Tcpdump - Linux Buyruq - Unix Buyruq

NAME

tcpdump - tarmoqdagi dump trafigi

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F fayl ]

[ -i interfeysi ] [ -m modul ] [ -r fayl ]

[ -s snaplen ] [ -T turi ] [ -U foydalanuvchi ] [ -w fayl ]

[ -o algo: maxfiy ] [ ifoda ]

DESCRIPTION

Tcpdump boolean ifodasi bilan taalukli tarmoq interfeysida paketlarning sarlavhalarini chiqaradi. Bundan tashqari, u -w bayrog'i bilan ishlashi mumkin, natijada paketli ma'lumotlarni keyinchalik tahlil qilish uchun faylga saqlash va / yoki paketlarni o'qish o'rniga saqlangan paket fayllaridan o'qish uchun nima-r belgisi bilan saqlanishi mumkin tarmoq interfeysi orqali. Barcha holatlarda, faqat mos keladigan paketlar tcpdump tomonidan ishlov beradi.

Tcpdump , agar -c belgisi bilan ishlamasa, SIGINT signali (masalan, chiqib ketish xarakterini, odatda nazorat-C) yoki SIGTERM signalini (odatda o'ldirish (1) buyrug'i); -c belgisi bilan ishlayotgan bo'lsa, u paketlarni SIGINT yoki SIGTERM signallari bilan to'xtatilgunga qadar yoki belgilangan paketlar soni qayta ishlanmaguncha ushlaydi.

Tcpdump paketlarni yozib olishni tugatgandan so'ng, hisob raqamlarini bildiradi:

"filtri bo'yicha olingan" paketlar (buning ma'nosi tcpdump ishlayotgan operatsion tizimga bog'liq va ehtimol operatsion tizim tuzilganida - agar filtr buyruq satrida ko'rsatilsa, ba'zi operatsion tizimlarda u hisobga olinadi paketlar filtri ifodasi bilan mos kelishidan qat'iy nazar, va boshqa operatsion tizimlarda faqat filtr ifodasi bilan moslangan paketlarni hisoblaydi va tcpdump bilan ishlov berilgan);

"bu yadro tomonidan tushiriladigan paketlar" (operatsion tizim bu ma'lumotlarga ilovalar haqida ma'lumot bergan bo'lsa, bu tcpdump ishlayotgan operatsion tizimidagi paketni ushlab turish mexanizmi orqali bufer maydoni etishmasligi sababli tushirilgan paketlar soni; agar bo'lmasa, u 0 deb e'lon qilinadi).

SIGINFO signalini qo'llab-quvvatlaydigan platformalarda, masalan, ko'p BSDs, u SIGINFO signalini olganida (masalan, "status" belgilarini, odatda nazorat-T-ni kiritib) hosil bo'ladigan hisoblarni hisoblab chiqadi va paketlarni .

Tarmoq interfeysidan paketlarni o'qish maxsus imtiyozlarga ega bo'lishingizni talab qilishi mumkin:

NIT yoki BPF bilan SunOS 3.x yoki 4.x ostida:

Siz / dev / nit yoki / dev / bpf * ga o'qishingiz kerak.

DLPI bilan Solaris ostida:

Masalan, / dev / le kabi tarmoq pseudo qurilmasiga o'qish / yozish uchun ruxsat bo'lishi kerak. Biroq, Solaris ning ba'zi versiyalarida, bu tcpdump- ni noqulay rejimda qo'lga olish uchun etarli emas; Solarisning ushbu versiyalarida siz root bo'lishingiz kerak, yoki tcpdump ishorasi rejimida qo'lga olish uchun root uchun setuid o'rnatilgan bo'lishi kerak. Esingizda bo'lsin, ko'pchilik (ehtimol barcha) interfeyslarda, agar siz boshqa rejimda egalik qilmasangiz, hech qanday chiquvchi paketlarni ko'rmaysiz, shuning uchun ajabtovur rejimda bajarilmasin, juda foydali bo'lmaydi.

DLPI bilan HP-UX ostida:

Root yoki root uchun setcode o'rnatish kerak tcpdump .

IRIX ostida snoop bilan:

Root yoki root uchun setcode o'rnatish kerak tcpdump .

Linux ostida:

Root yoki root uchun setcode o'rnatish kerak tcpdump .

Ultrix va Digital UNIX / Tru64 ostida UNIX:

Har qanday foydalanuvchi tcpdump bilan tarmoq trafigini olishlari mumkin. Biroq, super-foydalanuvchi pfconfig (8) dan foydalanib u interfeysda ajablantiradigan rejim rejimini ishga solmasa va hech qanday foydalanuvchi (hatto super-foydalanuvchi bo'lmaganida ham, foydalanuvchi (hatto super-foydalanuvchi) ), super-foydalanuvchi pfconfig yordamida ushbu interfeysda nusxa ko'chirishning barcha rejimida ishlashini ta'minlamaguncha, interfeysda mashina tomonidan qabul qilingan yoki yuborilgan yagona nuqtadan tashish trafigini qo'lga kiritishi mumkin, shuning uchun interfeysda foydali paketni qo'lga kiritish, ehtimol, noaniq rejim yoki replikatsiya - bu rejimda har bir rejimda ishlash yoki ikkala operatsion rejimi ham yoqilishi mumkin.

BSD ostida:

Siz / dev / bpf * ga o'qishingiz kerak.

Saqlangan paket faylini o'qish maxsus imtiyozlar talab qilmaydi.

OPTIONS

-a

Tarmoqni va adabiyot manzillarini nomlarga aylantirishga urinib ko'ring.

-c

Taymer paketlarini qabul qilgandan so'ng chiqing.

-C

Xom paketni saqlash fayliga yozishdan oldin faylning file_size- dan kattaroqligini tekshiring va agar bo'lsa, joriy saqlash faylini yoping va yangisini oching. Savefiles birinchi savefile keyin -w bayrog'i bilan belgilangan nomga ega bo'ladi, keyin 2 raqamdan boshlab va yuqoriga qarab davom etadi. File_size bo'linmasi millionlab bayt (1,000,000 bayt, 1,048,576 bayt emas).

-d

O'rnatilgan paketni moslashtirilgan kodni inson tomonidan o'qiladigan shaklda standart chiqish va to'xtatish uchun olib tashlang.

-dd

Paketni taqqoslash kodini C dastur qismi sifatida to'ldiring.

-dd

Paketni moslashtirilgan kodni kasr sonlari sifatida to'ldiring (hisobdan oldingi).

-e

Har bir dumaloq satrida havola darajasidagi sarlavhani chop eting.

-E

Algo foydalaning : IPsec ESP paketlarini parolini sir saqlash uchun sir . Algoritmlar des-cbc , 3des -cbc , blowfish-cbc , rc3-cbc , cast128-cbc yoki hech biri bo'lishi mumkin . Asl qiymati - des-cbc . Paketlarni parolini qisqartirish qobiliyati faqat tcpdump kriptografiya yoqilgan holda tuzilgan bo'lsa mavjud. ESP maxfiy kalit uchun ascii matnini maxfiy tuting. Hozirgi paytda tasodifiy ikki tomonlama qiymatga ega bo'la olmaymiz. Ushbu parametr RFC2406 ESP ni emas, balki RFC1827 ESP ni nazarda tutadi. Variantni faqat disk raskadrovka maqsadlari uchun ishlatadi va ushbu parametrdan foydalanish, albatta, «yashirin» tugmachasini yoqtiradi. Ipsec maxfiy kalitini buyruq satriga taqdim qilib, boshqalarga ps (1) va boshqa holatlarda ko'rinadi.

-f

"Chet ellik" internet manzillarini ramziy jihatdan emas, balki raqamli (bu variant Sunning yp-serverida jiddiy miya hasariga yo'l qo'ymaslik uchun mo'ljallangan --- odatda mahalliy bo'lmagan internet raqamlarini tarjima qilishda to'xtaydi).

-F

Filtrni ifodalash uchun fayl sifatida foydalaning. Buyruqlar satrida berilgan qo'shimcha ifodani e'tiborsiz qoldiradi.

-i

Interfeysni tinglash. Agar aniqlanmagan bo'lsa, tcpdump tizim interfeysi ro'yxatini eng past raqamli, konfigüre qilingan interfeysi (loopback tashqari) uchun izlaydi. Qitlar eng erta o'yinni tanlash bilan buziladi.

2.2 yoki undan keyingi yadroli Linux tizimlarida barcha interfeyslardan paketlarni yig'ish uchun "har qanday" interfeys argumentidan foydalanish mumkin. "Har qanday" qurilma ustida ushlab turilgan qurilmalar noqulay rejimda amalga oshirilmaydi.

-l

Stdout chizig'ini bufedildi. Foydali ma'lumotni olishda ma'lumotni ko'rishni istasangiz. Masalan,
`` tcpdump -l | tee dat '' yoki `` tcpdump -l> dat & tail -f dat '' belgilaridan foydalaning.

