
decnet host host
Ke 'nete haeba mohala oa source kapa sebaka sa DECNET o amoheleha .
ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui
Likhaloso tsa:
ether proto pmoo p ke e 'ngoe ea li-protocol tse ka holimo.
lat , moprc , mopdl
Likhaloso tsa:
ether proto pmoo p ke e 'ngoe ea li-protocol tse ka holimo. Hlokomela hore tcpdump ha e tsebe hona joale ho senya mehato ena.
vlan [vlan_id]
Ke 'nete haeba pakete e le pakete ea IEEE 802.1Q VLAN. Haeba [vlan_id] e boletsoeng, ke nnete feela hore pakete e na le vlan_id e hlalositsoeng. Hlokomela hore ntlha ea pele ea vlan e kopaneng ka polelo e fetola li-offsets tsa likhetho bakeng sa polelo e setseng ho nahana hore pakete ke pakete ea VLAN.
tcp , udp , icmp
Likhaloso tsa:
ip proto p kapa ip6 proto pmoo p ke e 'ngoe ea li-protocol tse ka holimo.
iso proto protocol
Ke 'nete haeba pakete e le pakete ea OSI ea protocol mofuta oa protocol . Pholisi e ka ba palo kapa e 'ngoe ea mabitso a clnp , sis , kapa isis .
clnp , sis , isis
Likhaloso tsa:
iso proto pmoo p ke e 'ngoe ea li-protocol tse ka holimo. Hlokomela hore tcpdump e na le mosebetsi o sa phetheheng oa ho phekola li-protocol.
expr relop expr
Ke 'nete haeba kamano eo e tšoara, moo relop e leng e' ngoe ea>, <,>, <=, =,! =, Le expr ke polelo ea lipuo tse entsoeng ka mekhahlelo e mengata (e hlalositsoeng ka standard Standard syntax), basebelisi ba tloaelehileng ba binary [+ , -, *, /, &, |], mookameli oa bolelele, le baphaphathehi ba data ba khethehileng. Ho fihlella dintlha ka hare ho pakete, sebelisa syntaxe e latelang:
proto [ expr : size ]Proto ke e 'ngoe ea ether, fddi, tr, ppp, slip, link, ip, arp, rarp, tcp, udp, icmp kapa ip6 , mme e bonts'a mokhoa oa protocol bakeng sa ts'ebetso ea index. (e- ether, fddi, tr, ppp, slip le link tsohle tse lebisanang le sekahelo sa link.) Hlokomela hore tcp, udp le mefuta e meng e marang-rang ea protocol e sebetsa feela ho IPv4, eseng IPv6 (sena se tla tsosolosoa nakong e tlang). Nako e fapaneng ea khoebo, e amanang le sebopeho sa protocol, e fanoa ke expr . Boholo ke bo ikhethelang 'me bo bontša palo ea li-bytes tse tšimong ea thahasello; e ka ba e le 'ngoe, e' meli, kapa e 'ne,' me e fapane ho e 'ngoe. Mookameli oa bolelele, o bontšitsoeng ka lentsoe le ka sehloohong len , o fana ka bolelele ba pakete.
Ka mohlala, ' ether [0] & 1! = 0 ' e tšoara litsela tsohle tse tsamaeang ka bongata. Polelo ` ip [0] & 0xf! = 5 'e tšoara lipakete tsohle tsa IP ka likgetho. Polelo e reng ip [6: 2] & 0x1fff = 0 'e tšoara litomoro tse sa hlakileng feela le lintlha tse arohaneng tsa ditshwantsho. Tlhahlobo ena e sebelisoa ka ho feletseng liketsong tsa index tsa tcp le udp . Ka mohlala, tcp [0] kamehla e bolela leeto la pele la hlooho ea TCP, 'me le ka mohla ha le bolele sekhetho sa pele sa sekhechana se kenellang.
Mekhoa e meng ea litšenyehelo le tšimo e ka hlalosoa e le mabitso ho e-na le hore e be litekanyetso tsa lintlha. Sehlooho se latelang sa protocol se hlahisang li-offsets li fumaneha: icmptype (ICMP mofuta oa tšimo), icmpcode (ICMP code field), le tcpflags (tšimo ea li-flag tsa TCP).
Libaka tse latelang tsa maqephe a ICMP li fumaneha: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timstceed , icmp-paramprob , icmp-tstamp , icmp -motlake , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .
Litebelisoa tse latelang tsa li-flags tsa TCP li fumaneha: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .
Litemana li ka kopanngoa ka:
Sehlopha se nang le botumo ba batho ba nang le mekhoa e metle le ba sebetsang (li-parentheses li khethehile ho Shell 'me li tlameha ho phonyoha).
Phoso (` ! 'Kapa` non').
Concatenation (` && 'kapa` le ').
Tsela e 'ngoe (` || ' kapa` kapa ' kapa ').
Ho se tsotelle ho na le pele ho feta. Tsela e 'ngoe le konteraka li na le ts'ebetso e lekanang le ho ba le setsoalle ho tloha ka ho le letona. Hlokomela hore lintho tse hlakileng le li-tokens, eseng juxtaposition, joale li hlokeha bakeng sa concatenation.
Haeba senoiso se fanoa ntle le senotlolo, lentsoe la sehlooho la morao-rao le nahanngoa. Ka mohlala,
ha e amohele vs vse khutšoanyane
ha e amohele batho ba nang le bona le ba nang le eonae sa lokelang ho ferekanngoa le
eseng (host vs kapa ace)Lipolelo tsa ho hlalosa li ka fetisetsoa ho tcpdump e le ntho e le 'ngoe kapa e le likhang tse ngata, ho sa tsotellehe hore na ho bonolo hakae. Ka kakaretso, haeba polelo e na le li-metacharacters tsa Shell, ho bonolo ho e fetisa e le ntho e le 'ngoe, e qotsitsoeng. Likhohlano tse ngata li lumellane le libaka pele li etsoa.
