Тцпдумп: Примери, опције и још много тога

Anonim

Тцпдумп је команда која се користи на различитим оперативним системима Линука (ОС) која окупља ТЦП / ИП пакете који пролазе кроз мрежни адаптер. Слично као алатка за сниффер пакета, тцпдумп не може само анализирати мрежни саобраћај већ и сачувати у датотеци.

За разлику од неких команди које оперативни систем подразумевано подразумева, можда ћете утврдити да не можете користити тцпдумп јер није инсталиран. Да бисте инсталирали тцпдумп, извршите апт-гет инсталл тцпдумп или иум инсталл тцпдумп, у зависности од вашег оперативног система.

Како Тцпдумп ради

Тцпдумп одштампава заглавља пакета на мрежном интерфејсу који одговара Боолеану израз . Такође се може покренути са заставица, због чега се сачува пакетни податак у датотеку за каснију анализу и / или са флаг, због чега прочита из меморисане пакетне датотеке, а не читање пакета из мрежног интерфејса. У свим случајевима, само пакети који одговарају израз ће се обрадити тцпдумп .

Тцпдумп хоће, ако се не покрене са заставе, наставити са снимањем пакета док није прекинут сигналом СИГИНТ (генерисан, на примјер, уписивањем карактера за прекидање, обично Цтрл + Ц) или СИГТЕРМ сигнал (типично генерисан саубиј(1) команда); ако се покреће са заставице ће снимати пакете све док не буде прекинут сигналом СИГИНТ или СИГТЕРМ или је обрађен одређени број пакета.

Прекидачи наведени горе су детаљно објашњени касније у овом чланку.

Када тцпдумп завршава сакупљање пакета, извештава о бројевима:

  • Пакети "примљени филтером."
    • Значење овога зависи од оперативног система на коме радите тцпдумп , а можда и на начин на који је ОС конфигурисан. Ако је у командној линији одређен филтер, на неким оперативним системима рачунају пакете, без обзира да ли су упарени изразом филтера, а на другим рачунају само пакете који су упарени изразом филтера и обрађени су од стране тцпдумп.
  • Пакети "падају по кернелу."
    • Ово је број пакета који су пали, због недостатка пуферног простора, механизмом за снимање пакета у оперативном систему на којем се тцпдумп се покреће, ако ОС извештава те информације апликацијама. Ако не, то ће бити пријављено као 0.

На платформама које подржавају СИГИНФО сигнал, као што је већина БСД-ова (Беркелеи Софтваре Дистрибутионс), извештава о тим бројкама када прими СИГИНФО сигнал (генерисан, на пример, уписивањем вашег "статусног" карактера, обично Цтрл + Т) и наставиће да снима пакете.

Тцпдумп Цомпатибилити

Читање пакета из мрежног интерфејса са командом тцпдумп може захтевати да имате посебне привилегије ( читање сачувана пакетна датотека не захтева такве привилегије):

  • СунОС 3.к или 4.к са НИТ или БПФ: Морате имати приступ за читање / дев / нит или дев / бпф * .
  • Соларис са ДЛПИ: Морате имати приступ за читање / писање мрежном псеудо уређају / дев / ле . Међутим, бар неке верзије Соларис-а то није довољно за дозволу тцпдумп за хватање у промискуитетном режиму; на оним верзијама Соларис-а, морате бити роот или тцпдумп мора бити инсталиран сетуид у корен, како би се снимио у промискуитетном режиму. Имајте на уму да, на многим (можда и свим) интерфејсима, ако не снимате у промискуитетном режиму, нећете видети никакве одлазне пакете, тако да снимање које није обављено у промискуитетном режиму можда неће бити врло корисно.
  • ХП-УКС са ДЛПИ: Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.
  • ИРИКС снооп: Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.
  • Линук: Морате бити роот или тцпдумп мора бити инсталиран сетуид роот.
  • Ултрик и Дигитал УНИКС / Тру64 УНИКС: Сваки корисник може снимити мрежни саобраћај тцпдумп . Међутим, ниједан корисник (чак ни супер-корисник) не може ухватити у промискуитетном режиму на интерфејсу, осим ако је супер-корисник омогућио рад на промјењивом режиму на том интерфејсу користећи пфцонфиг (8), а ниједан корисник (чак ни супер-корисник) не може ухватити уницаст саобраћај примљен или послат од стране уређаја на интерфејсу осим ако је супер-корисник омогућио операцију копирања у свим модовима на том интерфејсу помоћу пфцонфиг , тако корисно пакетно снимање на интерфејсу вероватно захтијева да се на том интерфејсу укључи било промискуни мод или операција копирања у свим модовима или оба начина рада.
  • БСД: Морате имати приступ за читање / дев / бпф * .