-m

Fayl modulidan SMI MIB moduli ta'riflarini yuklab oling. Ushbu parametr bir necha MIB modullarini tcpdump- ga yuklash uchun bir necha marta ishlatilishi mumkin.

-n

Xost manzillarini nomlarga o'zgartirmang. Buni DNS tekshiruvlaridan qochish uchun ishlatish mumkin.

-nn

Protokol va port raqamlarini va boshqalarni nomlarga o'zgartirmang.

-N

Xost nomlarining domen nomini malakasini yozib qo'ymang. Misol uchun, agar siz ushbu bayroqni taqdim qilsangiz, unda tcpdump "nic.ddn.mil" o'rniga "nic" ni chop etadi.

-O

Paketga mos keladigan kod optimizatorini ishlatmang. Bu optimallashchida xatolikka shubha qilsangiz foydali bo'ladi.

-p

Interfeysni turli xil rejimlarga o'tkazmang . Shuni e'tiborga olish kerakki, interfeys boshqa sabablarga ko'ra ajralmas rejimda bo'lishi mumkin; shuning uchun `-p 'ifodasi {local-hw-addr} yoki efir translatsiyasi uchun qisqartma sifatida ishlatilmaydi.

-q

Tez (sokin?) Chiqishi. Chiqish chizig'i qisqa bo'lgani uchun kamroq protokol ma'lumotlarini chop eting.

-R

ESP / AH paketlarini eski xususiyatlarga (RFC1825dan RFC1829gacha) asoslangan deb hisoblang. Belgilangan bo'lsa, tcpdump replay oldini olish maydonini chop qilmaydi. ESP / AH spesifikasiyasida protokol versiyasi maydoni bo'lmaganligi sababli, tcpdump ESP / AH protokoli versiyasini chiqarolmaydi .

-r

Fayllardan paketlarni o'qing (u -w parametr bilan yaratilgan). Agar fayl " ` - '' bo'lsa standart kirish ishlatiladi.

-S

Tegishli TCP tartib raqami o'rniga mutlaqni chop eting.

-s

Snarf har bir paketdan olingan ma'lumotlar baytlari 68 ( SunOS'ning NIT bilan, minimal, aslida 96). 68 bayt IP, ICMP, TCP va UDP uchun etarli, lekin protokol ma'lumotlarini ism-sharifi serverdan va NFS paketlardan (pastga qarang) qisqartirishi mumkin. Cheklangan oniy rasm tufayli kesilgan paketlar `` [| proto ] '' deb nomlangan bo'lib, bu erda proto kesish sodir bo'lgan protokol darajasining nomi. Katta hajmdagi fotosuratlarni olish ikkala paketni qayta ishlash vaqtini ko'paytiradi va samarali ravishda paket tamponlash miqdorini kamaytiradi. Ushbu paketlar yo'qotilishi mumkin. Kerakli protokol ma'lumotlarini qo'lga kiritadigan eng kichik songa cheklov qo'yish kerak. 0 ga o'ralgan holda sozlash barcha paketlarni ushlab olish uchun talab qilinadigan uzunlikni bildiradi.

-T

" Eksprestsiya " tomonidan tanlangan paketlarni belgilangan turdagi interpretatsiya qilish kerak. Hozirda ma'lum turlar cnfp (Cisco NetFlow protokoli), rpc (masofaviy protsedura chaqiruvi), rtp (Real-time dasturlar protokoli), rtcp (Real-Time dasturlar boshqaruv protokoli), snmp (oddiy tarmoq boshqaruvi protokoli), vat (Visual Audio Tool ) va wb (tarqalgan Oq kengash).

-t

Har bir damping chizig'idagi vaqt tamg'asini chop qilmang .

-t

Har bir damping chizig'ida formatlashtirilmagan vaqt tamg'asini chop eting.

-U

Ildiz imtiyozlarini pasaytiradi va foydalanuvchining asosiy identifikatorini foydalanuvchi va guruh identifikatorini foydalanuvchi asosiy guruhiga o'zgartiradi.

Eslatma! Red Hat Linux boshqa hech narsa aniqlanmasa, foydalanuvchi avtomatik tarzda "pcap" ga imtiyozlarni avtomatik ravishda tushiradi.

-ttt

Har bir damping chizig'ida joriy va oldingi satr o'rtasida delta (mikro-sekundlarda) chop eting.

-tttt

Har bir damping chizig'ida sana bo'yicha davom etadigan vaqt formatini standart formatda chop etish.

-u

Nodatsiz NFS tarmog'ini chop etish.

-v

(Bir oz ko'proq) batafsil chiqdi. Misol uchun, IP-paketidagi yashash muddati, identifikatsiya qilish, umumiy uzunlik va variantlar chop etiladi. Bundan tashqari, IP va ICMP bosh sarfini tekshirish kabi qo'shimcha paketlar yaxlitligini tekshiradi.

-vv

Keyinchalik aniqroq chiqim. Misol uchun, NFS javob paketlardan qo'shimcha joylar chop etiladi va SMB paketlari butunlay parolini chiqaradi.

-vvv

Keyinchalik aniqroq chiqim. Misol uchun, telnet SB ... Yil variantlari to'liq yazdırılır. -X Telnet imkoniyatlari bilan ham hex-da chop etiladi.

-w

Xom paketlarni ularni ajratish va chop etish o'rniga faylga yozing. Keyinchalik, -r variantini bosib chiqarish mumkin. Agar fayl " ` "bo'lsa, standart chiqish ishlatiladi.

-x

Har bir to'plamni (bog'lanish darajasining sarlavhasini minus) olti raqamga chop eting. Barcha paket yoki katakka baytlardan kichikroq hajmda chop etiladi. Shuni e'tiborga olish kerakki, bu barcha qatlam-qatlamli paket, shuning uchun ulanish plyonkalari (masalan, Ethernet) uchun, yuqori qatlamli paketlar kerakli to'ldirishga qaraganda qisqa bo'lsa, to'ldirish baytlari ham chop etiladi.

-X

Hex kiritish paytida, ASCII-ni ham chop eting. Shunday qilib, agar -x tanlangan bo'lsa, paket hex / ascii-da chop etiladi. Bu yangi protokollarni tahlil qilish uchun juda qulay. Hatto -x ham o'rnatilmagan bo'lsa-da, ayrim paketlarning ayrim qismlari hex / ascii-da chop etilishi mumkin.

ifoda qilish

qanday paketlarni tashlab yuborilishini tanlaydi. Hech qanday ifoda berilmagan bo'lsa, tarmoqdagi barcha paketlar tashlab yuboriladi. Aks holda, faqat "true" ifodasi bo'lgan paketlar tashlab yuboriladi.

Bu ibora bitta yoki undan ortiq ibtidoiylardan iborat. Odatiy holatlar, odatda, bir yoki bir nechta saralash ishtirokchilari oldida o'z ididan (ism yoki raqam) iborat. Uch xil saralash turi mavjud:

turi

saralanganlar id nomi yoki raqami qanday narsaga mos kelishini aytishadi. Mumkin bo'lgan turlar xost , aniq va port . Misol uchun, "host foo", "aniq 128,3", "port 20". Hech qanday turdagi saralash bosqichi bo'lmasa, xost qabul qilinadi.

dir

saralash uchun ma'lum bir transfer yo'nalishini belgilaydi va / yoki identifikatordan . Mumkin yo'nalishlar src , dst , src yoki dst va src va dst . Misol uchun, «src foo», «dst net 128.3», «src yoki dst port ftp-data». Agar biron-bir saralash moslamasi bo'lmasa, src yoki dst qabul qilinadi. "Null" aloqa qatlamlari uchun (masalan, qaymoq kabi nuqta protokollari) kelgan va ketadigan saralashlar kerakli yo'nalishni aniqlash uchun ishlatilishi mumkin.

proto

saralash qoidalari o'yinni muayyan protokolga cheklaydi. Mumkin bo'lgan protonlar : efir , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp va udp . Misol uchun, "ether src foo", `arp aniq 128.3 ',` tcp port 21'. Agar proto saralashchi bo'lmasa, barcha turdagi protokollar turiga mos keladi. Misol uchun, «src foo» (ip yoki arp yoki rarp) src foo (oxirgi ikkinchisi qonuniy sintaksis tashqari) degan ma'noni anglatadi: «aniq bar», (ip yoki arp yoki rarp) aniq bar degan ma'noni anglatadi va «port 53» `(Tcp yoki udp) porti 53 '.

["Fddi" aslida "efir" uchun taxallusdir; ayrıştıruvchi ularni "" ko'rsatilgan tarmoq interfeysi bo'yicha ishlatiladigan ma'lumot ulanish darajasini "ma'nosini anglatadi. '' FDDI sarlavhalari chekkaga o'xshash manba va manzillarni o'z ichiga oladi va odatda Ethernet kabi paketli turlarni o'z ichiga oladi, shuning uchun ushbu FDDI maydonlarini filtrlash mumkin xuddi shunga o'xshash Ethernet maydonchalarida bo'lgani kabi. FDDI sarlavhalari boshqa sohalarni ham o'z ichiga oladi, biroq ularni filtrda ifodalay olmaysiz.

