Tcpdump - Command Linux - Unix Command

MAGACA

tcpdump - gaadiidka taraafikada shabakad

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F file ]

[ -i interface ] [ -m module ] [ -r file ]

[ -sikarin ] [ -Tifin ] Isticmaal [ -UUUQA ] [[ faylka ]

[ -Si aad: qarsoodi ] [ muujin ]

DESCRIPTION

Tcpdump wuxuu daabacaa madaxyada baakadaha ee shabakada shabakada kuwaas oo u dhigma muujinta dheelitirka. Waxaa sidoo kale lagu dari karaa calanka -w , taasoo keenta in la keydiyo xogta baakidhka faylka falanqaynta dambe, iyo / ama calanka -ka , kaas oo keena inuu ka akhriyo faylka la duubay halkii laga akhrisan lahaa laga bilaabo interface shabakad. Xaaladaha oo dhan, keliya xirmo u dhigma dareenka ayaa lagu baari doonaa tcpdump .

Tcpdump ayaa, haddii aan la socon calanka -c calanka, sii wado baqshiishada illaa inta uu ka gooyo calaamadda SIGINT (samaynta, tusaale ahaan, adigoo qoraya astaamahaaga, calaamada caadiga ah) ama signalka SIGTERM (sida caadiga ah la abuuro dilalka (1) amar); haddii ay la socdaan calanka -c , waxay qaadi doontaa baakooyinka ilaa ay ka gooyaan signal SIGINT ama SIGTINGM ama tiro la mid ah baakidhka la sameeyay.

Marka tcpdump ku dhamaysto baqshadaha qabashada, waxay soo sheegi doonaan tirooyinka:

xirmooyinka '' helay 'filter' '(macnaha tani waxay kuxirantahay OS ah oo aad ku socoto tcpdump , iyo suurta gal ahaan habka OS loo qaabeeyey - haddii shaandho lagu qeexay khadadka taliska, qaar ka mid ah OSes baakadka oo aan loo eegin in ay u dhigmeen farta sifaha, iyo sidoo kale OS-yada waxa ay tirineysaa oo keliya baakidhka lagu sameeyay shaandhada filter-ka iyo in laga baaraandego tcpdump );

baqshiishyada 'hoos udhaca' '(tani waa tirada baakooyinka la tuuray, sababtoo ah la'aanta meel bannaan, oo ay ku xiran tahay habka xirmooyinka baakaysiga ah ee OS-ka kaas oo tcpdump uu soconayo, haddii OS-ga u gudbiyo macluumaadka codsiyada; haddii kale, waxaa loo soo sheegi doonaa sida 0).

Mashruucyada taageeraya signalka SIGINFO, sida BSD-yada intooda badan, waxay soo sheegi doonaan tirooyinka marka la helo calaamadda SIGINFO (soo saarid, tusaale ahaan, qorista 'asalka' '' 'status'), oo sii wadi doona xirmooyinka .

Kumbuyuutarrada akhrinta ee shabakada shabakada waxay u baahan karaan inaad leedahay mudnaan gaar ah:

Under SunOS 3.x ama 4.x leh NIT ama BPF:

Waa inaad akhrido helitaanka / dev / nit ama / dev / bpf * .

Under Solaris leh DLPI:

Waa inaad akhridaa / qori kartaa qalabka adeegga qalabka isweydaarsiga, sida / ub / le . Ugu yaraan qaybo ka mid ah Solaris, si kastaba ha ahaatee, tani maaha mid ku filan in loo oggolaado tcpdump in ay qabato qaabka aan la jeclayn; on versions of Solaris, waa inaad noqotaa asaas, ama tcpdump waa in lagu rakibo setuid si xididka, si ay u qabsadaan habka aan la jecel yahay. Ogsoonow, in badan (laga yaabo) dhamaanba (dhexda oo dhan) interfaces, haddii aadan ku qabin habka aan muqadas ahayn, ma arki doontid wax baakad ah, ka dibna qabashada aan lagu samayn habka aan lagu guulaysan karin ma aha wax faa'iido leh.