Тцпдумп Цомманд Синтак

Као и све команде рачунара, команда тцпдумп ради исправно само ако је синтакса исправна:

тцпдумп -адефлнНОпкРСтувкКс бројање

величина фајла филе

интерфејс модул филе

снаплен тип корисник филе

алго: тајна израз

Опције команде Тцпдумп

Ово су све опције које можете користити са командом тцпдумп:

  • : Покушај претворити мрежу и емитовати адресе имена.
  • : Изађите након пријема бројање пакети.
  • : Пре него што пишете необрађени пакет у савефилму, проверите да ли је датотека тренутно већа од величина фајла и ако јесте, затворите тренутну датотеку сачувај и отворите нову.Савефилес након прве савефиле ће имати име наведено са застава, са бројем после ње, почевши од 2 и наставља се према горе. Јединице величина фајла су милиони бајтова (1.000.000 бајтова, не 1.048.576 бајтова).
  • : Думп састављени код за усклађивање пакета у људском читљивом облику на стандардни излаз и заустављање.
  • -дд: Думп код за упоређивање пакета као аЦ програмски фрагмент.
  • -ддд: Думп код за упоређивање пакета као децимални бројеви (претходи броју).
  • : Штампајте заглавље линка везе на свакој линији за одлагање.
  • : Користите алго: тајна за дешифровање ИПсец ЕСП пакета. Алгоритми могу битидес-цбц, 3дес-цбц, бловфисх-цбц, рц3-цбц, цаст128-цбц, илиниједан. Подразумевано једес-цбц. Способност дешифровања пакета је присутна само ако тцпдумп је компајлиран са омогућеном криптографијом. тајна асции текст за тајни кључ ЕСП. У овом тренутку не можемо да прихватимо произвољну бинарну вредност. Ова опција преузима РФЦ2406 ЕСП, а не РФЦ1827 ЕСП. Ова опција је само у сврху отклањања грешака, а обесхрабрена је употреба ове опције са истински "тајним" кључем. Представљањем тајног кључа ИПсец на командну линију учините га видљивим другим путем пс (1) и друге прилике.
  • : Штампати 'иностране' интернет адресе бројчано, а не симболично (ова опција има за циљ да оствари озбиљну оштећења мозга на Суновом ип серверу - најчешће виси заувек превођење нелокалног броја интернета).
  • : Користите филе као улаз за израз филтра. Додатни израз дат у командној линији се занемарује.
  • : Слушајте интерфејс . Ако није утврђено, тцпдумп претражује списак системских интерфејса за најмањи бројчани, конфигурисани уп интерфејс (искључујући лоопбацк). Везе се расклапају одабиром најранијег меча. На Линук системима са 2.2 или новијим језгрима, ан интерфејс аргумент "било које" може се користити за хватање пакета са свих интерфејса. Имајте на уму да снимање на "било којем" уређају неће бити у промискуитетном режиму.
  • : Направите стдоут линију. Корисно ако желите да видите податке док га снимате. На пример, "тцпдумп -л | тее дат" или "тцпдумп -л> дат & таил -ф дат".
  • : Учитајте дефиниције СМИ МИБ модула из датотеке модул . Ова опција се може користити неколико пута за учитавање неколико МИБ модула тцпдумп .
  • : Не претварајте адресе хостова у имена. Ово се може користити да би се избегли прегледи ДНС-а.
  • -нн: Не претварајте бројеве протокола и портова итд. У имена.
  • : Не штампајте квалификације хостова имена домена. На пример, ако дамо ову заставу, онда тцпдумп штампаће "ниц" уместо "ниц.ддн.мил".
  • : Не покрећите оптимизатор кода за усклађивање пакета. Ово је корисно само ако сумњате у грешку у оптимизатору.
  • -п: Немој ставите интерфејс у ​​промискуни мод. Имајте на уму да је интерфејс можда у промискуитетном режиму из неког другог разлога; тако да се '-п' не може користити као скраћеница за 'етхер хост {лоцал-хв-аддр} или етхер броадцаст'.
  • : Брзи (тих) излаз. Штампајте мање информација о протоколу, тако да су излазне линије краће.
  • : Претпоставимо да се пакети ЕСП / АХ заснивају на старим спецификацијама: РФЦ1825 до РФЦ1829. Ако је наведено, тцпдумп неће штампати поље за спречавање репродукције. Пошто нема поља верзија протокола у спецификацији ЕСП / АХ, тцпдумп не може закључити верзију ЕСП / АХ протокола.
  • : Прочитајте пакете из филе (који је креиран са -в опцијом). Стандардни улаз се користи ако је филе је "-".
  • : Штампати апсолутне, а не релативне, бројеве ТЦП редоследа.
  • : Снарф снаплен бајта података из сваког пакета уместо подразумеване вредности од 68; са СунОС-овим НИТ-ом, минимум је заправо 96. Шездесет и осам бајтова је адекватно за ИП, ИЦМП, ТЦП и УДП, али може скраћивати информације о протоколу са сервера имена и НФС пакета (погледајте доле). Пакети скраћени због ограниченог снимка приказани су на излазу са "| прото '', где прото је назив протокола на којем се појавила скраћивање. Имајте на уму да узимање веће снимке повећава количину времена потребног за процесирање пакета и ефикасно смањује количину бафера пакета. Ово може довести до губитка пакета. Требали бисте ограничити снаплен до најмањих бројева који ће ухватити информације о протоколу за које сте заинтересовани. Подешавање снаплен на 0 значи користити потребну дужину да бисте ухватили читаве пакете.