Xuddi shunday, "tr" ham "efir" uchun taxallusdir; oldingi paragrafning FDDI sarlavhalari haqidagi bayonoti Token Ring boshlariga ham tegishlidir.]

Yuqoridagilardan tashqari, naqshga rioya qilmaydigan ba'zi maxsus "ibtidoiy" kalit so'zlar: shluzi , adabiyot , kamroq , katta va arifmetik ifodalar. Bularning barchasi quyida tasvirlangan.

Keyinchalik murakkab süzgeç so'zlari, so'zlarni foydalanib, va ibtidoiylarni birleştirmemekle quriladi. Masalan, "host foo va ftp emas, port va ftp-data emas." Yozib olishni saqlash uchun bir xil saralashchilar ro'yxati o'chirilishi mumkin. Masalan, "tcp dst port ftp yoki ftp-data yoki domen" aynan "tcp dst port ftp yoki tcp dst porti ftp-data yoki tcp dst port domeni" bilan bir xil bo'ladi.

Ruxsat etilgan primitivlar:

dst xost- server

To'g'ri, agar IPv4 / v6 paketining asosiy manzili bo'lsa, u manzil yoki nom bo'lishi mumkin.

src uy egasi

Paketning IPv4 / v6 manba maydoni xost bo'lsa .

xost- server

Paketning IPv4 / v6 manbai yoki manziliga mezbonlik qilish to'g'ri . Yuqoridagi xost iboralarning har qandayini quyidagicha kalit so'zlar, ip , arp , rarp yoki ip6 bilan to'ldirish mumkin :

ip host xost

bu quyidagilarga mos keladi:

Ether proto \ ip va xost- host

Xost bir nechta IP manziliga ega bo'lgan ism bo'lsa, har bir manzil bir o'yin uchun tekshiriladi.

Eter dst ehost

Ethernet maqsad manzil ehost bo'lsa . Ehost / etc / eters yoki raqamdan nom bo'lishi mumkin (raqamli format uchun efirga (3N) qarang).

Eter src ehost

Ethernet manbai manzil ehost bo'lsa .

Ether uy egasi

Ethernet manbai yoki manzil manzil ehost bo'lsa .

gateway uy egasi

Paketli uy egasini shlyuz sifatida ishlatsa. Ya'ni, Ethernet manbasi yoki manzil manzili mezbonlik qildi, lekin na IP-manzili va na IP-manzil bor edi. Xost-server nom bo'lishi kerak va ikkala kompyuterning host-name-to-IP-manzilni hal qilish mexanizmlari (host nomi fayli, DNS, NIS, va hokazo) va mashinaning host-name-to-Ethernet-address resolution mexanizm (/ etc / eter va boshqalar). (Shu bilan mos keladigan ifoda

Eter host ehost va mezbon mezbon emas

bu xost / ehost nomlari yoki raqamlari bilan ishlatilishi mumkin.) Ushbu sintaksisi hozirda IPv6-faol konfiguratsiyasida ishlamaydi.

dst aniq tarmoq

Agar paketning IPv4 / v6 manzil manziliga tarmoqning aniq raqami bo'lsa. Net , / etc / networks yoki tarmoq raqamidan nom bo'lishi mumkin ( batafsil ma'lumot uchun tarmoqlar (4) ni ko'ring).

src net net

Agar paketning IPv4 / v6 manbaining manzili tarmoqning aniq raqamiga ega bo'lsa.

aniq tarmoq

Agar paketning IPv4 / v6 manbai yoki manzil manzili tarmoqning aniq raqamiga ega bo'lsa.

aniq tarmoqli niqobni aniqlash

IP-manzil aniq tarmoq niqobi bilan tarmoqqa mos tushsa. Src yoki dst bilan malakali bo'lishi mumkin. Ushbu sintaksisi IPv6 tarmog'i uchun haqiqiy emasligini unutmang.

aniq tarmoq / len

IPv4 / v6 manzili aniq tarmoqli len bitlari kengligi bilan aniq bo'lsa . Src yoki dst bilan malakali bo'lishi mumkin.

dst port porti

Agar paket ip / tcp, ip / udp, ip6 / tcp yoki ip6 / udp bo'lsa va portning maqsad porti qiymati bo'lsa. Port / etc / services da ishlatiladigan raqam yoki nom bo'lishi mumkin (qarang: tcp (4P) va udp (4P)). Agar ism ishlatilsa, port raqami va protokoli tekshiriladi. Agar raqam yoki noaniq nom ishlatilsa, faqat port raqami tekshiriladi (masalan, dst porti 513 da tcp / login trafigi va udp / kimning trafigini bosadi va port domen ham tcp / domen va udp / domen harakatlarini chop etadi).

src port ulanish nuqtasi

Paket manba portining qiymati port bo'lsa .

port ulanish nuqtasi

Paketning manba yoki maqsad porti port bo'lsa . Yuqoridagi port ifodalarini har qanday kalit so'zlar, tcp yoki udp bilan to'ldirish mumkin:

TCP src portining porti

faqat manba porti port bo'lgan tcp paketlariga mos keladi.

kamroq uzunlikda

To'plam uzunligi uzunligi yoki uzunligiga teng bo'lsa. Bu quyidagilarga mos keladi:

len <= uzunlik .

ko'proq vaqt

To'plam uzunligi uzunligi yoki uzunligiga teng bo'lsa. Bu quyidagilarga mos keladi:

len> = uzunligi .

ip proto protokoli

To'g'ri, agar paket IP-paket bo'lsa (protokol turi protokolining ip (4P) ga qarang). Protokol , icmp , icmp6 , igmp , igrp , pim , oh , esp , vrrp , udp yoki tcp kabi ismlarning bir yoki bir turi bo'lishi mumkin. Esda tutingki, identifikatorlar tcp , udp va icmp ham kalit so'zlar bo'lib, C-shell-da joylashgan \ (teskari egri chiziq) (\) yordamida qochib ketish kerak. Ushbu ibtidoiy protokol sarlavhasi zanjiriga rioya qilmasligini unutmang.

ip6 proto protokoli

To'g'ri, agar paket protokoli protokoli protokolining IPv6 paketi bo'lsa. Ushbu ibtidoiy protokol sarlavhasi zanjiriga rioya qilmasligini unutmang.

ip6 protoncha protokoli

To'p IPv6 paketi bo'lsa va uning protokol sarlavhasi zanjirida protokolli protokolni o'z ichiga olgan bo'lsa. Masalan,

ip6 protoncha 6

protokol sarlavhasi zanjirida TCP protokoli sarlavhasi bilan har qanday IPv6 paketiga mos keladi. Paketda, masalan, autentifikatsiya sarlavhasi, yo'nalishli sarlavha yoki hop-by-hop variantni sarlavhasi, IPv6 sarlavhasi va TCP sarlavhasi o'rtasida bo'lishi mumkin. Ushbu ibtidoiy tomonidan chiqarilgan BPF kodi murakkab va tpp dumpda BPF optimizator kodlari tomonidan optimallashtirilmaydi, shuning uchun bu biroz sekin bo'lishi mumkin.

ip protochain protokoli

IP6 protokey protokoliga teng , lekin bu IPv4 uchun.

efirga uzatiladi

Paket chekilgan adabiyot paketi bo'lsa, to'g'ri. Ether kalit so'z ixtiyoriy.

ip tarqatish

To'plam IP-tarqatish paketidir. Ham nol va hammasi nashr etilgan konvensiyalarni tekshiradi va mahalliy subnet maskasini ko'rib chiqadi.

Ether multicast

To'plami chekilgan multicast paket bo'lsa. Ether kalit so'z ixtiyoriy. Bu " efir [0] & 1! = 0 " uchun qisqartirilgan.

ip multicast

To'plami IP multicast paket bo'lsa.

ip6 multicast

To'plami IPv6 multicast paketidir.

Eter proto protokoli

To'p eter tipidagi protokol bo'lsa . Protokol , ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx yoki netbeui nomlaridan bir yoki bir nechta raqam bo'lishi mumkin . Ushbu identifikatorlar ham kalit so'zlardir va teskari egri chiziq (\) yordamida qochib ketish kerak.

[FDDI (masalan, " fddi protocol arp ") va Token ring (masalan, " prot protsoli arp ") holatlarida, ushbu protokollarning ko'pchiligi uchun protokol identifikatori 802.2 Logical Link Control (LLC) nomidan keladi. odatda FDDI yoki Token Ring boshiga tepasida joylashgan bo'ladi.

FDDI yoki Token rishtasidagi ko'p protokol identifikatorlari uchun filtrlash paytida, tcpdump faqat SNAP formatida 0x000000 tashkiliy birlik identifikatori (OUI) bilan encapsulated Ethernet uchun MChJ sarlavhasining protokoli identifikatsiya maydonini tekshiradi; paket SNAP shaklida 0x000000 OUI bilan tekshirilmaganligini tekshirmaydi.