Under HP-UX leh DLPI:

Waa inaad noqotaa asaas ama tcpdump waa in lagu rakibo aasaaska loo yaqaan 'root'.

Under IRIX leh snoop:

Waa inaad noqotaa asaas ama tcpdump waa in lagu rakibo aasaaska loo yaqaan 'root'.

Under Linux:

Waa inaad noqotaa asaas ama tcpdump waa in lagu rakibo aasaaska loo yaqaan 'root'.

Under Ultrix iyo Digital UNIX / Tru64 UNIX:

Isticmaal kasta ayaa laga yaabaa inuu qabsado gaadiidka shabakada tcpdump . Si kastaba ha ahaatee, qofna maaha (xataa xitaa super-user) wuxuu ku qabsan karaa qaab muuqaal leh oo ku xiran interfuuse haddii uusan isticmaalin super-macmiilku awood u yeeshay hawlgal aan toos ahayn oo ku xiran interface kaas oo isticmaalaya pfconfig (8), iyo qofna ma isticmaalin (xataa xitaa isticmaalaha super ) waxay qaadi karaan gaadiidka aan qashinka lahayn ee ay heshay ama u soo dirtay mashiinka saaran mooyee mooyee isticmaalaha super-macmiilka ah oo awood u yeeshay hawlgalka kumbuyuutarka oo dhan oo isticmaalaya pfconfig , sidaas awgeed qabsashada baqshiinka ah ee ku xiran interface waxay u badan tahay in loo baahan yahay hab-kicin ama nuqul Hawlgabka qaab-dhismeedka, ama labada habab ee hawlgalka, ayaa laga faa'iideysan karaa interfacekaas.

Sida ku cad BSD:

Waa inaad akhrido helitaanka / dev / bpf * .

Akhrinta faylka la duubay ee kaydka uma baahna mudnaan gaar ah.

OPTIONS

-a

Isku day inaad ku bedesho shabakada iyo cinwaanada warbaahinta ee magacyada.

-c

Kaddib markaad hesho baqshadaha tirada .

-C

Ka hor inta aanad qorin warqad cayriin ah si aad u hesho keyfile, hubi in faylka hadda ka weyn yahay file_size iyo, haddii ay sidaas tahay, xiro kaydinta hadda iyo fur cusub. Savefiles ka dib markii ugu horeysay ee kaydka lagu magacaabo waxaa lagu magacaabaa calanka -w , iyadoo lambar ka dib, laga bilaabo 2aad oo sii socota. Unugyada file_size waa malaayiin byte (1,000,000 bytes, ma 1,048,576 bytes).

-d

Qashin koodhadhka xirmada baakadka isku dhafan ee foomka lagu akhrisan karo bini'aadamka si loo soo saaro istaandarka iyo joojinta.

-dd

Qodobbada xirmada baakadka isku midka ah sida qaybta C barnaamijka.

-ddd

Ku dheji lambarrada xirmooyinka baakadka isku dhafan sida lambarrada jajab tobanle (oo ka horreeya tirinta).

-e

Kusoo xaji xudunta isku-xiraha ee xarig kasta.

-E

Isticmaal algo: qarsoodi ah si aad u qorto baakadaha IPsec ESP. Algorithms waxaa laga yaabaa inay noqoto cbc , 3desb cbc , blowfish-cbc , rc3-cbc , cast128-cbc , ama midna . Qiimaha waa des-cbc . Awoodda lagu fursan karo baakooyinka kaliya ayaa la joogaa haddii tcpdump lagu daro cryptography karti u leh. qarsoodi qoraalka ascii ee furaha sirta ee ESP. Ma qaadan karno qiimaha ikhtiyaarka ah ee ikhtiyaari ah waqtigan. Doorashadu waxay u maleyneysaa RFC2406 ESP, ma aha RFC1827 ESP. Doorashadu waa kaliya udub-u-qaadidda ujeeda, iyo isticmaalka ikhtiyaarkan si qarsoodi ah 'sir ah' ayaa loo niyad jabay. Adigoo soo bandhigaya furaha qarsoodiga IPsec ee qadka taliska waxaad u dhigi kartaa dadka kale, iyada oo loo marayo ps (1) iyo marmarka kale.