  • : Форце пакети које је одабрао " израз "да се тумачи наведен тип . Тренутно познати типови суцнфп (Цисцо НетФлов протокол),рпц (Даљински поступак позива),ртп (Протокол за апликације у реалном времену),ртцп (Протокол за контролу апликација у реалном времену),снмп (Симпле Нетворк Манагемент Протоцол),ват (Висуал Аудио Тоол), ивб (дистрибуирани бели одбор).
  • : Немој одштампајте временску ознаку на свакој линији отпада.
  • -тт: Штампајте неформатирану временску ознаку на свакој линији отпада.
  • : Исцртава привилегије роот-а и промени кориснички ИД корисник и групни ИД у примарну групу корисник .
  • Белешка: Ред Хат Линук аутоматски избацује привилегије кориснику "пцап" ако ниста друго није специфицирано.
  • -ттт: Штампање делта (у микросекундама) између тренутне и претходне линије на свакој линији отпада.
  • -тттт: Штампајте временски жиг у подразумеваном формату, настављен по датуму на свакој линији за одлагање.
  • : Штампање некодираних НФС ручица.
  • : (Мало више) вербосе излаза. На пример, одштампано је време за живот, идентификацију, укупну дужину и опције у ИП пакету. Такође омогућава додатне провјере интегритета пакета, као што је провјера ИП и ИЦМП хеадер цхецксум-а.
  • -вв: Још више гломазан излаз. На пример, додатна поља се штампају из НФС пакета одговора, а СМБ пакети су потпуно декодирани.
  • -ввв: Још више гломазан излаз. На пример, телнетСБСЕ опције се штампају у потпуности. Са -ИКС Телнет опције се штампају у хек-у.
  • : Напишите сирове пакете у филе уместо да их разрађују и штампају. Касније се могу штампати са опцијом -р. Стандардни излаз се користи ако филе је "-".
  • -Икс: Штампање сваког пакета (минус његов линк линк хеадер) у хек. Мањи од целог пакета или снаплен бајтова ће бити одштампана. Имајте на уму да је ово цијели пакет пакета линкова, тако да ће за слојеве везе који ће пад (нпр. Етхернет) бити одштампани бајтови за обележавање када је пакет вишег слоја краћи од потребног падања.
  • -ИКС: Када штампате хек, исписујте асции такође. Тако ако-Икс Такође је подешен, пакет је штампан у хек / асции. Ово је веома корисно за анализу нових протокола. Чак и ако-Икс није подешен, неки делови неких пакета могу се штампати у хек / асции.
  • израз : Одабиће који пакети ће бити одбачени. Ако не израз је дат, сви пакети на мрежи ће бити одбачени. У супротном, само пакети за које израз је "истинит" ће бити одбачен. Тхе израз састоји се од једног или више примитиви. Примитиви се обично састоје од једног ид (име или број) претходе један или више квалификатора. Постоје три различите врсте квалификатора:
  • тип : Квалификатори кажу на коју врсту ствари се односи име или број ид. Могуће су врстедомаћин, нет, ипорт- примјер, 'хост фоо', 'нет 128.3', 'порт 20'. Ако не постоји квалификатор типа,домаћин претпоставља.
  • дир : Квалификатори наводе одређени правац преноса на и / или из ид . Могућа упутства сусрц, дст, срц или дст исрц и дст (нпр., 'срц фоо', 'дст нет 128.3', 'срц или дст порт фтп-дата'). Ако нема квалификатора за дир,срц или дст претпоставља. За слојеве везе "нулл" (тј., Протоколе од тачке до тачке као што је клизање) долазна и оутбоунд квалификатори се могу користити за одређивање жељеног правца.
  • прото Квалификатори ограничавају утакмицу на одређени протокол. Могући протокови су: етер, фдди, тр, ип, ип6, арп, рарп, децет, тцп, иудп- на пример, 'етхер срц фоо', 'арп нет 128.3', 'тцп порт 21'. Ако не постоји квалификатор протока, претпоставља се да су сви протоколи у складу са типом. На пример, 'срц фоо' означава '(ип или арп или рарп) срц фоо' (осим што последње није правна синтакса), 'нет бар' значи '(ип или арп или рарп) нет бар' и 'порт 53' значи '(тцп или удп) порт 53'.
    • 'фдди' је заправо псеудоним за 'етер'; парсер их третира идентично на значење "ниво везе података који се користи на одређеном мрежном интерфејсу." ФДДИ заглавља садрже Етхернет-ове изворне и одредишне адресе, а често садрже етернетске типове пакета, тако да можете филтрирати на ова ФДДИ поља само као и код аналогних Етхернет поља. ФДДИ заглавља садрже и друга поља, али их не можете експлицитно назвати у изразу филтера.
    • Слично томе, 'тр' је псеудоним за 'етер'; изјаве из претходног параграфа о ФДДИ заглављима примјењују се и на заглавље Токен Ринг.