Istisnolardan tashqari, LLC nomining DSAP-ni tekshiradigan LLC header, stp va netbeui ning DSAP ( maqsadli xizmat kirish nuqtasi) va SSAP (Resursga xizmat ko'rsatishning kirish nuqtasi) joylarini tekshiradigan izo , 0x080007 ning OUI va Appletalk protokoli bilan SNAP formatidagi paketni tekshiradi.

Ethernet holatida, tcpdump ushbu protokollarning ko'pchiligi uchun Ethernet turi maydonini tekshiradi; istisnolar iso , sap va netbeui bo'lib , ular uchun 802.3 ramkasini tekshiradi va keyinchalik FDDI va Token rishtasi uchun MChJ sarlavhasini tekshiradi, bu erda ikkalasi ham Ethernet ramkasida Appletalk-ni tekshirish uchun va SNAP-formatdagi paket FDDI va Token Ring uchun bo'lgani kabi , u chekilgan chekkada yoki 80x22000 ning OUI bilan 802.2 SNAP ramkasida Appletalk ARP turini tekshiradigan va IPX turi uchun IPX tekshiradigan ipx Ethernet ramkasi, IPS DSAP-ning LLC-da, 802.3-sonli IPXning IP-versiyasi va SNAP formatidagi IPX-kodi mavjud.]

decnet src xosti

Agar DECNET manba manzili mezbonlik qilsa , u formada "` 10.123 '' yoki DECNET host nomi bo'lishi mumkin. [DECNET host nomi qo'llab-quvvatlashi faqat DECNET ishlatish uchun tuzilgan Ultrix tizimlarida mavjud.]

decnet dst xosti

DECNET manziliga manzil berilsa to'g'ridir.

decnet xost- hosti

Agar DECNET manbai yoki manzil manzili mezbon bo'lsa .

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

Quyidagilar uchun yoritmoq:

Eter proto p

bu erda yuqoridagi protokollardan biri hisoblanadi.

lat , moprc , mopdl

Quyidagilar uchun yoritmoq:

Eter proto p

bu erda yuqoridagi protokollardan biri hisoblanadi. Tcpdump hozirda ushbu protokollarni qanday ajratish kerakligini bilmasligini unutmang.

vlan [vlan_id]

To'g'ri, paket IEEE 802.1Q VLAN paketidir. Agar [vlan_id] ko'rsatilsa, paketda faqat vlan_id ko'rsatilgan. So'zda duch kelgan birinchi vlan kalit so'zlari , paketning VLAN to'plami ekanligiga qaramay, qolgan iboralar uchun kod hal etishni o'zgartiradi.

tcp , udp , icmp

Quyidagilar uchun yoritmoq:

ip proto p yoki ip6 proto p

bu erda yuqoridagi protokollardan biri hisoblanadi.

iso proto protokoli

To'g'ri, agar paket protokol turi protokoli bo'yicha OSI paket bo'lsa. Protokol klnp , esis yoki isis nomlaridan bir yoki bir nechta raqam bo'lishi mumkin.

klnp , esis , isis

Quyidagilar uchun yoritmoq:

iso proto p

bu erda yuqoridagi protokollardan biri hisoblanadi. Tcpdump bu protokollarni ajratib olishning tugallanmagan ishi ekanligini unutmang.

expr relop expr

Agar munosabatlar davom etadigan bo'lsa, relop quyidagi qiymatlardan biri bo'lsa, <,> =, <=, =,! = Va eksp (tamoyilning standart sintaksisida ifodalangan) tamsayı sobitlaridan iborat arifmetik ifodadir. , -, *, /, &, | |], uzunlikdagi operator va maxsus paketli ma'lumotlarga ega. Paket ichidagi ma'lumotlarga kirish uchun quyidagi sintaksisini foydalaning:

proto [ expr : sizga ]

Proto eter, fddi, tr, ppp, slip, bog'lanish, ip, arp, rarp, tcp, udp, icmp yoki ip6 dan biridir va indeks operatsiyalari uchun protokol qatlamini bildiradi. ( Ether, fddi, tr, ppp, slip va havola barcha bog'lanish sathiga qaraydi.) Tcp, udp va boshqa yuqori qatlamli protokol turlari faqat IPv6 uchun emas, balki IPv6 uchun ham qo'llaniladi (kelajakda o'rnatiladi). Ko'rsatilgan protokol qatlamiga nisbatan baytni almashtirish ekspression orqali beriladi. Hajmi ixtiyoriy va qiziqish sohasidagi baytlarning sonini ko'rsatadi; u bir, ikkita yoki to'rtta bo'lishi mumkin, va bitta qiymatga ega bo'lishi mumkin. Len kalit so'z bilan ko'rsatilgan uzunlikdagi operator paket uzunligini beradi.

Masalan, " efir [0] & 1! = 0 " barcha multicast-trafikni ushlaydi. " Ip [0] & 0xf! = 5 " iborasi barcha IP-paketlarni imkoniyatlari bilan ushlaydi. " Ip [6: 2] & 0x1fff = 0 " iborasi faqat unbragatsiyalanmagan datagramlarni va fragmentlangan datagramlarning ajralmas nusxasini ushlaydi. Ushbu nazorat tcp va udp indeks operatsiyalariga bevosita qo'llaniladi. Masalan, TCP [0] har doim TCP nomining birinchi baytini bildiradi va hech qachon aralashgan fragmanning birinchi baytini bildirmaydi.

Ba'zi ofset va maydon qiymatlari soni qadriyatlar o'rniga nomlar sifatida ifodalanishi mumkin. Quyidagi protokol sarlavhasi sohasi ofsetlari mavjud: icmptype (ICMP turi maydoni), icmpcode (ICMP kod maydoni) va tcpflags (TCP bayroqlar maydoni).

Quyidagi ICMP turi maydonlari mavjud: icmp-echoreply , icmp-unreach , icmp- sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

Quyidagi TCP bayroqlari maydoni qiymatlari mavjud: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Istiqbollar quyidagi usullardan foydalanishi mumkin:

Qavslar ichidagi ilkellar va operatorlar guruhi (Qavslar Shell uchun maxsus va qochib ketish kerak).

Salbiy (" ! " Yoki " emas ").

Birlashma (" && " yoki " va ").

Alternation (` || 'yoki` yoki ').

Noqonuniylik birinchi o'rinda turadi. Alternatsiyalash va birlashma teng huquqqa ega va chapdan o'ngga birikadi. Aniqlash va aniq birikmalar uchun emas, balki birlashma uchun endi kerak.

Identifikator kalit so'zsiz berilsa, eng so'nggi kalit so'z qabul qilinadi. Masalan,

va boshqalar

uchun qisqa

uy egasi va boshqalar emas

bu bilan aralashmaslik kerak

emas (host vs ace)

So'zlashtirilgan argumentlar tcpdump-ga bitta argument sifatida yoki bir nechta argumentlar sifatida berilishi mumkin. Umuman olganda, ifoda Shell metakarakteriyalarini o'z ichiga olgan bo'lsa, uni bitta, keltirib o'tilgan argument sifatida berish osonroq. Ko'pgina argumentlarni ajratishdan oldin bo'shliqlar bilan birlashtiriladi.

MISOLLAR

Quyosh botgan yoki ketgan barcha paketlarni chop etish uchun:

tcpdump host sundown

Helios va issiq yoki ace o'rtasida trafikni chop etish uchun:

tcpdump host helios va \ (issiq yoki ace \)

Alya va helioslardan tashqari har qanday xost o'rtasida barcha IP-paketlarni chop etish uchun:

tcpdump ip host ace emas, balki helios

Berkli shahrida mahalliy xostlar va xostlar o'rtasidagi barcha trafikni chop etish uchun:

tcpdump aniq uchb-eter

Internet-gateway orqali barcha ftp-trafiklarni chop qilish uchun: (bu ifodani qobiqni parantezni tarjima qilish (noto'g'ri ishlatish) uchun eslatib o'ting.

tcpdump "gateway snup va (port ftp yoki ftp-data)

Tarmoqni na mahalliy xostlar uchun, na boshqa tarmoqqa yuborish uchun chop etish (agar siz boshqa tarmoqqa eshik ochsangiz, ushbu material hech qachon uni mahalliy tarmoqqa o'tkazmasligi kerak).

tcpdump ip va net localnet emas

Mahalliy bo'lmagan xostni o'z ichiga olgan har bir TCP suhbatining boshi va oxiri paketlarini (SYN va FIN paketlarini) chop etish.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 va src va dst net localnet '

O'tilganlik sanasi shlyuzidan yuborilgan 576 bayttan ortiq IP-paketlarni chop etish uchun:

tcpdump 'gateway snup va ip [2: 2]> 576'

Ethernet adabiyoti yoki multicast orqali yuborilmagan IP adabiyotlarini yoki ko'p tomonlama paketlarni chop qilish uchun:

tcpdump 'efir [0] & 1 = 0 va ip [16]> = 224'

Echo-so'rovlar / javoblar bo'lmagan barcha ICMP-paketlarni chop etish (ya'ni, paketlarni pinglash):

tcpdump "icmp [icmptype]! = icmp-echo va icmp [icmptype]! = icmp-echoreply"

OUTPUT FORMAT

Tcpdump chiqishi protokolga bog'liq. Quyidagilar qisqacha tavsif va formatlarning ko'pchiligiga misollar keltiradi.