-f

Ku dheji cinwaanada internetka ee 'foreign' cariiri ahaan halkii ay ka muuqan lahaayeen calaamad ahaan (ikhtiyaarkan waxaa loogu talagalay inay ku dhacdo khasaare daran maskaxda Sun-yp's server-caadi ahaan inta badan waxaa laga xiraa lambarrada interneetka aan degaanka ahayn).

-F

Isticmaal feylka sida soojeedin loogu talagalay erayga filter. Faahfaahin dheeri ah oo lagu bixiyay khadka taliska ayaa la iska indho-tirayaa.

-i

Dhageyso interface . Haddii aan la sheegin, tcpdump wuxuu raadiyaa liiska nidaamka nidaamka ugu hooseeya ee la isku qaabeeyey oo la isku qaabeeyey (oo laga reebo dib u celinta). Maqnaanshaha ayaa la jebiyey markii la doorto ciyaarta ugu horreysa.

Nidaamyada Linux ee leh 2.2 ama ka dambeeya kernels, dood muran ee '' wax kasta 'waxaa loo isticmaali karaa in lagu qabto baakadaha dhamaanba interfiyeyaasha. Ogsoonow in qabashada 'qalab kasta' aan lagu sameyn doonin habka loola jeedo.

-l

Ku dheji xariiqda stdout. Waana waxtar badan haddii aad rabto inaad aragto xogta intaad qabaneyso. Tusaale ahaan,
`` tcpdump -l | tee 'ama' tcpdump -l> dat & tail -f dat ''.

-m

Ku dhaji sharaxaadda moduleka SMI MIB laga soo qaatay module-ka . Doorashadan waxaa loo isticmaali karaa dhowr jeer si loo isticmaalo dhowr nooc oo MIB ah oo loo geliyo tcpdump .

-n

Ha ku badalin cinwaanada martigelinta magacyada. Tan waxaa loo isticmaali karaa in laga fogaado raadinta DNS.

-nn

Ha u rogin qawaaniinta iyo lambarrada dekadaha iwm.

-N

Ha ku qorin magac domain ee magacyada martida. Tusaale ahaan, haddii aad calaamaddaas siisid, tcpdump ayaa daabacaya 'nic' 'halkii' nic.ddn.mil '.

-O

Ha haadin kumbuyuutarka wax-ku-oolka ah ee ku haboon. Tani waa mid waxtar leh oo keliya haddii aad ka shakisan tahay bug uu ku yareeyo hagaajinta.

-p

Ha dhexgelin habka dhexdhexaadinta. Ogsoonow in interfaceku uu noqon karo mid aan muqaal lahayn sababo kale; Sidaa daraadeed, '-p' looma isticmaali karo sida loo yaqaan 'ether host {local-hw-addr} ama faafinta' ether '.

-q

Dheecaan degdeg ah (aamusnaan). Daabac macluumaadka qawaaniinta yaryar sidaa daraadeed khadadka soo saaruhu waa gaab

-R

Ka qaad baakadaha ESP / AH in lagu saleynayo qeexitaanka hore (RFC1825 ilaa RFC1829). Haddii la cayimay, tcpdump ma daabacayaan goobta ka hortagga replay. Maadaama aysan jirin nidaam qormadeed oo qeexaya ESP / AH qeexida, tcpdump ma cadayan karo qaabka ESP / AH protokedka.

-r

Ka akhri waraaqaha laga soo duubay faylka (kaas oo la abuuray doorashada -w). Istaraatajiyadda caadiga ah waxaa loo isticmaalaa haddii feylku yahay '' - ''.

-S

Daabacaan kalsoonida, halkii ay qaraabo yihiin, nambarada taxanaha TCP.