Поред горе наведеног, постоје и неке посебне "примитивне" кључне речи које не прате модел:пролаз, емитује, мање, веће, и аритметика изрази. Све су описане у наставку.

Сложенији изрази филтера се изграђују коришћењем речии, или, ине да комбинирају примитиве - на пример, "хост фоо, а не порт фтп, а не порт фтп-дата". Да би сачували типкање, идентичне листе квалификатора се могу изоставити (нпр., "Тцп дст порт фтп или фтп-подаци или домен" је управо исти као "тцп дст порт фтп или тцп дст порт фтп-дата или тцп дст порт домаин".)

Ово су примитиви дозвољени помоћу тцпдумп наредбе:

  • дст хост домаћин
    • Истина је ако је поље за одредиште ИПв4 / в6 пакета домаћин , што може бити адреса или име.
  • срц хост домаћин
    • Истина је ако је изворно поље пакета ИПв4 / в6 домаћин .
  • домаћин домаћин
    • Истина је ако је извор ИПв4 / в6 или одредиште пакета домаћин . Било који од горенаведених израза домаћина може се препоручити са кључним речима,ип, арп, рарп, илиип6, као у ип хост домаћин (што је еквивалентно етер прото ип и домаћин домаћин).
    • Ако домаћин је име са више ИП адреса, свака адреса ће се проверити за утакмицу.
  • етхер дст ехост
    • Тачно ако је адреса Етхернет дестинације ехост . Ехост може бити или име из / етц / етерс или број (види етри (3Н) за нумерички формат).
  • етхер срц ехост
    • Истина ако је адреса Етхернет-а ехост .
  • етер домаћин ехост
    • Истина ако је извор Етхернет или одредишна адреса ехост .
  • пролаз домаћин
    • Истина ако се пакет користи домаћин као гатеваи (тј., изворни извор или одредишна адреса је била домаћин али ниједан ИП извор нити одредиште за ИП нису били домаћин ).
    • Домаћин мора бити име и мора се наћи и помоћу механизама за решавање хост-име-према-ИП адреси (датотека имена хоста, ДНС-а, НИС-а итд.) и механизмом решења хост-наме-то-Етхернет-адресе (/ етц / етхерс, итд.).
    • Еквивалентни израз је етер домаћин ехост и сада домаћин домаћин , који се може користити са било којим именима или бројевима за хост / ехост .) Ова синтакса не ради у конфигурацији омогућеном ИПв6 у овом тренутку.
  • дст нет нет
    • Истина ако ИПв4 / в6 одредишна адреса пакета има мрежни број од нет . Нет може бити или име из / етц / мрежа или мрежног броја (видети мреже (4) за детаље).
  • срц нет нет
    • Истина ако ИПв4 / в6 изворна адреса пакета има број мреже нет .
  • нет нет
    • Истина ако је изворни ИПв4 / в6 или одредишна адреса пакета са мрежним бројем нет .
  • нет нет маска нетмаск
    • Истина ако се ИП адреса поклапа нет са специфичним нетмаск . Може бити квалификовансрц илидст. Имајте на уму да ова синтакса није важећа за ИПв6 нет .
  • нет нет / лен
    • Истина ако се ИПв4 / в6 адреса подудара нет са мрежном маском лен бита широка. Може бити квалификовансрц илидст.
  • дст порт порт
    • Истина ако је пакет ип / тцп, ип / удп, ип6 / тцп или ип6 / удп и има вриједност одредишног порта порт . Тхе порт може бити број или име које се користи у / етц / услугама (погледајте тцп (4П) и удп (4П)). Ако се користи име, проверите број порта и протокол. Ако се користи број или двосмислено име, само је број порта означен (нпр.,дст порт 513 ће одштампати и тцп / пријавни промет и удп / који обављају саобраћај, ипорт домена ће штампати оба тцп / домена и удп / домен промета).