MEHLALA
Ho hatisa lipakete tsohle tse fihlang kapa ho tloha letsatsing la letsatsi :
Tcpdump host sundownHo hatisa sephethephethe pakeng tsa helios le e chesang kapa e le :
tcpdump host helios le \ (hot kapa ace \)Ho hatisa tsohle lipakete tsa IP pakeng tsa ace le leha e le efe moemeli ntle le helios :
tcpdump ip host ace mme eseng heliosHo hatisa sephethephethe kaofela pakeng tsa mabotho a libaka le libaka tsa libaka Berkeley:
tcpdump net netbb-etherHo hatisa tsohle sephethephethe sa ftp ka gateway snup : (hlokomela hore polelo e qotsoe ho thibela shell ho tloha (mis-) ho fetola bana ba li-parentheses):
tcpdump 'gateway snup le (port ftp kapa ftp-data)'Ho hatisa sephethephethe ha sea ka sa tlosoa kapa ha se reretsoe ho ba mabotho a sebaka sa heno (haeba u e-ea ho e 'ngoe ea letlooa, ntho ena ha ea lokela ho e kenya molaong oa hau).
tcpdump ip le e se net netnetHo hatisa liphutheloana tsa pele le tsa ho qetela (lipakete tsa SYN le FIN) tsa puisano e 'ngoe le e' ngoe ea TCP e amanang le batho bao e seng baahi ba sebaka seo.
tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin) = = 0 eseng src le dst net netnet 'Ho hatisa lipakete tsa IP nako e telele ho feta 576 bytes tse rometsoeng ka gateway snup :
tcpdump 'gateway snup le ip [2: 2]> 576'Ho hatisa lipatlisiso tsa IP kapa lipakete tse ngata tse sa romelloang ka ho phatlalatsoa ethernet kapa tse ngata:
tcpdump 'ether [0] & 1 = 0 le ip [16]> = 224'Ho hatisa lipakete tsohle tsa ICMP tse sa tsebeng likōpo / likarabo (ke hore, ha se ping lipakete):
tcpdump 'icmp [icmptype]! = icmp-echo le icmp [icmptype]! = icmp-echoreply'KHETHO EA FORMAT
Litholoana tsa tcpdump ke ts'ebetso ea protocol. Lintlha tse latelang li fana ka tlhaloso e khutšoanyane le mehlala ea boholo ba liforomo.
Lihlooho tsa Lihlahisoa tsa Khokahano
Haeba khetho ea '-e' e fanoa, hlooho ea lihlopha tsa lihlopha e hatisoa. Libakeng tse ethernets, mohloli le sebaka seo u leng ho sona li atamela, bolelele le bolelele ba lipakete li hatisitsoe.
Ho marang-rang a FDDI, khetho ea '-e' e etsa hore tcpdump e hatise tšimo ea 'taolo ea' frame, liaterese tsa mohloli le sebaka, le bolelele ba pakete. (Palo ea 'laola' 'muso e laola tlhaloso ea lipakete tse ling kaofela. Lipapakete tse tloaelehileng (tse kang tse nang le IP datagrams) ke lipakane tsa' async ', tse nang le phaello ea bohlokoa pakeng tsa 0 le 7, ka mohlala,' async4 '. ho nahanoa hore lipakete li na le pakete ea 802.2 ea Logical Link Control (LLC); hlooho ea LLC e hatisoa haeba e se setšoantšo sa ISO kapa pakete ea SNAP.
Lits'ebetsong tsa Token Ring, khetho ea '-e' e baka tcpdump ho hatisa 'taolo ea ho fihlella' le 'taolo ea foreimi', mohloli le sebaka seo u leng ho sona, le bolelele ba pakete. Joaloka lithaneteng tsa FDDI, lipakete li nkoa li na le pakete ea LLC. Ho sa tsotellehe hore na khetho ea '-e' e boletsoeng kapa che, tlhahiso ea mohloli oa mohloli e hatisoa bakeng sa lipakete tse tsamaisoang mohloli.
(NB: Tlhaloso e latelang e tloaelana le algorithm ea compression ea SLIP e hlalositsoeng ho RFC-1144.)
Litsong tsa SLIP, letšoao la tataiso (`` 'I' 'bakeng sa ho pota,' O '' bakeng sa ho tsoa), mofuta oa paketete le tlhahisoleseding ea compression li hatisoa. Mofuta oa packet o hatisoa pele. Mefuta e meraro ke ip , utcp , le ctcp . Ha ho tlhahiso ea lintlha tse ling tse hatisitsoeng bakeng sa ip packets. Bakeng sa lipakete tsa TCP, identifi ea khokahano e hatisitsoe ka mor'a mofuta. Haeba pakete e hatelloa, hlooho ea eona e kentsoeng e hatisoa. Liketsahalo tse khethehileng li hatisoa e le * S + n and * SA + n , moo n ke palo eo ho latellanang palo (kapa ho latellana nomoro le ack) e fetohileng. Haeba e se taba e khethehileng, liphetoho tsa zero kapa tse ling li hatisoa. Phetolelo e bonts'oa ke U (potlako e potlakileng), W (fensetere), A (ack), S (lenane la tatellano), le 'na (pakete ea pakete), e lateloa ke delta (+ n kapa -n), kapa boleng bo bocha (= n). Qetellong, kakaretso ea lintlha ka har'a pakete le ho hatelloa ka bohlooho bohlooho e hatisoa.