-s

Snarf bay'adood oo xog ah oo ka timid baakad kasta halkii ay ka badnaan lahayd 68 (oo leh Sunin NIT, ugu yaraan dhab ahaantii 96). 68 baytartu waxay ku filantahay IP, ICMP, TCP iyo UDP, laakiin waxa laga yaabaa in ay soo gudbiyaan macluumaadka qaraarka ee server-yada iyo NFS (eeg hoos). Baakadaha la jaray sababtoo ah sawir xaddidan ayaa lagu soo saarey wax soo saarka '`[| | proto ] '', halkaasoo proto uu yahay magaca heer-kulameedka oo uu ku dhacay qaybta. Ogsoonow in qaadashada sawirro waawayn labaduba waxay kordhiyaan inta ay qaadanayso hannaanka baakadka iyo, si wax-ku-ool ah, hoos u dhigta qadarka baakadka. Tani waxay keeni kartaa baqshiimo in lumo. Waa inaad xaddideysaa nuqul lambarka ugu yar ee soo gudbin doona macluumaadka qawaaniinta aad u daneyneyso. Qoondaynta ilaa 0 waa macnaheedu yahay isticmaalka dhererka loo baahan yahay si loo qaado dhammaan baakooyinka.

-T

Xirmooyinka xoogga la soo doorto " muujin " si loogu fasiro nooca cayiman. Noocyada hadda la yaqaan waa cnfp (Protocol Cisco NetFlow), rpc (Habka Qalabka fog), rtp ( Protocol -ka Codsiyada Real-Time), rtcp (Nidaamka Xakamaynta Codsiyada Real-Time), snmp ), iyo sidoo kale (waxaan u qaybinay Guddi Caddaan ah).

-t

Ha ku daabicin timestamp khadad kasta.

-ka

Daabac taarikhda aan haboonayn ee xarig kasta.

-U

Waxay hoos u dhigtaa mudnaanta aasaasiga ah waxayna beddeshaa aqoonsiga isticmaalaha ee isticmaalaha iyo kooxda Aqoonsiga ee kooxda asaasiga ah ee user .

Ogow! Red Hat Linux si toos ah ayey uga dhigtaa mudnaanta 'user pcap' haddii aan waxba la cayimin.

-ttt

Daabi delta (min-ilbiriqsi) inta u dhaxaysa laynka hadda iyo tan hore ee xariiqda qashinka.

-tttt

Daabac taarikhda dhacdooyinka qaabka ku-meel-gaadhka ah ayaa loo sii marey taariikhda xariiqda qashinka.

-u

Nuqulada NFS-ka ee aan sharciyeysnayn.

-v

(Xoogaa ka sii badan) soo saarid faahfaahsan. Tusaale ahaan, waqtiga lagu noolaanayo, aqoonsiga, dhererka guud iyo xulashooyinka baakadka IP-ga ayaa la daabacaa. Sidoo kale waxay awood u yeelan kartaa hubinta baakadka kale ee baakadka sida hubinta hubinta taliyaha IP iyo ICMP.

-vv

Xitaa wax soo saar dheeri ah. Tusaale ahaan, goobaha dheeraadka ah waxaa laga daabacaa baakadaha jawaabta NFS, iyo baqshadaha SMB si buuxda ayaa loo xalliyaa.

-vvv

Xitaa wax soo saar dheeri ah. Tusaale ahaan, telnet SB ... doorashooyinka SE ayaa la daabacaa oo buuxa. Iyada oo fursadaha- teleefishinka teleefoonada lagu daabaco ayaa sidoo kale lagu daabici karaa hexo.

-w

Qor qashinka cayriin si aad u fayl-gareeyaan halkii aad kala sooc lahayn oo aad daabacan lahayd. Waxay mar dambe la daabici karaa xulashada -r. Wax soo saarka caadiga ah waxaa loo isticmaalaa haddii feylku yahay '' - ''.

-x

Waxaad daabacdaa baqshad kasta (laga jaray heerkiisa xiriiriyaha heerkulka) ee hexaha. Hoos yar oo ka mid ah baakada ama baakadaha bareega ah ayaa la daabici doonaa. Ogsoonow in tani ay tahay baakidh dhamaystiran, sidaas daraadeed loogu talagalay lakabyada isku xira (eg, Ethernet), baalasha baalasha ayaa sidoo kale la daabici doonaa marka bacda sare ee gaaban ay ka gaaban tahay lakabka loo baahan yahay.