  • срц порт порт
    • Истина ако пакет има вриједност извора порта порт .
  • порт порт
    • Истина ако је изворни или одредишни порт пакета порт . Било који од горенаведених портних израза може бити попуњен кључним ријечима,тцп илиудп, као у тцп срц порт порт , што одговара само тцп пакетима чији је изворни порт порт .
  • мање дужина
    • Истина ако пакет има дужину мању од или једнаку дужина . То је еквивалентно лен <= Дужина .
  • веће дужина
    • Истина ако пакет има дужину већу од или једнаку дужина . То је еквивалентно лен> = Дужина .
  • ип прото протокол
    • Истина ако је пакет ИП пакет (погледајте ип (4П)) типа протокола протокол . Протокол може бити број или једно од имена ицмп , ицмп6 , игмп , игрп , пим , Ах , есп , вррп , удп , или тцп . Имајте на уму да идентификатори тцп , удп , и ицмп такође су кључне ријечи и морају бити избјегнуте преко бацксласх-а (), што је у Ц-схелл-у. Имајте на уму да овај примитив не протиче ланац заглавља протокола.
  • ип6 прото протокол
    • Истина ако је пакет ИПв6 пакет типа протокола протокол . Имајте на уму да овај примитив не протиче ланац заглавља протокола.
  • ип6 протоцхаин протокол
    • Истина ако је пакет ИПв6 пакет и садржи заглавље протокола са типом протокол у ланцу протокола протокола. На пример, ипв6 протоцхаин 6 одговара било којем ИПв6 пакету са ТЦП протоколом заглавља у ланцу заглавља протокола. Пакет може садржати, на примјер, заглавље аутентичности, заглавље рутирања или заглавље опције "хоп-би-хоп", између заглавља ИПв6 и ТЦП заглавља. БПФ код који емитира овај примитив је сложен и не може бити оптимизиран помоћу БПФ оптимизацијског кода у тцпдумп , тако да ово може бити нешто споро.
  • ип протоцхаин протокол
    • Еквивалентно саип6 протоцхаин протокол , али ово је за ИПв4.
  • етер емитује
    • Истина ако је пакет Етхернет преносни пакет. Тхе етер кључна реч је опционална.
  • ип емитује
    • Истина ако је пакет ИП пакетни пакет. Он проверава и конвенције о свим нулама и свим онима које емитују, и потражује локалну маску подмреже.
  • етер мултицаст
    • Истина ако је пакет Етхернет мултицаст пакет. Тхе етер кључна реч је опционална. Ово је скраћеница за 'етер 0 и 1! = 0'.
  • ип мултицаст
    • Истина ако је пакет мултицаст пакет ИП.
  • ип6 мултицаст
    • Истина ако је пакет ИПв6 мултицаст пакет.
  • етер прото протокол
    • Истина ако је пакет етарског типа протокол . Протокол може бити број или једно од имена ип , ип6 , арп , рарп , разговор , аарп , децет , сца , лат , мопдл , мопрц , исо , стп , ипк , или нетбеуи . Обратите пажњу на то да су ти идентификатори такође кључне ријечи и морају се избјећи помоћу пошиљака ().
    • У случају ФДДИ (нпр., "фдди протокол арп') и Токен Ринг (нпр.,'тр протокол арп'), за већину ових протокола, идентификација протокола долази из хеадер-а за управљање логичком везом (ЛЛЦ) 802.2, која је обично слојевана на врху ФДДИ или Токен Ринг заглавља.