Ka mohlala, lethathamo le latelang le bontša pakete ea TCP e hatelitsoeng, e nang le tokomane ea ho kopana ka ho feletseng; ack e fetohile ka 6, ho latellana nomoro ka 49, le ID ea pakete ka 6; ho na le li-data tse 3 tsa data le li-bytes tse 6 tsa hlooho e hatelitsoeng:
O ctcp * A + 6 S + 49 I + 6 3 (6)Li-packet tsa ARP / RARP
Arp / rarp pontšo e bontša mofuta oa kopo le mabaka a eona. Sebopeho se reretsoe hore e be se hlalosang. Mona mohlala o khutšoanyane o nkiloeng ho tloha qalong ea `` rlogin 'ho tloha ho rtsg ea baeti ho amohela mohala :
arp ea-o na le csam e-re rtsg arp araba csam ke-ka CSAMMokha oa pele o re rtsg e rometse pakete ea arp e kōpa aterese ea internet ea host host csam. Csam e arabela le aterese ea eona ea ethernet (ho latela mohlala ona, liaterese tsa ethernet li kentse le liaterese tsa inthanete ka tlaase).
Sena se ne se tla bonahala se le tlaase haholo haeba re ne re entse tcpdump -n :
arp ea-o na le 128.3.254.6 bolella 128.3.254.68 arp karabo 128.3.254.6 ke-ka 02: 07: 01: 00: 01: c4Haeba re ne re entse tcpdump -e , taba ea hore pakete ea pele e phatlalatsoa 'me ea bobeli ke ntlha ea ntlha-ho-e ka bonahala:
Khatiso ea RTSG 0806 64: arp ea-o na le csam e re rtsg CSAM RTSG 0806 64: arp reply csam ke-CSAMBakeng sa pakete ea pele sena se re aterese ea mohloli oa ethernet ke RTSG, sebaka seo ho eang ho sona ke aterese ea theatre ea ethernet, sebaka sa mofuta o nang le hex 0806 (mofuta oa ETHER_ARP) 'me bolelele bohle bo ne bo le 64 bytes.
Lipapaka tsa TCP
(NB: Tlhaloso e latelang e tloaelana le protocol ea TCP e hlalositsoeng RFC-793. Haeba u sa tloaelane le protocol, le tlhaloso ena kapa tcpdump ha li na thuso e ngata ho uena.)
Tsela e akaretsang ea molapo oa protocol oa tcp ke:
src> dst: li-flags-data li-ack li potlakile likhetho Src le dst ke mohloli le ho eang liaterese tsa IP le lipalangoang. Li-Flags li na le motsoako oa S (SYN), F (FIN), P (PUSH) kapa R (RST) kapa 'ngoe'. (ha ho lifolakha). Data-seqno e hlalosa karolo ea sekhetho se koahetsoeng ke data ka paketeng ena (bona mohlala o ka tlase). Ack e latellana le nomoro ea data e latelang e lebelletsoeng ho latela tataiso ena. Fensetere ke palo ea li-bytes tsa sebaka se amohelehang se fumanehang ka tsela e 'ngoe mabapi le kgokahanyo ena. Urg e bonts'a hore ho na le 'litaba tse potlakileng' ka har'a pakete. Khetho ke likhetho tsa tcp tse koaletsoeng ka libakete tsa mahlakoreng (mohlala,
Src, dst le lifolakha li teng kamehla. Makala a mang a itšetlehile ka lintho tse ka sehlooho sa protocol ea tcp ea packet 'me li hlahisoa feela haeba ho loketse.
Mona ke karolo e qalang ea rlogin ho tloha ho rtsg ea batho ba amohelehang ho amohela mohala .
rtsg.1023> csam.login: S 768512: 768512 (0) win 4096Mokha oa pele o re letheko la tcp 1023 ka rtsg le rometse pakete ho kena ho kena ho kena kahare. The S e bontša hore folakha ea SYN e behiloe. Phakete e latellanang nomoro e ne e le 768512 'me e ne e se na data. (Palo ea 'ona ke' pele: e qetellang (nbytes) 'e bolelang' linomoro tsa ho latellana ho fihlela ho sa kenyele ho qetela e leng li- nbytes tsa data tsa user. ') Ho ne ho se na ack e tšehetsoeng ke likolobe, fensetere e fumanehang e fumanehang e ne e le 4096 byte le ho ne ho e-na le kgetho ea boholo ba karolo e kholo e kōpang mSS ea 1024 bytes.
Csam e arabela ka pakete e tšoanang haese e kenyeletsa ack e tšehetsoeng ke likolobe bakeng sa SYN ea rtsg. Rtsg ebe SYN ea acs csam. '`. ho bolela hore ha ho lifolakha tse behiloeng. Paka e ne e se na data e le hore ho se na nomoro ea tatellano ea data. Hlokomela hore palo ea sekhetho sa ack ke lenane le lenyenyane (1). Ka lekhetlo la pele tcpdump e bona tcp `moqoqo ', e fetola palo ea ho latellana ho tloha paketeng. Lipeteng tse latelang tsa moqoqo, phapang pakeng tsa nomoro ea lipalo tsa lipakane le palo ena ea sekhetho sa pele e hatisoa. Sena se bolela hore ho latellana lipalo ka mor'a hore ea pele e hlalosoe e le libaka tse amanang le byte mohaleng oa puisano ea moqoqo (le letoto la pele la boitsebiso le laola tataiso ka 'ngoe e le `1'). `-S 'e tla fetela tšobotsi ena, e etsa hore lipalo tsa lipalo tsa pele li hlahisoe.