-X

Markaad daabaceyso hexa, daabac ascii sidoo kale. Sidaa darteed haddii -x sidoo kale la dhigay, baakidhka waxaa lagu daabacay hex / ascii. Tani waa mid si aad ah u adeegsaneysa falanqaynta nidaamyada cusub. Xitaa haddii -x aan la dhigin, qeybo ka mid ah baakooyinka qaarkood ayaa lagu daabici karaa hex / ascii.

hadal

waxay doortaan baakidhada la tuuri doono. Haddii aan la bixin faahfaahin , dhammaan baakooyinka shabakada waa la daadin doonaa. Haddii kale, baakidh oo kaliya oo muujinaya 'run' waa la daadin doonaa.

Qoraalku wuxuu ka kooban yahay mid ama ka badan oo asal ah. Asaasiyadaha caadiga ah waxay caadi ahaan ka kooban yihiin id (magac ama lambar) oo ka horeeya hal ama dhowr aqoonsi. Waxaa jira saddex nooc oo kala duwan oo isboorti ah:

nooca

Isticmaalayaasha waxay yiraahdaan nooca sheyga magac magan ama lambar ayaa tilmaamaya. Noocyada suurtogalka ah waa marti-geliyaha , netka iyo dekedda . Tusaale ahaan, 'Foo martigeliyaha', 'net 128.3', 'port 20'. Haddii aysan jirin wax qalab ah, martida loo maleynayo.

dir

Isticmaalayaasha ayaa tilmaamaya jiheyn gudbin gaar ah iyo / ama ka yimid id . Tilmaamaha suurogal ah waa src , dst , src ama dst iyo src iyo dst . Tusaale ahaan, 'src foo', 'net' 128.3 ',' src ama dock ftp-data '. Haddii uusan jirin qalabka dirka ah , src ama dst waa loo maleynayaa. Lakabyada 'null' (lakabadda dhibcaha tilmaamaha sida calaamadda) qalabyada soo-galootiga ah iyo kuwa dibedda loo isticmaalo waxaa loo isticmaali karaa inay tilmaamaan jihada la rabo.

proto

isreebreebka ayaa xadidaya ciyaarta si qaas ah. Sawirada suurtagalka ah waa: ether , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp iyo udp . Tusaale ahaan, 'ether src foo', 'net arp 128.3', 'tcp port 21'. Haddii aysan jirin wax qalinjabiye ah, dhammaan hababka loo raaco nooca ayaa la moodaa. Tusaale ahaan, 'src foo' waxaa loola jeedaa '(ip ama arp ama rarp) src foo' (marka laga reebo kan dambe oo aan aheyn mid sharci ah), 'net bar' micnaheedu waa '(ip ama arp ama rarp)' net net 'iyo' dekada 53 ' '(tcp or udp) dekedda 53'.

[fddi] dhab ahaantii waa magac kale oo loo yaqaan 'ether'; Dhexdhexaadiyuhu waxa uu ula dhaqmaa si isku mid ah macnaha macnaha 'xidhiidhka isku-xirka macluumaadka ee loo isticmaalo shabakad isku xiran.' 'FDDI headers waxaa ku jira cinwaanka iyo cinwaanka iwm, badanaaba waxay ku jiraan noocyada baakadka sida Ethernet-ka, sidaa darteed waxaad ku xaddidi kartaa kuwan FDDI sida la mid ah goobaha isku dhafan ee Ethernet. Madaxda FDDI waxay sidoo kale ku jiraan mowduucyo kale, laakiin adigu si toos ah uma magacaabi kartid sharraxaad.

Sidoo kale, 'tr' waa magac kale 'ether'; weedhadii hore ee ku saabsanaa madaxda FDDI waxay sidoo kale khuseeyaan madaxda Token Ring.]

Marka laga soo tago kor ku xusan, waxaa jira ereyo muhiim ah 'erey-celin' ah oo aan ku haboonayn qaabka: albaabka , fiidiyowga , ereyada yar , weyn iyo xisaabta. Dhamaan kuwan waxaa lagu sharxay hoos.