    • Када се филтрира за већину идентификатора протокола на ФДДИ или Токен Ринг, тцпдумп проверава само поље ИД протокола ЛЛЦ заглавља у тзв. СНАП формату са Идентификатором Организационе Јединице (ОУИ) од 0к000000, за инкапсулирани Етхернет; не проверава да ли је пакет у СНАП формату са ОУИ од 0к000000.
    • Изузеци су исо , за који провјерава поља наслова Аццесс Поинт Поинт (ДСАП) и ССАП (Соурце Сервице Аццесс Поинт) наслова ЛЛЦ, стп и нетбеуи , где провјерава ДСАП наслова ЛЛЦ, и разговор , где врши проверу пакета СНАП формата са ОУИ од 0к080007 и Апплеталк етипе.
    • У случају Етхернет-а, тцпдумп проверава поље Етхернет типа за већину тих протокола; изузеци су исо , биљни сок , и нетбеуи , за који провјерава оквир 802.3, а затим провјерава ЛЛЦ заглавље као и за ФДДИ и Токен Ринг; разговор , где провјерава како Апплеталк етипе у Етхернет оквиру тако и СНАП-форматов пакет као и за ФДДИ и Токен Ринг; аарп , где проверава Апплеталк АРП етипе или у Етхернетовом оквиру или 802.2 СНАП оквиру са ОУИ од 0к000000; и ипк , где провјерава ИПКС етипе у Етхернет оквиру, ИПКС ДСАП у хеадер-у ЛЛЦ, 802.3 без енкапсулације ИП хеадера ИПКС и ИПКС етипа у оквиру СНАП-а.
  • децнет срц домаћин
    • Истина је ако је изворна адреса ДЕЦНЕТ домаћин , што може бити адреса обрасца "10.123" или име домаћина ДЕЦНЕТ-а. Подршка имена ДЕЦНЕТ хостова доступна је само на Ултрик системима који су конфигурисани да покрећу ДЕЦНЕТ.
  • децнет дст домаћин
    • Истина је ако је одредишна адреса ДЕЦНЕТ домаћин .
  • децнет хост домаћин
    • Истина ако је извор ДЕЦНЕТ-а или одредишна адреса домаћин .
  • ип, ип6, арп, рарп, разговор, аарп, децет, исо, стп, ипк, нетбеуи
    • Скраћенице за етер прото стр где стр је један од горе наведених протокола.
  • лат, мопрц, мопдл
    • Скраћенице за етер прото стр где стр је један од горе наведених протокола. Напоменути да тцпдумп тренутно не зна како да разматра ове протоколе.
  • влан влан_ид
    • Истина ако је пакет ИЕЕЕ 802.1К ВЛАН пакет. Ако влан_ид је прецизиран, једино ако је пакет наведен влан_ид . Имајте на уму да првивлан кључна реч на коју се среће израз мења оффсет декодирања за остатак од израз под претпоставком да је пакет ВЛАН пакет.
  • тцп, удп, ицмп
    • Скраћенице за ип прото стр или ип6 прото стр где стр је један од горе наведених протокола.
  • исо прото протокол
    • Истина ако је пакет ОСИ пакет типа протокола протокол . Протокол може бити број или једно од имена цлнп , есис , или исис .
  • цлнп, есис, исис
    • Скраћенице за исо прото стр где стр је један од горе наведених протокола. Напоменути да тцпдумп чини некомплетан посао раздвајања ових протокола.
  • екпр релоп екпр
    • Истина је ако се односи држи, где релоп је један од>, <,> =, <=, =,! =, и екпр је аритметичка експресија састављена од интегралних константи (изражених у стандардној синтакси Ц), нормалних бинарних оператора +, -, *, /, &, |, оператора дужине и посебних приступних пакета података. Да бисте приступили подацима унутар пакета, користите следећу синтаксу: прото израз: величина .