Molaong oa bo 6, rtsg e romella lithane tse 19 tsa data (bytes 2 ho isa ho 20 karolong ea rtsg -> csam ea moqoqo). Letlapa la PUSH le behoa ka har'a pakete. Molaong oa bobeli, csam e re e fumane lits'ebeletso tse rometsoeng ke rtsg ho fihlela empa li sa kenyeletse leeto 21. Boholo ba lintlha tsena li bonahala li lutse ka lebokoseng le ka morao ho tloha fensetere ea kamo ea csam e fumane li-bytes tse nyenyane tse 19. Csam e boetse e romela otho e le nngwe ea data ho rtsg paketeng ena. Metsing ea 8 le ea 9, csam e romela li-bytes tse peli tsa potlako, e sutumelletse data ho rtsg.
Haeba setšoantšo se senyenyane se lekaneng hoo tcpdump e sa kang ea kenya TCP e feletseng hloohong, e fetolela lihlooho tse ngata kamoo e ka khonang ebe e tlaleha `` [| tcp ] '' ho bontša hore setseng e sitoa ho hlalosoa. Haeba sehlooho se na le khetho e boletsoeng (e nang le bolelele bo ka tlaase kapa qetellong ea hlooho), tcpdump e tlaleha e le `` [ mpe opt ] '' me ha e hlalosetse mekhoa e meng e tsoetseng pele (kaha ha ho khonehe ho e bolella moo ba qala teng). Haeba bolelele ba hlooho bo bontša likhetho tse teng empa boholo ba IP datagram ha bo na nako e lekaneng bakeng sa hore likhetho li be moo, tcpdump e tlaleha hore ke `` [ bad hdr length ] ''.
Ho tšoara lipakete tsa TCP tse nang le mekhahlelo e itseng ea folakha (SYN-ACK, URG-ACK, joalo-joalo)
Ho na le li-bits tse 8 ho karolo ea likarolo tsa taolo ea hlooho ea TCP:
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
A re nke hore re batla ho shebella lipakete tse sebelisetsoang ho theha khokahano ea TCP. Hopola hore TCP e sebelisa mokhoa o ts'oanang oa letsoho la matsoho a mararo ha e qala tšebetso e ncha; ho latellana ha liphatlalatso mabapi le likarolo tsa taolo ea TCP ke
1) Caller o romella SYN
2) Moahloli o araba ka SYN, ACK
3) Caller e romela ACK
Hona joale re thahasella ho nka liphutheloana tse nang le SYN feela e behiloeng (Step 1). Hlokomela hore ha re batle lipakete ho tloha mohato oa 2 (SYN-ACK), feela SYN ea pele. Seo re se hlokang ke polelo e nepahetseng ea sefahla bakeng sa tcpdump .
Hopola sebopeho sa hlooho ea TCP ntle le dikgetho:
0 15 31 ----------------------------------------------- ------------------ | mochine oa mohloli ... port portal | -------------------------------------------------- --------------- | ho latellana nomoro | -------------------------------------------------- --------------- | ho amohela nomoro ea -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | boholo ba fensetere | -------------------------------------------------- --------------- | TCP checksum | potlako pointer | -------------------------------------------------- ---------------Mohlooho oa TCP hangata o na le li-bytes tse 20 tsa data, ntle le haeba likhetho li le teng. Mokha oa pele oa graph o na le li-octet 0 - 3, moleng oa bobeli o bontša li-octet 4 - 7 joalo-joalo.
Ho qala ho bala ka 0, li-bits tsa thibelo tsa TCP li na le ka octet 13:
0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | boholo ba fensetere | ---------------- | --------------- | --------------- | - --------------- | | Octet ea 13 | | |A re ke re shebisise ka ho tebileng no octet. 13:
| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |Tsena ke litsamaiso tsa taolo ea TCP tseo re li thahasellang. Re balile lits'ebetso ho octet ena ho tloha ho 0 ho ea ho 7, ho ea ka letsohong le letšehali, kahoo PSH ke lenane le lenane la 3, ha URG e ntse e le nomoro ea 5.
Hopola hore re batla ho kenya lipakete tse nang le SYN feela. A re ke re boneng se etsahalang ka octet 13 haeba TCP datagram e fihla le bitsoa SYN sehloohong sa eona:
| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 0 0 0 | | --------------- | | 7 6 5 4 3 2 1 0 |Ha re shebile karolo ea litsamaiso tsa taolo rea bona hore palo e nyane feela ea (SYN) e behiloe.
Ho nka hore octet ea 13 ke 8-bit e sa ngolisoang ka tatellano ea lenaneo la marang-rang, bohlokoa ba bonyane ba octet ena
00000010
'me setšoantšo sa sona sa bophara ke
7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2Re se re se re qetile, kaha hona joale rea tseba hore ha feela SYN e behiloe, boleng ba li-octet tse 13 mohloling oa TCP, ha ho hlalosoa e le botho ba 8-bit e sa ngolisoang ka tatellano ea inthanete, e lokela ho ba hantle 2.
Kamano ena e ka hlalosoa e le
tcp [13] == 2
Re ka sebelisa polelo ena e le sehlatso sa tcpdump e le hore re shebe lipakete tse nang le SYN feela tse behiloeng:
tcpdump -i xl0 tcp [13] == 2
Mantsoe ana a re "lumella octet ea 13 ea TCP datagram e na le bohlokoa ba bobeli", e leng sona seo re se batlang.
Joale, a re ke re nahane hore re hloka ho tšoara lipakete tsa SYN, empa ha re tsotelle hore na ACK kapa ntho efe kapa efe ea taolo ea TCP e behiloe ka nako e le 'ngoe. A re boneng hore na ho etsahala'ng ka octet 13 ha setšoantšo sa TCP le setho sa SYN-ACK se fihla:
| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | | --------------- | | 7 6 5 4 3 2 1 0 |Hona joale likhahla tsa 1 le tsa 4 li behoa ka octet ea 13. Bohloko ba binary ea octet 13 ke
00010010
e fetolelang ho fetotsoe
7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18Hona joale ha re khone ho sebelisa 'tcp [13] == 18' polelong ea sefahleho sa tcpdump , hobane seo se ne se tla khetha lipapakete tse nang le setho sa SYN-ACK, empa eseng tse nang le SYN feela. Hopola hore ha re tsotelle haeba ACK kapa ntho efe kapa efe ea taolo e behiloe ha SYN e ntse e behiloe.