Qodobbada xaddidan oo adag ayaa lagu dhisay iyadoo la adeegsanayo ereyada, ama aan la isku darin asaasiga. Tusaale ahaan, 'foo martigaliya oo ma aha dekedda ftp iyo ma aha ftp-data'. Si loo kaydiyo qorista, liisaska isbarbar-dhigaha ee la mid ah ayaa laga saari karaa. Tusaale ahaan, 'tcp dst port ftp or ftp-data ama domain' waa isku mid ah sida 'tcp dst port ftp ama tcp dst ftp-data ama tcp dst ".

Asalka koowaad ee la oggol yahay waa:

Dst martigeliyaha martida

Xaqiiqo haddii goobta IPv4 / v6 ee goobta baqshigu yahay marti-gelin , taasoo noqon karta cinwaanka ama magaca.

SRC martigeliyaha martigelinta

Xaqiiqo haddii goobta IPv4 / v6 ee baqshadda ay marti u tahay .

martida martigelinta

Run xaqiiqda ah haddii ilaha IPv4 / v6 ama meesha ay ku yaallaan baakidhku waa marti . Mid kasta oo ka mid ah munaasabada martigelinta kor ku xusan waxaa lagu dari karaa ereyada muhiimka ah, ip , arp , rarp ama ip6 sida:

host martida martida

taas oo u dhiganta:

ether proto \ ip iyo martida martida loo yahay

Haddii martiyuhu yahay magac leh cinwaano badan oo IP ah, cinwaan kasta waa la hubin doonaa ciyaarta.

ether dst ehost

Xaqiiji haddii cinwaanka eeriynetka uu yahay ehost . Ehost wuxuu noqon karaa mid ka mid ah / ii / eey ama nambar (fiiri anshaxyada (3N) ee qaabka tirada).

ether src ehost

Xaqiiq haddii cinwaanka ilbixinta ee ethernet yahay ehost .

ether host marti

Xaqiiqo hadduu jiro ilaha ethernet ama cinwaanka calaamaduhu yahay ehost .

martida albaabka

Run waa haddii baakadka loo isticmaalo martigelinta albaabka. Ie, source source ethernet ama cinwaanka calaamadeyntu waxay ahayd marti-gelis laakiin maaha ilaha IP-ga iyo meesha IP-ga ay marti-galisay . Macmiilku waa inuu ahaadaa oo waa in laga helaa mashiinka mashiinka-magaca-IP-cinwaanka farsamooyinka (magaca magaca martida, DNS, NIS, iwm) iyo mashiinka mashiinka-magaca-ilaa-Ethernet habka (iwm / iwm, iwm.). (Hadal u dhigma waa

ether host martigeliya mana marti martigalin

kaas oo loo isticmaali karo magacyo ama lambarro loogu talagalay martigaliyaha / ehost .) Qoraalkani ma shaqaynayo qaabeynta IPv6-karti waqtigan.

shabakad sir ah

Xaqiiq haddii cinwaanka IPv4 / v6 ee baqshadda ay leedahay shabakad shabakadeed oo net ah . Net wuxuu noqon karaa mid ka mid ah / etc / shabakadaha ama lambarka shabakadda (eeg shabakadaha (4) wixii faahfaahin ah).

src net net

Xaqiiq haddii cinwaanka IPv4 / v6 cinwaanka baqshadda ay leedahay shabakad shabakadeed oo net ah .

shabaqa net

Run xaqiiqda ah haddii ilaha IPv4 / v6 ama cinwaanka goobta loo yaqaan 'packet' uu leeyahay shabakad shabakad ah.

netmask shabakad net ah

Xaqiiqo haddii cinwaanka IP-ga uu shabakad ku dhejiyo netmask gaar ah. Waxaa laga yaabaa inuu uqalmo inuu uqalmo src ama dst . Ogsoonow in qoraalkaan uusan ku haboonayn shabakadda IPv6.

net net / len

Xaqiiqo haddii cinwaanka IPv4 / v6 uu shabaqa ku xiran yahay shabakad netmask ah. Waxaa laga yaabaa inuu uqalmo inuu uqalmo src ama dst .