Прото је један одетер, фдди, тр, ппп, слип, линк, ип, арп, рарп, тцп, удп, ицмп, или ип6, и означава слој протокола за индексни рад (етер, фдди, тр, ппп, слип, илинк сви се односе на слој везе). Напоменути да тцп, удп , и други типови протокола горњег нивоа односе се само на ИПв4, а не на ИПв6 (то ће бити одређено у будућности). Бајт оффсет, у односу на назначени слој протокола, даје екпр . Величина је необавезан и указује на број бајтова у пољу интереса; то може бити један, два или четири, а подразумевано је једно. Оператор дужине, означен кључном ријечјулен, даје дужину пакета.

На пример, 'етер 0 и 1! = 0'ухвати све мултицаст саобраћај. Израз 'ип 0 & 0кф! = 5'ухвати све ИП пакете са опцијама. Израз 'ип 6: 2 & 0к1ффф = 0'ухвати само нефрагментиране датаграмове и нулту фрагментирану датаграму. Ова провера се имплицитно примењује натцп иудп индексне операције. На пример, тцп 0 увек значи први бајт ТЦП-а хеадер , и никада не значи први бајт интервентног фрагмента.

Неке сметње и вредности поља могу се изразити као имена а не као нумеричке вредности. На располагању су слиједећи исписи поља за заглавље протокола: ицмптипе (Поље ИЦМП типа),ицмпцоде (Поље ИЦМП кода), итцпфлагс (Поље ТЦП заставе).

Доступне су следеће вредности поља типа ИЦМП:ицмп-ецхорепли, ицмп-унреацх, ицмп-соурцекуенцх, ицмп-редирецт, ицмп-ецхо, ицмп-роутерадверт, ицмп-роутерсолицит, ицмп-тимкцеед, ицмп-парампроб, ицмп-тстамп, ицмп-тстампрепли, ицмп-ирек, ицмп-ирекрепли, ицмп-маскрек, ицмп-маскрепли.

На располагању су следеће вредности поља ТЦП заставе:тцп-фин, тцп-син, тцп-рст, тцп-пусх, тцп-пусх, тцп-ацк, тцп-ург.

Примитиви се могу комбиновати помоћу било ког од следећих:

  • Скривена група примитива и оператора (заграде су посебне за Схелл и морају бити избачене)
  • Негатион ('!'или `не')
  • Конкатенација ('&&'или'и')
  • Алтернатион ('||'или'или')

Негација има највиши приоритет. Алтернација и конценатација имају једнак приоритет и придружио се лево на десно. Запазите то експлицитнои токени, а не јукстапозиција, су потребни за конценатацију.

Ако је идентификатор дат без кључне речи, претпоставља се најновија кључна реч. На пример, не домаћин вс и аце је кратак за не домаћин вс домаћин аце. Међутим, то не треба мешати не (хост вс или аце).

Аргументи експресије се могу пренети на тцпдумп као било који појединачни аргумент или као вишеструки аргумент, у зависности од тога који је погоднији. Уопштено говорећи, ако израз садржи Схелл метацхарацтерс, то је лакше пренијети као један цитирани аргумент. Вишеструки аргументи су повезани са размацима пре него што буду разрађени.

Тцпдумп Примјери

тцпдумп хост сундовн

Горња тцпдумп наредба се користи за штампање свих пакета који долазе или одлазе залазак сунца.

тцпдумп хост хелиос и (хот или аце )

Овај тцпдумп пример штампа саобраћај између хелиос и било вруће или аце.

тцпдумп ип хост аце а не хелиос

Можете користити ову команду тцпдумп да бисте одштампали све ИП пакете између аце и било који домаћин осим хелиос.

тцпдумп нет уцб-етхер

У претходном примеру тцпдумп штампа све саобраћај између домаћих домаћина и домаћина у Беркелеи-у.

тцпдумп 'гатеваи снуп и (порт фтп или фтп-дата)'

Овај следећи пример тцпдумп наредбе се користи за штампање свих ФТП саобраћаја преко интернет гатеваи-а снуп . Имајте на уму да се израз наводи како би се спречило љуска да погрешно тумаче заграде.

тцпдумп ип а не нет лоцалнет

У претходном примеру тцпдумп, команда одштампава саобраћај који није извор нити је предвиђен за локалне хостове.

тцпдумп 'тцп тцпфлагс & (тцп-син | тцп-фин)! = 0 а не срц и дст нет лоцалнет '

За горњи пример тцпдумп-а, команда се користи за штампање почетних и крајњих пакета (СИН и ФИН пакета) за сваки ТЦП конверзус који укључује нонлоцал хост.

тцпдумп 'гатеваи снуп и ип 2: 2> 576'

Горња команда ће штампати ИП пакете дуже од 576 бајта послатих кроз гатеваи снуп.

тцпдумп 'етхер 0 & 1 = 0 и ип 16> = 224'

Команда тцпдумп која је приказана изнад одштампава ИП емитоване или мултицаст пакете који су били не послати путем Етхернет преноса или мултицаст.

тцпдумп 'ицмп ицмптипе! = ицмп-ецхо и ицмп ицмптипе! = ицмп-ецхорепли'

У овом последњем примеру тцпдумп, команда штампа све ИЦМП пакете који нису ехо захтјеви или одговори (тј. Не пинг пакети).

Тцпдумп Оутпут Формат

Излаз од тцпдумп је зависно од протокола. Слиједи кратак опис и примјери већине формата.

Линк Левел Хеадерс. Ако је дата "-е" опција, хеадер левел линк се одштампа. На Етхернет мрежама се штампају изворна и одредишна адреса, протокол и дужина пакета.