Ulanish darajasining sarlavhalari

"-e" variantini berilgan bo'lsa, aloqa darajasining sarlavhasi chiqariladi. Shimoliy viloyatlarda manbalar va manzillar, protokol va paket uzunligi bosilgan.

FDDI tarmoqlarida '-e' variantni tcpdump- ga `ramka nazorat qilish 'maydonini, manba va manzil manzillarini va paket uzunligini chop etishga sabab bo'ladi. ("Frame control" maydonida paketning qolgan qismini talqin qilishni boshqaradi.Oddiy paketlar (masalan, IP datagramlarini o'z ichiga olgan) "async" paketlar, 0 va 7 oraliqdagi ustunlik qiymati, masalan, " async4 ". paketlar 802.2 Mantiqiy Aloqa Tekshirish (LLC) paketini o'z ichiga oladi, agar ISO datagrami yoki SNAP paketi deb nomlanmagan bo'lsa, LLC sarlavhasi chop etiladi.

Token Ring tarmog'ida "-e" variantini tcpdump "kirishni boshqarish" va "ramka nazorat qilish" maydonlarini, manba va manzil manzillarini va paket uzunligini chop etishga olib keladi. FDDI tarmoqlarida bo'lgani kabi, paketlar ham MMT paketini o'z ichiga oladi. "-e" variantini ko'rsatish yoki olmaslikdan qat'iy nazar, manba marshrutlash ma'lumotlari manba-yo'naltirilgan paketlar uchun chop etiladi.

(NB: Quyidagi tavsif RFC-1144 da tasvirlangan SLIP siqish algoritmi bilan tanishishni talab qiladi.)

SLIP ulanishlarida yo'nalish ko'rsatkichi ("I", "chiqish", "chiqish" uchun "O"), paketli turdagi va siqishni haqida ma'lumot chop etiladi. Avval paket turi yoziladi. Uch tip ip , utcp va ctcp hisoblanadi . IP- paketlar uchun hech qanday qo'shimcha ma'lumot chop etilmaydi. TCP paketlari uchun aloqa identifikatori turi bo'yicha yoziladi. Agar paket siqilgan bo'lsa, uning kodlangan nomi bosib chiqariladi. Maxsus holatlar * S + n va * SA + n sifatida chiqariladi , bu erda n - tartib raqami (yoki tartib raqami va ack) o'zgargan miqdor. Agar bu alohida hol bo'lsa, nol yoki undan ortiq o'zgarishlar yoziladi. O'zgarishlar U (shoshilinch ko'rsatgich), V (oyna), A (Ack), S (ketma-ketlikdagi raqam) va I (paket identifikatori), keyin delta (+ n yoki -n) yoki yangi qiymat (= n). Va nihoyat, paketli va siqilgan sarlavha uzunligidagi ma'lumotlar miqdori yoziladi.

Misol uchun, quyidagi satr yopiq ulanish identifikatori bo'lgan, chiqadigan siqilgan TCP paketini ko'rsatadi; ack 6 tomonidan o'zgartirilgan, ketma-ketlik raqami 49, paket identifikatori esa 6 ga teng; 3 bayta ma'lumot va siqilgan sarlavha 6 bayt bor:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP paketlari

Arp / rarp chiqish so'rovi va uning argumentlarini ko'rsatadi. Format formati o'zini tushuntirish uchun mo'ljallangan. Xost- rtsg- dan xs serverga "rlogin" ning boshlanishidan olingan qisqa namunadir:

arp - "CSAM" ning javobini aytsangiz, CSAM javob beradi

Birinchi satrda rtsg internet xost-serverning chekilgan manzilini so'ragan arp paketini yuborgan. Csam uning Ethernet manzili bilan javob beradi (bu misolda Ethernet manzili papkada va Internetdagi manzillarda pastki).

Agar biz tcpdump -n :

128.3.254.6 ga qarang 128.3.254.68 arp javob 128.3.254.6 at-02: 07: 01: 00: 01: c4

Agar biz tcpdump -ni bajargan bo'lsak, birinchi paketning efirga uzatilishi va ikkinchisi nuqta-nuqta bo'lishi haqiqat bo'lishi mumkin edi:

RTSG telvideniya 0806 64: RSPG-ni kimga aytsa, RTSG 0806 64: arp javobli CSAM-da

Dastlabki paket uchun Ethernet manba manzili RTSG, maqsad ethernet adabiyot manzili, hex 0806 (turi ETHER_ARP) turi olgan va jami uzunligi 64 bayt edi.

TCP paketlari

(NB: Quyidagi tavsifda RFC-793 da tasvirlangan TCP protokoli bilan tanishish nazarda tutiladi. Agar siz protokol bilan tanish bo'lmagan bo'lsangiz, bu ta'rif yoki tcpdump siz uchun juda ko'p ishlatilmaydi.)

TCP protokoli liniyasining umumiy formati:

src> dst: favqulodda variantlar oynasini ko'rsatadi

Src va dst manba va maqsad IP manzillari va portlari. Bayroqlar S (SYN), F (FIN), P (PUSH) yoki R (RST) yoki bitta "." (bayroqlar yo'q). Data-seqno bu paketdagi ma'lumotlar bilan qamrab olingan ketma-ketlikdagi bo'shliqni tavsiflaydi (quyida keltirilgan misolga qarang). Ack - ushbu ulanishdagi boshqa yo'nalishlardan kutilgan navbatdagi ma'lumotlarning navbatdagi raqami. Window - ushbu ulanishdagi boshqa yo'nalishdagi mavjud bo'lgan qabul qiluvchi bufer maydoni baytlarning soni. Urg "paketidagi " zudlik bilan "ma'lumotlar mavjudligini bildiradi. Tanlovlar burchakli qavslarga tcp variantlari (masalan, ).

Src, dst va bayroqlar mavjud. Boshqa maydonlar paketning tcp protokoli sarlavhasining mazmuniga bog'liq va faqat kerak bo'lganda chiqadi.

Bu erda rtsg- dan uy egasiga rloginning ochilish qismi.

rtsg.1023> csam.login: S 768512: 768512 (0) qozon 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 qozon 4096 rtsg.1023> csam. Kirish: . ack 1 qozon 4096 rtsg.1023> csam.login: R 1: 2 (1) ack 1 qozon 4096 csam.login> rtsg.1023 :. ack 2 qozon 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 qozon 4096 csam.login> rtsg.1023: R 1: 2 (1) ack 21 g'olib 4077 csam.login> rtsg.1023: P 2: 3 (1) ack 21 g'alaba 4077 shoshilinch 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 g'alaba 4077 urinish 1

Birinchi satrda rtsg-da tcp porti 1023-da csam portni ochish uchun paket yuborilgan. S , SYN bayrog'i o'rnatilganligini ko'rsatadi. Paket qatori raqami 768512 va hech qanday ma'lumot yo'q edi. ("Birinchi: oxirgi (nbytes)", ya'ni " birinchi navbatda , foydalanuvchi ma'lumotlarining nbytes baytlari" ni o'z ichiga olgan ketma-ketlik raqamlari degan ma'noni anglatadi.). Qabul qilingan qo'llab-quvvatlanmagan oyna mavjud emas, 4096 bayt mavjud. 1024 baytlik ob'ektni so'ragan max-segment-o'lchov varianti mavjud edi.

Csam shunga o'xshash paketga javob beradi, bundan tashqari u rtsg SYN uchun cho'chqa qo'llab-quvvatlaydi. Rtsg keyin CSamning SYN-ni ochadi. '.' bayroqlar o'rnatilmagan degan ma'noni anglatmaydi. Paketda ma'lumot yo'q, shuning uchun ma'lumotlar ketma-ketligi raqami yo'q. Ack qatori raqami kichik bir tamsayı (1) ekanligini unutmang. Birinchi marta tcpdump tcp `suhbatini ko'radi, paketdan ketma-ketlikni raqamini yozadi. Suhbatning keyingi paketlarida joriy paketning ketma-ketligi va bu birinchi tartib raqami o'rtasidagi farq yoziladi. Bu degani, birinchi navbatda ketma-ketlikning raqamlari suhbat ma'lumotlarining oqimidagi nisbiy bayt pozitsiyasi sifatida interpretatsiya qilinishi mumkin (har bir yo'nalishda birinchi ma'lumotlar baytda '1 '). `-S 'bu xususiyatni bekor qiladi, bu asl nusxadagi raqamlarni chiqaradi.