E le hore re finyelle sepheo sa rona, ho hlokahala hore re be le ka mokhoa o nepahetseng LE boleng ba kananelo ea octet 13 e nang le bohlokoa bo bong ho boloka ts'ebetso ea SYN. Rea tseba hore re batla hore SYN e be boemong leha e le bofe, kahoo re tla ba le kahlolo e nepahetseng LE boleng ka octet ea 13 ka bohlokoa ba binary ba SYN:
00010010 SYN-ACK 00000010 SYN LE 00000010 (re batla SYN) LE 00000010 (re batla SYN) -------- -------- = 00000010 = 00000010Rea hlokomela hore sena le ts'ebetso e fana ka sephetho se le seng ho sa tsotellehe hore na ACK kapa ntho e 'ngoe ea taolo ea TCP e behiloe. Sebopeho sa setšoantšo sa boleng ba NAKO hammoho le phello ea ts'ebetso ena ke 2 (binaary 00000010), kahoo rea tseba hore bakeng sa lipakete tse nang le SYN tse behang kamano e latelang e tlameha ho sebetsa e le 'nete:
((boleng ba octet 13) LE (2)) == (2)
Sena se re lebisa polelong ea sefahleho sa tcpdump
tcpdump -i xl0 'tcp [13] & 2 == 2'
Hlokomela hore o lokela ho sebelisa litlhaloso tse le 'ngoe kapa ho khutlela morao polelong ho pata seaparo sa AND &' ('&') se khethehileng sekhethong.
Lipakete tsa UDP
Phatlalatso ea UDP e tšoantšetsoa ke liphoete tsena:
Actinide.who> broadcast.who: udp 84Sena se bolela hore lebenkele le leng le le leng la setho sa hostin se rometse dintlha tsa ditshwantsho ho koung eo e leng hosaeteng ho amohelehang, aterese ya Inthaneteng. Paka e ne e na le li-byte tse 84 tsa data.
Lits'ebeletso tse ling tsa UDP lia tsejoa (ho tloha mohloling oa mohloli oa mohloli kapa oa ho fihla) le boitsebiso bo phahameng ba protocol bo hatisitsoeng. Ka ho khetheha, likōpo tsa tšebeletso tsa lebitso la Domain (RFC-1034/1035) le lits'ebeletso tsa Sun RPC (RFC-1050) ho NFS.
Tlhaloso ea Seboka sa UDP Lebitso
(NB: Tlhaloso e hlahlamang e tloaelana le Proxy Domain Service e hlalositsoeng RFC-1035. Haeba u sa tloaelane le protocol, tlhaloso e latelang e tla bonahala e ngotsoe ka Segerike.)
Likōpo tsa seva sa lebitso li fetisitsoe e le
src> dst lifolakha qtype lebitso la qclass (len) h2opolo.1538> helios.domain: 3+ A? ucvhax.berkeley.edu. (37)Sebaka sa h2opolo se botsa helios domain server bakeng sa rekoto ea aterese (qtype = A) e amanang le lebitso ucvhax.berkeley.edu. Potso ea id e ne e le `3 '. '`+' E bontša hore folakha e lakatsehang e ne e behiloe. Bolelele ba lipotso bo ne bo le 37 bytes, eseng ho akarelletsa lihlooho tsa protocol tsa UDP le IP. Tshebetso ea lipotso e ne e le e tloaelehileng, Potso , kahoo tšimo e ile ea tlosoa. Haeba op e ne e le ntho leha e le efe e 'ngoe, e ka be e hatisitsoe pakeng tsa `3' le` + '. Ka ho ts'oanang, qclass e ne e le e tloaelehileng, C_IN , mme e tlohetsoe. K'homphieutha efe kapa efe e ka be e hatisitsoe kapele ka mor'a 'A'.
Lintho tse seng kae tse senyehileng li hlahlojoa 'me li ka fella ka masimo a eketsehileng a koaletsoeng ka libakete tse sekoti: Haeba potso e na le karabo, litlaleho tsa bolaoli kapa likarolo tse ling tsa litlaleho, anccount , nscount , kapa mabenkele li hatisitsoe e le `[ n a]',` n n ] 'kapa `[ n au]' moo n e leng palo e loketseng. Haeba e le efe ea likarabo tsa karabo e behiloeng (AA, RA kapa rcode) kapa leha e le efe ea 'e lokelang ho ba zero' e behiloe ka bytes tse peli le tse tharo, '[b2 & 3 = x ]' e hatisitsoe, moo x ke phaello ea hex ea hlooho ka li-bytes tse peli le tse tharo.
Lebitso la UDP Lebitso la Likarabo
Likarabo tsa li-server tsa lebitso li hlophisitsoe e le
src> dst: id op rcode flags a / n / kapa mofuta oa dintlha tsa lenaneo (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)Mohlala oa pele, helios e araba potso id 3 ho tloha ho h2opolo le litlaleho tse 3 tsa likarabo, litlaleho tsa li-server tse 3 le litlaleho tse ling tse 7. Tlaleho ea pele ea karabo ke mofuta oa A (aterese) le data ea eona ke aterese ea Inthanete 128.32.137.3. Boholo ba karabo e ne e le li-273 bytes, ntle le lihlooho tsa UDP le IP. Sebopeho sa (Query) le karabo (NoError) se ile sa tlosoa, joalo ka sehlopha (C_IN) sa tlaleho ea A.