У ФДДИ мрежама, опција '-е' узрокује тцпдумп да бисте одштампали поље 'фраме цонтрол', изворне и одредишне адресе и дужину пакета. Нормални пакети (попут оних који садрже ИП датаграмове) представљају пакете "асинц" са приоритетном вриједношћу између 0 и 7: на пример, `асинц4'. За такве пакете се претпоставља да садрже пакет 802.2 Логицал Линк Цонтрол (ЛЛЦ); хеадер ЛЛЦ се штампа ако јесте не ИСО датаграм или такозвани СНАП пакет.

На мрежама Токен Ринг, узрокује '-е' тцпдумп да бисте одштампали поља контроле приступа и контроле рама, изворне и одредишне адресе и дужину пакета. Као на ФДДИ мрежама, претпоставља се да пакети садрже ЛЛЦ пакет. Без обзира да ли је опција '-е' специфицирана или не, изворне информације о усмеравању се штампају за изворне усмерене пакете.

(Н.Б .: Следећи опис претпоставља познавање СЛИП компресијског алгоритма описаног у РФЦ-1144.)

На СЛИП линковима се штампа индикатор правца ("И" за улаз, "О" за одлазне), тип пакета и информације о компресији. Врста пакета се штампа прво. Три типа су ип , утцп , и цтцп . За даље није штампано даље информације о везама ип пакети. За ТЦП пакете, идентификатор везе се штампа следећи тип. Ако је пакет компримован, његово кодирано заглавље се одштампа. Посебни случајеви се штампају као* С + н и* СА + н , где н је количина којом се променио редни број (или редни број и ацк). Ако то није посебан случај, штампаће се нула или више промјена. Промена је означена са У (ургентним показивачем), В (прозор), А (ацк), С (број секвенце) и И (ИД пакета), затим делта (+ н или -н) или нова вриједност (= н). На крају, штампа се количина података у пакету и дужини компримованог заглавља.

На пример, следећа линија показује ТЦП пакет који има исход са командом, са имплицитним идентификатором везе; ацк се променио за 6, број секвенце за 49, а ИД пакета за 6; постоје 3 бајта података и 6 бајта компримованог заглавља:

О цтцп * А + 6 С + 49 И + 6 3 (6)

Арп / рарп пакети. Арп / рарп излаз приказује врсту захтева и његове аргументе. Формат је намијењен да буде самобјашњив. Ево кратког узорка узетог од почетка 'рлогина' од хоста ртсг угостити цсам :

арп који има цсам рећи ртсгарп одговор цсам је-на ЦСАМ

Прва линија каже да је ртсг послао арп пакет који тражи Етхернет адресу интернет цсам-а. Цсам одговара својим Етхернет адресом (у овом примеру, Етхернет адресе су у капе и интернет адресе у малом случају).

Ово би изгледало мање сувишно ако смо то урадили тцпдумп -н :

арп који има 128.3.254.6 каже 128.3.254.68Арп одговори 128.3.254.6 је у 02: 07: 01: 00: 01: ц4

Да смо то урадили тцпдумп -е , чињеница да се први пакет емитује, а други је тачка-до-тачка би била видљива:

РТСГ Броадцаст 0806 64: арп који има цсам реци ртсгЦСАМ РТСГ 0806 64: арп одговор цсам је-на ЦСАМ-у

За први пакет у коме се каже да је Етхернет изворна адреса је РТСГ, дестинација је Етхернет броадцаст адреса, поље типа је садржано хек 0806 (тип ЕТХЕР_АРП), а укупна дужина је 64 бајта.

ТЦП пакети (Н.Б.: Следећи опис подразумева познавање ТЦП протокола описаног у РФЦ-793. Ако нисте упознати са протоколом, ни овај опис нити тцпдумп вам неће бити од велике користи) . Општи формат тцп протокола је:

срц> дст: застава дата-секно ацк прозор хитне опције

Срц и дст су изворне и одредишне ИП адресе и портови. Заставе су неке комбинације С (СИН), Ф (ФИН), П (ПУСХ) или Р (РСТ) или појединачне '.' (без застава). Дата-секно описује део простора секвенце који покрива подаци у овом пакету (погледајте пример испод). Ацк је секвенцијални број следећих података који очекују други правац на овој вези. Прозор је број бајтова пријемног пуфера који је доступан у другом правцу на овој вези. Ург указује да у пакету постоје "хитни" подаци. Опције су тцп опције затворене у угловима заграда (нпр., ).

Срц, дст, и заставе увек су присутни. Друга поља зависе од садржаја заглавља ТЦП протокола пакета и излазе се само ако је то потребно.

Овде је почетни део рлогина од домаћина ртсг угостити цсам .

ртсг.1023> цсам.логин: С 768

Избор Уредника