6-chi satrda rtsg ma'lumotlar 19-bayt ma'lumotlarini yuboradi (suhbatning rtsg-csam tomonida 2 dan 20 gacha bayt). PUSH bayrog'i paketga o'rnatiladi. 7-chi satrda csam aytadiki, rtsg tomonidan yuborilgan ma'lumotlarga, lekin bayt 21ga qo'shilmaydi. Ushbu ma'lumotlarning aksariyati csam ning qabul oynasi 19 bayt kichrayganligi sababli, soket tamponida o'tiribdi. Csam, shuningdek, bu ma'lumotdan bir bayt ma'lumotni rtsg uchun yuboradi. 8 va 9-satrda csam ikki bayt favqulodda ma'lumotlarni yuboradi.

Agar oniy tasvir tcpdump to'liq TCP sarlavhasini yozib olmagan bo'lsa, unda "header" ning ko'p qismini sharhlaydi va keyin "[| tcp ] '' deb nomlangan bo'lib, qolgan qismini izohlab bo'lmadi. Agar sarlavhada soxta variant bo'lsa (uzunligi juda kichik yoki boshning oxiridan tashqarida bo'lsa), tcpdump uni "[ yomon opt ]" deb bildiradi va boshqa variantlarni izohlamaydi (chunki buni aytish mumkin emas). qaerda boshlanadi). Agar sarlavha uzunligi variantlar mavjud bo'lsa, lekin IP datagramining uzunligi variantlar aslida u erda bo'lishi uchun etarli emas, tcpdump uni "[ yomon hdr uzunligi ]" deb bildiradi.

TCP paketlarini maxsus bayroq birikmalaridan foydalanib olish (SYN-ACK, URG-ACK va boshqalar)

TCP sarlavhasi boshqaruv qismlari qismida 8 bit mavjud:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Keling, TCP ulanishini o'rnatishda ishlatiladigan paketlarni tomosha qilishni xohlaymiz. TCP ning yangi ulanishni ishga tushirganida 3 tomonlama aloqani saqlash protokolini ishlatishini eslaylik; TCP boshqaruv bitlari bilan bog'liqlik ketma-ketligi

1) Caller SYN yuboradi

2) Qabul qiluvchilar SYN, ACK bilan javob beradi

3) Chaqiruvchi ACK-ni yuboradi

Endi biz faqat SYN bit seti bo'lgan paketlarni ushlashdan manfaatdormiz (1-qadam). Biz 2-bosqichdan (SYN-ACK) paketlarni xohlamaymiz. Bizga kerak bo'lgan narsa tcpdump uchun to'g'ri filtri ifodasi.

Tanlovsiz TCP sarlavhasining tuzilishini eslang:

0 15 31 ----------------------------------------------- ------------------ | manba porti maqsad port | -------------------------------------------------- --------------- | qator raqami -------------------------------------------------- --------------- | tasdiq raqami -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | oyna hajmi -------------------------------------------------- --------------- | TCP checksumi | shoshilinch ko'rsatgich -------------------------------------------------- ---------------

Tanlov varolmaganda, TCP rahbari odatda 20 oktetani oladi. Grafikdagi birinchi satrda 0 dan 3 gacha sonikalar mavjud, ikkinchisida sekundlar 4 dan 7 gacha.

0 bilan hisoblashni boshlash uchun, tegishli TCP boshqaruv bitlari sekund 13 da joylashgan:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | oyna hajmi ---------------- | --------------- | --------------- | - --------------- | | 13-oktet | | |

Keling, sakkizinchi raqamga qaraylik. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Bu biz qiziqqan TCP boshqaruv bloklari. Biz bu oktetdagi bitlarni 0dan 7gacha, o'ngdan chapga, shuning uchun PSH bit bit 3, URG bit esa 5 raqami.

Esda tuting, biz faqat SYN to'plami bilan paketlarni qo'lga olishni xohlaymiz. Keling, TCP datagrami boshida SYN bit bilan birga kelganida, oktet 13 ga nima bo'ladi:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Tekshiruvchi bitlar bo'limiga qaraganda biz faqat bit 1 raqami (SYN) o'rnatilganligini ko'ramiz.

Sekundning 13 raqami tarmoq baytlari tartibida 8-bitli belgisiz tamsayı ekanligiga qaramay, bu sektsiyaning ikkilik qiymati

00000010

va uning o'nli vakili

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Biz deyarli bajarilganmiz, chunki hozir biz faqat SYN o'rnatilganda, TCP boshidagi 13-oktetaning qiymati, tarmoq baytlari tartibida 8-bitli belgisiz tamsayı deb talqin qilinganida, to'liq 2 bo'lishi kerak.

Ushbu munosabat, deb ifodalash mumkin

tcp [13] == 2

Ushbu ifodani faqat SYN o'rnatilgan paketlarni tomosha qilish uchun tcpdump uchun filtri sifatida ishlatishimiz mumkin:

tcpdump -i xl0 tcp [13] == 2

"TCP datagramining 13-oktasida o'nli qiymatga ega bo'lishga ruxsat berilsin" degan ibora, bu biz xohlagan narsadir.

Keling, SYN paketlarini qo'lga kiritishimiz kerak, deb hisoblaymiz, lekin biz ACK yoki boshqa biron-bir TCP boshqaruv biti bir vaqtning o'zida o'rnatilishini xohlamaymiz. Keling, SYN-ACK to'plamiga ega bo'lgan TCP datagrami kelganida, oktet 13 ga nima bo'ladi:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Endi 1 va 4 bitlar 13-oktetda o'rnatiladi. Sektsiya 13 ning ikkilik qiymati

00010010

o'nlik kasrlarga tarjima qilingan

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Endi biz faqat tcpdump filtri ifodasida "tcp [13] == 18" dan foydalanolmaymiz, chunki bu faqat SYN-seti bo'lganlar emas, balki SYN-ACK o'rnatilgan paketlarni tanlang. Shuni esda tutingki, ACK yoki boshqa har qanday nazorat biti SYN o'rnatilgandagina o'rnatiladi.

Bizning maqsadimizga erishish uchun biz SYN bitini saqlab qolish uchun boshqa qiymat bilan birga sektsiyani 13 va ikkilik qiymatiga ega bo'lishimiz kerak. Biz har qanday holatda SYNni o'rnatishni xohlayotganimizni bilamiz, shuning uchun biz mantiqiy va 13-sekunddagi qiymat SYN ning ikkilik qiymatiga ega bo'lamiz:

00010010 SYN-ACK 00000010 SYN va 00000010 (biz SYNni istaymiz) va 00000010 (biz SYN istaymiz) -------- -------- = 00000010 = 00000010

ACK yoki boshqa TCP boshqaruv biti o'rnatilmaganligiga qaramasdan, ushbu VA amaliyoti bir xil natijani beradi. AND qiymatining o'nli vakili va ushbu operatsiya natijasi 2 (ikkilik 00000010), shuning uchun SYN bilan paketlar uchun quyidagi munosabatlar to'g'ri bo'lishi kerakligini bilamiz:

((Sakkizinchi qiymat) VA (2)) == (2)

Bu bizga tcpdump filtri ifodasini ko'rsatadi

tcpdump -i xl0 'tcp [13] & 2 == 2'

Qisqacha AND ('&') maxsus belgini yashirish uchun so'zda bitta tirnoq yoki terskadan foydalanish kerakligini unutmang.

UDP paketlari

UDP formati ushbu rasm to'plami bilan ko'rsatilgan:

aktinide.who> transly.who: udp 84

Bu port hostinda aktinidda portni portga portlab, internetda efirga uzatiladigan manzilga yuborilgan. Paketda foydalanuvchi ma'lumotlarining 84 bayt mavjud edi.

Ba'zi UDP xizmatlari (manba yoki maqsad port raqamidan) va yuqori darajadagi protokol ma'lumotlarini yoziladi. Ayniqsa, Domen nomining xizmat talablari (RFC-1034/1035) va Sun RPC (RFC-1050) NFSga qo'ng'iroq qiladi.

UDP Name Server so'rovlari

(NB: Quyidagi tavsif RFC-1035 da tasvirlangan Domen Xizmati protokoli bilan tanishishni nazarda tutadi.) Agar protokol bilan tanish bo'lmagan bo'lsangiz, quyidagi ta'rif yunon tilida yozilgan ko'rinadi.)

Ism serverining so'rovlari formatlashtiriladi

src> dst: id op? bayroqlar qtype qclass nomi (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Xost kompyuter h2opolo ucbvax.berkeley.edu nomi bilan assotsiatsiyalangan manzil yozuvlari (qtype = A) uchun helioslarda domen-serverni so'radi . So'rovlar identifikatori '3 'bo'ldi. "+" Belgilangan belgining rekursiyasini belgilaydi. So'rov uzunligi UDP va IP protokoli sarlavhalarini o'z ichiga olmaydi, 37 bayt edi. So'rovlar operatsiyalari odatiy bo'lib, so'rovlar , shuning uchun op maydoni inkor qilindi. Agar Op boshqa narsa bo'lsa, u "3" va "+" o'rtasida bosilgan bo'lardi. Xuddi shunday, qclass odatdagidek, C_IN va yo'qolgan. Har qanday boshqa qclass "A" dan keyin darhol bosib chiqarilgan bo'lar edi.