Mohlala oa bobeli, helios e araba potso ea 2 ka khopo ea karabo ea sebaka se seng se teng (NXDomain) se se nang likarabo, seva se le seng le litlaleho tsa bolaoli. '`' E bontša hore karabo e nang le matla e nepahetseng e ne e behiloe. Kaha ho ne ho se na likarabo, ha ho mofuta, sehlopha kapa dintlha tse hatisitsoeng.
Litlhaku tse ling tsa folakha tse ka 'nang tsa bonahala ke `-' (ho khutlela hoa fumaneha, RA, ha e behe) le` | ' (molaetsa o nang le mokoetliso, TC, set). Haeba karolo ea `potso 'e sa na le ho kena e le' ngoe, '[nq]' e hatisoa.
Hlokomela hore likōpo tsa seva sa lebitso le likarabo li atisa ho ba kholo 'me li-bytes tse ka bang 68 li sa khone ho nka pakete e lekaneng ho e hatisa. Sebelisa -la folakha ho eketsa lintlheng haeba u hloka ho hlahloba ka botebo patlo ea lebitso la seva. ' -ss 128 ' e nthusitse hantle.
SMB / CIFS ho khetholla
Hona joale tcpdump e kenyelletsa ho hlaka ka ho feletseng SMB / CIFS / NBT bakeng sa lintlha tsa UDP / 137, UDP / 138 le TCP / 139. Litlhaloso tse ling tsa khale tsa data ea IPX le NetBEUI SMB e boetse e etsoa.
Ka nako e nepahetseng palo e fokolang e etsoa, e nang le boitsebiso bo qaqileng haholoanyane-haeba bo sebelisoa. E-ba hlokomelisoe hore ka -ba pakete ea SMB e le 'ngoe e ka nka leqephe kapa ho feta, kahoo sebelisa feela -ba haeba u hlile u batla lintlha tsohle tsa bohloeki.
Haeba u khetholla mananeo a SMB a nang le likhoele tsa unicode ka nako eo u ka lakatsa ho beha mocha oa tikoloho USE_UNICODE ho 1. Patch ea ho hlahloba matšoao a unicode e tla amoheloa.
Bakeng sa tlhahisoleseding mabapi le liforomo tsa lipakete tsa SMB le hore na lihlopha tsohle tsa hau li bolela'ng ho www.cifs.org kapa molaetsa oa pub / samba / specs / sebapeng sa hau sa seipone sa samba.org. Litlhaku tsa SMB li ngotsoe ke Andrew Tridgell (tridge@samba.org).
NFS Requests le Replies
Letsatsi la NFS (Network File System) likarabo le likarabo li hatisoa ka:
src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len op tshireletso.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: araba ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 ho fumana fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: araba ok 128 ho fumana fh 9,74 / 4134.3150Ka lehlakoreng la pele, sesupa ea ho amohela sengoliloeng se romela transaction le id 6709 ho wrl (hlokomela hore palo e latelang palo ea src ke id, e seng mohloli oa mohloli). Kopo e ne e le li-bytes tse 112, ntle le lihlooho tsa UDP le IP. Tshebetso e ne e le readlink (bala sekapano sa tšoantšetso) lefapheng la faele (fh) 21,24 / 10.731657119. (Haeba motho a le lehlohonolo, joalo ka tabeng ena, mochine oa lifaele o ka hlalosoa e le phapanyetsano e kholo, e nyenyane ea lisebelisoa, e lateloa ke nomoro ea inode le nomoro ea moloko.) Likarabo tsa Wrl 'ok' le tse ka hare ho likahare.
Lethathamong la boraro, sushi e botsa ho kopa lebitso la ' xcolors ' lefapheng la lirekoto 9,74 / 4096.6878. Hlokomela hore lintlha tse hatisitsoeng li itšetlehile ka mofuta oa ts'ebetso. Sebopeho se reretsoe hore e be se hlalosang ha se baloa tumellanong le NFS protocol pro spec.
Haeba ho fanoa ka folakha ea -v (verbose), boitsebiso bo eketsehileng bo hatisoa. Ka mohlala:
sushi.1372a> wrl.nfs: 148 read fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: reply ok 1472 read REG 100664 ids 417/0 sz 29388(-e boetse e hatisa hlooho ea IP e bitsoang TTL, ID, bolelele le ho arohana, e sa tlohetsoeng mohlaleng ona.) Molaong oa pele, sushi e botsa ho bala 8192 bytes ho tloha foseng 21,11 / 12.195, ka khoebo ea offset 24576. Likarabo tsa Wrl `ok '; pakete e bontšitsoeng mohloling oa bobeli ke sekhechana sa pele sa karabo, kahoo ke feela 1472 bytes nako e telele (tse ling tse bytes tla latela likarolo tse latelang, empa likaroloana tsena ha li na NFS kapa esita le lihlooho tsa UDP kahoo e ke ke ea hatisoa, ho itšetlehile ka mantsoe a sefapiso a sebelisoang). Hobane -la folakha e fanoa, tse ling tsa litšobotsi tsa lifaele (tse khutlisetsoang ho phaella ho data ea faele) li hatisitsoe: mofuta oa faele (`` REG '', bakeng sa faele ea kamehla), feshene ea faele (ka octal), sekhahla le gid, le boholo ba faele.
Haeba -la folakha e fanoa hangata, lintlha tse ling hape li hatisoa.
Hlokomela hore likōpo tsa NFS li kholo haholo 'me boholo ba lintlha tsena li ke ke tsa hatisoa ntle le hore snaplen e eketsehe. Leka ho sebelisa ` -s 192 'ho shebella sephethephethe sa NFS.
Lipapatso tsa NFS li arabela ha li hlahise ts'ebetso ea RPC ka ho hlaka. Ho e-na le hoo, tcpdump e boloka lipatlisiso tsa `` morao tjena '', 'me li li bapisa le likarabo ho sebelisa ID ea transaction. Haeba karabo e sa latellane ka katleho le kōpo e lumellanang, e ka 'na ea se ke ea e-ba e tsitsitseng.
AFS Requests le Replies
AFS Transarc (Andrew File System) likarabo le likarabo li hatisoa e le:
src.sport> dst.dport: packet-type src.sport> dst.dport: mohala oa mofuta oa packet call call-name args src.sport> dst.dport: mofuta oa packet-type service response call-name args elvis. 7001> pike.afsfs: rx data fs mohala rename khale fid 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs reply renameKa lehlakoreng la pele, moeli ea elvis o romela pakete ea RX ho ea phahamisa. Ena e ne e le RX data packet ho fs (fileerver) tšebeletso, mme ke qalo ea pitso ea RPC. Pitso ea RPC e ne e le rename, e nang le id e nepahetseng ea faele ea khale ea 536876964/1/1 le filename ea khale ea `.newsrc.new ', le idenete e ncha ea faele ea mohala ea 536876964/1/1 le filename e ncha ea`. newsrc '. Motho ea sebetsanang le pike o arabela ka karabo ea RPC ho rename ea mohala (e neng e atlehile, hobane e ne e le pakete ea data eseng pakete ea ho senya).
Ka kakaretso, tsohle tsa AFS RPC li khetholloa ka bonyane ka lebitso la pitso ea RPC. Boholo ba AFS RPC ba na le bonyane tse ling tsa liqeto tse hlalositsoeng (ka kakaretso lipolelo tse 'thahasellisang', bakeng sa tlhaloso e itseng ea thahasellisang).
Sebopeho se reretsoe ho itlhalosa, empa se ke ke sa thusa batho ba sa tsebeng ho sebetsa ha AFS le RX.
Haeba folakha -v (verbose) e fanoa ka makhetlo a mabeli, ho amohela lipampiri le boitsebiso bo eketsehileng ba hlooho, joalo ka nomoro ea RX ea nomoro, nomoro ea mohala, nomoro ea tatellano, nomoro ea mohala le lipapaka tsa RX.
Haeba -la folakha e fanoa ka makhetlo a mabeli, tlhahiso-leseling e eketsehileng e hatisoa, joalo ka e-ID ea call ea RX, nomoro ea serial, le lifolakha tsa RX paket. Litaba tsa puisano tsa MTU li hatisoa hape ho tloha lipakeng tsa RX ack.
Haeba -la folakha e fanoa ka makhetlo a mararo, letšoao la tšireletso le sekhetho sa tšebeletso li hatisoa.
Melao e fosahetseng e hatisoa bakeng sa lipakete tsa boipheliso, ntle le lipakete tsa Ubik (hobane li-packet tse sa sebelisoeng li sebelisetsoa ho bonts'a likhetho tsa ego bakeng sa proxy ea Ubik).
Hlokomela hore litlhahiso tsa AFS li kholo haholo 'me tse ngata ha li hatisoe ntle leha snaplen e eketseha. Leka ho sebelisa ` -s 256 'ho shebella traffic ea AFS.
AFS e araba lipakete ha li hlahise ka ho hlaka mosebetsi oa RPC. Ho e-na le hoo, tcpdump e boloka lipatlisiso tsa `` morao tjena '', 'me li li bapisa le likarabo ho sebelisa nomoro ea mohala le ID ea tšebeletso. Haeba karabo e sa latellane ka katleho le kōpo e lumellanang, e ka 'na ea se ke ea e-ba e tsitsitseng.
KIP Appletalk (DDP e UDP)
Li-packet tsa Appletalk DDP tse kentsoeng ka DP datagrams li kenyelelitsoe ebile li lahleheloa joaloka lipakete tsa DDP (ke hore, boitsebiso bohle ba hlooho ea UDP bo lahliloe). Fora /etc/atalk.names e sebelisetsoa ho fetolela appletalk net le linomoro tsa node ho mabitso. Litaele faele ena li na le foromo
lebitso la nomoro 1.254 ether 16.1 icsd-net 1.254.110 aceMelao e mabeli ea pele e fana ka mabitso a appletalk network. Moeli oa boraro o fana ka lebitso la moemeli ea khethehileng (mohlokomeli o khetholloa ka letlooa ka octet ea boraro ka nomoro - nomoro ea letlooa e tlameha ho ba le li-octet tse peli le nomoro ea baeti e tlameha ho ba le li-octet tse tharo.) Nomoro le lebitso li lokela ho aroloa ka li-whitespace (likhetho kapa li-tab). Fomoro ea /etc/atalk.names e ka 'na ea e-na le mela e se nang letho kapa mela ea litlhaloso (mela e qalang ka `#').
Lisebelisoa tsa Appletalk li hatisoa ka foromo:
net.host.port 144.1.209.2> icsd-net.112.220 ofisi2> icsd-net.112.220 jssmag.149.235> icsd-net.2(Haeba le /etc/atalk.names ha e eo kapa ha e na le ho kena bakeng sa appletalk e 'ngoe ea mohala / nomoro ea nomoro, liaterese li hatisoa ka fomoro.) Mohlala oa pele, NBP (port DDP 2) ka letlooa 144.1 node 209 e romela ho eng kapa eng e mamelang leboteng 220 ka letlooa la letlooa la letlooa 112. Mokha oa bobeli o ts'oana le oona haese lebitso le feletseng la mohloli oa mohloli o tsebahalang (`office '). Mohala oa boraro ke ho romela ho tloha port 235 ho net jssmag node 149 ho phatlalatsa ports ea NBP ea icsd-net (letoto la hore sebui sa phatlalatso (255) se bontšoa ka lebitso la letlooa le se nang palo ea baeti - ka lebaka lena ke khopolo e ntle ho boloka mabitso a matšoao le mabitso a matlo a fapaneng ka /etc/atalk.names).