Bir nechta anomaliyalar tekshiriladi va kvadrat qavatlarga qo'shimcha joylar kiritilishi mumkin : Agar so'rovda javob bo'lsa, avtorlik yozuvlari yoki qo'shimcha yozuvlar bo'limi, hisoblagich , hisob raqami yoki arcount `[ n a] ',` [ n n ] »yoki« [nu] »deb nomlanadi , bu erda n muvofiq hisoblangan. Agar javob bitlardan biri (AA, RA yoki rcode) o'rnatilgan bo'lsa yoki "nol" bo'lishi kerak bo'lgan har qanday bit ikkita va uchta baytga o'rnatilsa, "[b2 & 3 = x ]" bosiladi, bu erda x - ikki va uchta bayt baytlari.

UDP Name Server Javoblar

Od server javoblari formatlashtiriladi

src> dst: id rcode bayroqlar a / n / au toifasidagi ma'lumot (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Birinchi misolda helios h2opolo- dan 3 ta javob yozuvlari, 3 ta ism-server yozuvlari va 7 qo'shimcha yozuvlar bilan so'rovlar sonini 3-ga javob beradi. Birinchi javob jurnali A (manzil) dir va uning ma'lumotlari 128.32.137.3 Internet manzilidir. Javobning umumiy hajmi UDP va IP-sarlavhalardan tashqari, 273 bayt edi. A (Sorg) va javob kodi (NoError) A yozuvining klassi (C_IN) kabi yozilmagan.

Ikkinchi misolda, helioslar so'rovsiz 2 javobsiz, mavjud bo'lmagan domen (NXDomain) javob kodi, bitta ism-sharifi va avtorlik yozuvlari mavjud emas. '*', Vakolatli javob biti o'rnatilganligini bildiradi. Hech qanday javob bo'lmagani uchun hech qanday tip, sinf yoki ma'lumotlar chop etilmadi.

Ko'rinishi mumkin bo'lgan boshqa bayroq belgilar "-" (o'zboshimchalik bilan mavjud bo'lgan, RA, belgilanmagan) va `| (truncated message, TC, to'siq). Agar "savol" qismida birgina yozuv mavjud bo'lmasa, "[ n q]" bosiladi.

Ism server so'rovlari va javoblari katta bo'lishi va 68 baytning asl nusxasi chop etish uchun etarlicha paketni olmaganligiga e'tibor bering. Agar ism-server trafigini jiddiy tekshirish kerak bo'lsa, uni to'ldirish uchun -s bayrog'ini ishlating. ' -138 ' men uchun yaxshi ishladi.

SMB / CIFS dekodlash

tcpdump endi UDP / 137, UDP / 138 va TCP / 139 ma'lumotlari uchun juda keng tarqalgan SMB / CIFS / NBT dekodlashni o'z ichiga oladi. IPX va NetBEUI SMB ma'lumotlarining ba'zi ibtidoiy kodi ham amalga oshiriladi.

Odatiy bo'lib, juda kamroq kod hal qilinayapti, agar u -v ishlatilsa, batafsilroq dekode-qilinib amalga oshiriladi. "-va yagona SMB to'plami bilan bir yoki bir necha sahifani olish mumkinligi haqida ogohlantiringiz.

Agar siz unicode strings o'z ichiga olgan SMB sessiyalarini kodlayotgan bo'lsangiz, unda UNE_UNICODE muhit o'zgaruvchisini 1-ga sozlashingiz mumkin. Unicode sinklarni avtomatik aniqlash uchun tuzatuvchi qutichani qabul qilasiz.

SMB paket formatlari va barcha teologlar haqidagi ma'lumot uchun eng sevimli samba.org oynasida www.cifs.org yoki pub / samba / specs / katalogiga qarang. SMB yamaları Andrew Tridgell (tridge@samba.org) tomonidan yozilgan.

NFS talab va javoblar

Sun NFS (Tarmoqli fayl tizimi) so'rovlari va javoblari quyidagi kabi yoziladi:

src.xid> dst.nfs: len op args src.nfs> dst.xid: javob berish uchun qidiruv natijalari sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: javob berish o'q 40 readlink "../var" sushi.201b> wrl.nfs: 144 qidirish fh 9,74/4096,6878 "xcolors" wrl.nfs> sushi.201b: javob OK 128 qidirish fh 9,74 / 4134,3150

Birinchi satrda host sushi id 6709 bilan jurnali yuboradi (src ota-kompyuterini keyingi son, manba port emas , balki bir operatsiyani identifikatori ekanligini unutmang). UDP va IP-sarlavhalari bundan mustasno, 112 bayt talab. Ushbu operatsiya ( fh ) 21,24 / 10.731657119 faylni dastxatida " readlink" (ramziy linkni o'qish) bo'ldi. (Agar shukur bo'lsa, xuddi shu tarzda, faylni ushlab turish katta, kichik qurilma raqamlari jufti, keyin esa inode raqami va generatsiya raqami deb talqin qilinishi mumkin). Wrl "OK" so'zining mazmuni bilan javob beradi.

Uchinchi qatorda sushi 9,74 / 4096,6878 nomidagi faylda " xcolors " nomini qidirishga urinadi. Chop etilgan ma'lumotlar operatsion turiga bog'liqligini unutmang. Agar format NFS protokoli bilan birgalikda o'qisa, u o'zini tushuntirish uchun mo'ljallangan.

-v (verbose) bayrog'i berilgan bo'lsa, qo'shimcha ma'lumot yoziladi. Masalan:

sushi.1372a> wrl.nfs: 148 o'qish fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: javob OK 1472 o'qish REG 100664 ids 417/0 sz 29388

(-v, shuningdek, ushbu misoldan chiqarib olingan IP-sarlavhasi TTL, ID, uzunlik va parchalanish maydonlarini ham yozishadi). Birinchi satrda sushi 8,192 baytni 21,11 / 12.195 fayldan o'qish uchun so'raydi, byte ofset 24576. Wrl javoblarni o'qi 'ok'; ikkinchi satrda ko'rsatilgan paket javobning birinchi qismidir va shuning uchun faqat 1472 bayt uzunlikda (boshqa baytlar keyingi fragmentlarda kuzatiladi, ammo bu qismlar NFS yoki hatto UDP sarlavhalari yo'q va shuning uchun ham chop etilmasligi mumkin, ishlatiladigan filtri ifodasiga qarab). -v bayrog'i berilganligi sababli, ba'zi fayllar (fayl ma'lumotlariga qo'shimcha ravishda qaytariladigan) atributlari yoziladi: fayl turi (muntazam fayl uchun `` REG ''), fayl tartibi (sekundlar), uid va gid va fayl hajmi.

Agar -v belgisi bir martadan ko'p bo'lsa, ko'proq tafsilotlar chop etiladi.

NFS so'rovlari juda katta ekanligiga e'tibor bering va qo'shimcha ma'lumotlarning ko'pi chop etilmasa , chop etilmaydi . NFS trafigini kuzatish uchun " -s 192 " dan foydalaning.

NFS javob paketlari RPC operatsiyasini aniq belgilamaydi. Buning o'rniga, tcpdump "so'nggi" so'rovlarini kuzatib boradi va ularni jurnali identifikatoridan foydalanib javoblarga mos keladi. Agar javob tegishli so'rovni diqqat bilan kuzatmasa, u ajralmas bo'lishi mumkin.

AFS Talablari va javoblari

Transarc AFS (Endryu File System) so'rovlari va javoblari quyidagi kabi yoziladi:

src.sport> dst.dport: rx paketli turdagi src.sport> dst.dport: rx paketli xizmat turini qidirish chaqiruvi nomi args src.sport> dst.dport: rx paketli xizmatga javob qaytarish call-name args elvis. 7001> pike.afsfs: rx ma'lumotlar fs chaqirishni qayta nomlash eski fid 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx ma'lumotlar fs javob qaytarish

Birinchi satrda xost-elvis RX-paketini velosipedga jo'natadi. Bu fs (fileserver) xizmatiga RX ma'lumot paketi edi va RPC chaqiruvining boshlanishi. RPC qo'ng'irog'i 536876964/1/1 eski katalog fayli identifikatori va ".newsrc.new" ning eski fayl nomi va 536876964/1/1 yangi katalog fayli identifikatori va yangi fayl nomi bilan qayta nomlangan. yangiliklari. Uy egasi chavandozi qayta nomlash chaqiruviga RPC javobiga javob beradi (muvaffaqiyatli bo'ldi, chunki u ma'lumot paketi emas, abort paketi emas edi).

Umuman olganda, barcha AFS RPCs kamida RPC chaqiruv nomi bilan kodlanadi. Ko'pgina AFS RPC'lerinin eng kamida ba'zi bir argümanlara (odatda faqat "qiziq" argümanlar, ba'zi qiziqarli ta'riflarni aniqlash uchun) ega.

Ushbu format o'z-o'zini ta'riflash uchun mo'ljallangan, ammo AFS va RX ning ishi bilan tanish bo'lmagan odamlar uchun foydali bo'lmaydi.