NBP (lebitso le tlama protocol) le lipakete tsa ATP (Appletalk transaction protocol) li na le litaba tsa tsona tse hlalositsoeng. Litsamaiso tse ling li tlosa lebitso la protocol (kapa nomoro haeba lebitso le sa ngolisoe bakeng sa protocol) le boholo ba pakete.
Lipakete tsa NBP li hlophisoa joaloka mehlala e latelang:
icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: LaserWriter @ *" 186Mokha oa pele ke kopo ea ho batla ho ba laserwriters e rometsoe ka letlooa icsd moeti 112 le ho phatlalatsa jssmag net. Nomoro ea nbp bakeng sa ho shebahala ke 190. Mokhahlelo oa bobeli o bontša karabo bakeng sa kopo ena (hlokomela hore e na le id e tšoanang) ho tloha moeti jssmag.209 e reng e na le mohloli oa laserwriter o bitsoang "RM1140" o ngolisitsoeng leboteng 250. Ea boraro line ke e 'ngoe karabo ea kōpo e tšoanang ha techpit host e na le laserwriter "techpit" e ngotsoeng ho port 186.
Phatlalatso ea pampiri ea ATP e bontšoa ke mohlala o latelang:
jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- ho feta 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002Jssmag.209 e qalang pono ea transaction 12266 ka helios ea baeti ka ho kopa lipakete tse 8 (`<0-7> '). Nomoro ea hex qetellong ea mohala ke boleng ba tšimo ea `userdata 'ka kopo.
Helios e arabela ka lipakete tse 8 512-byte. 'Nete::' ka mor'a hore id e kopanetsoeng e fane ka nomoro ea lipallo ea ho tsamaisana le transaction 'me nomoro ka li-parens ke lenane la data ka paketeng, ntle le hlooho ea atp. '`' Paketeng ea 7 e bontša hore bitoro ba EOM se behiloe.
Jssmag.209 e kopa hore lipakete 3 & 5 li khutlisetsoe hape. Helios o ba tšehetsa ka nako eo jssmag.209 e ntša thekiso eo. Qetellong, jssmag.209 e qala kōpo e latelang. '`' Ho kopo e bontša hore XO (` hantle hang ') ha ea ka ea behoa.
Phapang ea IP
Litšoantšo tse arohaneng tsa Inthanete li hatisitsoe e le
(frag id : boholo @ offset +) ( id frag : size @ offset )(Foromo ea pele e bontša hore ho na le likaroloana tse ling. Ea bobeli e bontša sena ke sekhechana sa ho qetela.)
Id ke id e fragment. Boholo ke boholo ba fragment (ka bytes) ntle le IP hlooho. Tlhōlisano ke offset ea fragment (ka bytes) ho datagram ea pele.
Boitsebiso ba sekhechana se hlahisa sekhechana ka seng. Sekhechana sa pele se na le sehlooho se phahameng sa protocol le tlaleho ea frag e hatisoa ka mor'a lintlha tsa protocol. Lihlopha ka mor'a hore pele li be le sehlooho se phahameng sa protokoto 'me lintlha tse nyenyane li hatisitsoe ka mor'a hore mohloli le sebaka seo u li fuoang li atamele. Ka mohlala, mona ke karolo ea ftp ho tloha arizona.edu ho ea lbl-rtsg.arpa ka lebaka la khokahano ea CSNET e sa bonahaleng ho sebetsana le litšoantšo tsa 576 byte:
arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 ho hlōla 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 ho feta 2560Ho na le lintho tse 'maloa tseo u ka li bonang mona: Ntlha ea pele, liaterese molaong oa bobeli ha li kenye linomoro tsa port. Lebaka ke hobane tlhahisoleseding ea protocol ea TCP e le karolong ea pele 'me ha re nahane hore na lipalo tsa lipalangoang kapa lipalo li etsa'ng ha re hatisa likarolo tse latelang. Ntlha ea bobeli, tlhahlobo ea tcp ea leano la pele e hatisoa joalokaha ho ne ho e-na le lintlha tse 308 tsa boitsebiso ba mochine ha, ha e le hantle, ho na le 512 bytes (308 ka lekhetlo la pele le 204 ka bobeli). Haeba o batla likoti ka ho latellana sebaka kapa o leka ho bapisa up acks le lipakete, sena se ka u thetsa.
Phakete e nang le IP ha e arohane folakha e tšoauoa ka ho latela (DF) .
Li-timestamp
Ka nako e sa lekanyetsoang, tsohle lihlahisoa tse hlahisoang li tsamaisoa ke timestamp. Nako ea timestamp ke nako ea hona joale ea oache ka foromo
hh: mm: ss.frac'me e nepahetse joaloka oache ea kernel. Nako ea timestaka e bontša nako eo kernel e ileng ea bona pakete pele. Ha ho teko e etsoang ho ikarabella bakeng sa nako ea nako pakeng tsa ha sebopeho sa ethernet se tlosa pakete ho tswa ho terata 'me ha kernel e sebeletsa' pakete e ncha 'e sitisa.
BALA HORE
sephethephethe (1C), nit (4P), bpf (4), pcap (3)
Bohlokoa: Sebelisa taelo ea motho ( % motho ) ho bona hore na taelo e sebelisoa joang khomphuteng ea hau.