-v (verbose) bayrog'i ikki marta berilgan bo'lsa, RX chaqiruv identifikatori, chaqiriq raqami, tartib raqami, seriya raqami va RX paketi bayrog'i kabi tasdiqlash paketlari va qo'shimcha sarlavhali ma'lumot yoziladi.

-v belgisi ikki marta berilgan bo'lsa, RX chaqiruv identifikatori, seriya raqami va RX paketi bayrog'i kabi qo'shimcha ma'lumotlar yoziladi. MTU muzokara haqida ma'lumot RX ack paketlaridan ham chop etiladi.

-v belgisi uch marta berilgan bo'lsa, xavfsizlik indeksi va xizmat id raqami yoziladi.

Xotin-kodlar Ubik beacon paketlari bundan mustasno, chunki abort paketlari Ubik protokoli bo'yicha ovoz berish uchun ishlatiladi.

AFS so'rovlari juda katta ekanligiga e'tibor bering va ko'plab dalillarni chop etmaslik kerak, shuning uchun ularni to'ldirish kerak. AFS-trafikni kuzatish uchun " -s 256 " dan foydalaning.

AFS javob paketlari RPC operatsiyasini aniq belgilamaydi. Buning o'rniga, tcpdump "yaqinda" so'rovlarini kuzatib boradi va ularni chaqiriq raqami va xizmat identifikatoridan foydalanib javob beradi. Agar javob tegishli so'rovni diqqat bilan kuzatmasa, u ajralmas bo'lishi mumkin.

KIP Appletalk (UDPdagi UDP)

UDP datagramlarida joylashgan Appletalk DDP paketlari de-kapsüllenmiş va DDP paketlari (ya'ni, barcha UDP sarlavhasi ma'lumotlari bekor qilingan) sifatida tashlab qo'yilgan. File /etc/atalk.names file appletalk net va tugun raqamlarini nomlarga tarjima qilish uchun ishlatiladi. Ushbu fayldagi qatorlar shaklga ega

raqamning nomi 1.254 eter 16.1 icsd-net 1.254.110 ace

Birinchi ikkita satr appletalk tarmoqlarining nomlarini beradi. Uchinchi satr ma'lum bir xostning nomini beradi (uy egasi sonning uchinchi oktetasi bo'yicha tarmoqdan ajralib turadi - aniq sonda ikki oktet bo'lishi kerak va mezbonning sonida uchta oktet bo'lishi kerak ). Raqam va nom alohida ajratilishi kerak. bo'shliqlar (bo'shliqlar yoki yorliqlar). /etc/atalk.names faylida bo'sh satr yoki sharh satrlari bo'lishi mumkin ("#" bilan boshlangan chiziqlar).

Appletalk manzillari quyidagi shaklda yoziladi:

net.host.port 144.1.209.2> icsd-net.112.220 ofis.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Agar /etcatalink.names mavjud bo'lmasa yoki ba'zi bir appletalk host / net raqamiga kirish bo'lmasa, manzillar raqamli shaklda yoziladi.) Birinchi misolda NBP (DDP port 2) aniq 144.1 209 tugmasi 209-gachasi aniq ¢ nd node 112 portining 220-bandini tinglaydigan narsalarga yuboradi. Ikkinchi satr manba tugunining to'liq nomi ("ofis") bilangina bir xil bo'ladi. Uchinchi yo'nalish - bu ISCNNNNNN portida efirga uzatilishi uchun aniq jssmag tugmachasida (239) 235-raqamli pochta orqali yuborish (eslatish manzili (255) hech qanday mezbon raqamga ega bo'lmagan aniq nom bilan ko'rsatilganligini bildiradi) - shuning uchun yaxshi fikr tugun nomlari va aniq nomlarini /etc/atalk.names-da alohida saqlashga ruxsat beradi).

NBP (nomi majburiy protokoli) va ATP (Appletalk protokoli protokoli) paketlari tarkiblari sharhlanadi. Boshqa protokollar protokol nomini (protokol uchun hech qanday ism ro'yxatdan o'tmagan bo'lsa, raqamni) va paketlar hajmini to'ldiradi.

NBP paketlari quyidagi misollarda formatlanadi:

jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-javob 190: "RM1140: LaserWriter @ *" 250 ta ilova -net.112.220: nbp-javob 190: "xavfsizlik: LaserWriter @ *" 186

Birinchi satr aniq icsd-host 112 tomonidan yuborilgan va aniq jssmag-da efirga uzatuvchi laserwriterlar uchun nomlarni qidirish so'rovidir. Qidiruv uchun nbp identifikatori 190. Ikkinchi satr 250-sonli portda ro'yxatdan o'tgan "RM1140" nomli laserwriter manbaiga ega ekanligini aytib, bu spam uchun javobni ko'rsatadi (uning identifikatoriga ega). Jssmag.209. Uchinchi layn - 186-sonli portda ro'yxatga olingan laserwriter "techpit" borligini aytadi.

ATP paket formatlash quyidagi misolda ko'rsatiladi:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3.5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 8 xaftaga qadar ("<0-7> ') so'rash orqali host helios bilan 12266 tranzaktsiyasini boshlaydi. Chiziqning oxiridagi o'nta raqam so'rovda 'userdata' maydonining qiymati hisoblanadi.

Helios 8 512 baytlik paket bilan javob beradi. Tranzaktsiya identifikatoridan so'ng `` raqam: 'jarayoni paketdagi ketma-ketlik raqamini beradi va parensdagi raqam atp nomidan tashqari paketdagi ma'lumotlar miqdoridir. Paket 7 da joylashgan '*' EOM bit o'rnatilganligini bildiradi.

Jssmag.209 keyinchalik 3 va 5-paketlarni qayta yuborishni talab qiladi. Helios ularni qayta jo'natadi, keyin esa jssmag.209 operatsiyani e'lon qiladi. Nihoyat, jssmag.209 keyingi so'rovni ishga tushiradi. So'rov bo'yicha '*' XO ('bir marta') belgilanmaganligini bildiradi.

IP-fragmentatsiya

Fragmented Internet datagrams sifatida chop etiladi

(frag id : hajmi @ ofset +) (frag id : hajmi @ offset )

(Birinchi shakl, ko'proq fragmentlar mavjudligini ko'rsatadi, ikkinchisi, bu oxirgi qismdir.)

Id - fragment id. Hajmi IP-sarlavhasidan tashqari parcha o'lchami (bytes). Offset asl datagramda ushbu qismning ofset (baytda) hisoblanadi.

Parcha ma'lumoti har bir qism uchun chiqariladi. Birinchi qism yuqori darajadagi protokol sarlavhasini o'z ichiga oladi va protokol ma'lumotidan keyin qisqartirilgan ma'lumotlar yoziladi. Birinchidan keyin parchalar yuqori darajadagi protokol sarlavhasini o'z ichiga olmaydi va parchalanma ma'lumotlari manba va manzil manzillaridan keyin chop etiladi. Misol uchun, arizona.edu dan lblrtsg.arpa ga 576 byte datagramlarda ko'rinmaydigan CSNET ulanishi orqali ftp ning bir qismi:

arizona.ftp-data> rtsg.1170 :. 1024: 1332 (308) 1 qozon 4096 (frag 595a: 328 @ 0 +) arizona> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. 1536 yutib oling 2560

Bu yerda bir nechta narsalar bor: Birinchidan, 2-satrdagi manzillar port raqamlarini o'z ichiga olmaydi. Buning sababi, TCP protokoli haqidagi barcha ma'lumotlarning birinchi qismida bo'lishi va keyingi qismlarni bosib chiqarishda port yoki ketma-ketlik raqamlarining nima ekanligini bilmaymiz. Ikkinchidan, birinchi satrda tcp ketma-ketligi ma'lumoti 308 bayt foydalanuvchi ma'lumoti bo'lgani kabi, aslida 512 bayta (birinchi qismda 308 va ikkinchi soniyada 204) bo'lsa, bosiladi. Agar siz ketma-ketlikdagi bo'shliqlarni izlayotgan bo'lsangiz yoki paketlar bilan mos kelmasa, bu sizni aldashadi.

IP-paketli bayroqlar parchalanmaydi, bayroq (DF) bilan belgilanadi.

Vaqt belgilari

Odatiy bo'lib, barcha chiqish chiziqlari vaqt tamg'asi bilan amalga oshiriladi. Vaqt tamg'asi shaklidagi joriy soat vaqti

hh: mm: ss.frac

va yadro soati kabi aniq. Vaqt tamg'asi yadro birinchi marta paketni ko'rgan vaqtni aks ettiradi. Ethernet interfeysi, paketni teldan chiqargan va yadro "yangi paketli" interruptga xizmat ko'rsatgan vaqt oralig'idagi vaqtni hisobga olish uchun hech qanday tashabbusi yo'q.

SHUNINGDEK QARANG

transport (1C), nit (4P), bpf (4), pcap (3)

Muhim: shaxsiy kompyuteringizda buyruq qanday ishlatilishini ko'rish uchun man buyrug'ini ( % man ) ishlating.