dekedda dekedda

Xaqiiq haddii baqshigu yahay ip / tcp, ip / udp, ip6 / tcp ama ip6 / udp oo leh qiime deked oo ku yaal dekedda . Dukumiintigu waxay noqon kartaa lambar ama magac loo isticmaalo / iwm / adeegyo (eeg tcp (4P) iyo udp (4P)). Haddii magac la isticmaalo, labadaba nambarka dekedda iyo nidaamka waa la hubiyaa. Haddii lambar ama magac aan la cayimin ah loo isticmaalo, kaliya lambarka dekedda waxaa lagu hubiyaa (tusaale ahaan, dekedda 513 ayaa daabacaya tbp / login trafik iyo udp / kuwa gaadiidka, iyo domainka wuxuu daabacayaa labadaba tcp / domain iyo udp / domain).

dekedda src

Xaqiiq haddii baqshadda ay leedahay qiimaha dekedda ee dekadda .

dekadda dekadda

Run xaqiiqa ah haddii mid ka mid ah dekedda ama meesha la geeyo baqshadda waa deked . Mid kasta oo ka mid ah ereyada dekedda kor ku xusan waxaa lagu dari karaa ereyada muhiimka ah, tcp ama udp , sida:

tcp src dekedda dekedda

taas oo la kulma kaliya xirmooyinka tcp ee dekeda ay ka tahay dekadda .

dherer yar

Run ah haddii baakadu leedahay dherer ka yar ama le'eg dhererka . Tani waxay u dhigantaa:

len <= dhererka .

dherer weyn

Run haddii baqshaddu leedahay dherer ka weyn ama le'eg dhererka . Tani waxay u dhigantaa:

len> = dhererka .

IP prototype

Run haddii baakadu ay tahay baakad IP ah (fiiri IP (4P)) habka noocyadda noocyadda noocyadda ah . Protocol waxay noqon kartaa lambar ama mid ka mid ah magacyadooda, icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , ama tcp . Ogsoonow in tifatirayaasha tcp , udp , iyo icmp ay yihiin ereyo muhiim ah, waana in laga baxsadaa dib-u-celinta (\), kaas oo ah \ "C-shell. Ogsoonow in middani asaasiga ahi aysan ka soo horjeesanayn galka qandaraaska madaxa.

Nidaamka IP6 Proto

Xaqiiq haddii baqshadda waa IPv6 baakadka nooca noocyadda noocyadda ah . Ogsoonow in middani asaasiga ahi aysan ka soo horjeesanayn galka qandaraaska madaxa.

Nidaamka IP6 Protochain

Xaqiiq haddii baqshadda waa IPv6 xirmo, oo ay ku jiraan mawduucyada mawduucyada leh habka nooc ee mawduucyada mawduucyada mashiinka ah. Tusaale ahaan,

ip6 protochain 6

wuxuu la mid yahay baakad kasta oo IPv6 ah oo leh hannaanka xadka TCP ee qadka taliyaha guud. Baakada waxay ku jiri kartaa, tusaale ahaan, cinwaanka aqoonsiga, madaxa isdabajooga, ama madax-ka-madax-doorasho doorka-hop-by-hop, oo u dhexeeya madax madaxeedka IPv6 iyo madaxa TCP. Qodobka BPF ee uu soo saaro asalkiisu waa mid adag oo aan lagu farsamayn karin xeerka ugu wanaagsan ee BPF ee tcpdump , markaa taasi waxay noqon kartaa mid gaabis ah.

IP prototype

Isku mid ahaanshaha nidaamka IP6 protochain , laakiin tani waa IPv4.

warbaahinta

Xaqiiq haddii baqshadda ay tahay baakad warbaahineed oo ethernet ah. Ereyga muhiimka ah ee loo yaqaan ' ether key' waa ikhtiyaari.

Raadinta IP

Xaqiiq haddii baqshadda waa baakad IP ah. Waxay hubineysaa labadaba dhammaan eber-ka iyo dhammaanba kuwa ay ku wada hadlaan, waxayna eegayaan maaskarada hoose ee degaanka.

ether multicast

Xaqiiq haddii baqshadda ay tahay baako badan oo ethernet ah. Ereyga muhiimka ah ee loo yaqaan ' ether key' waa ikhtiyaari. Tani waxay u muuqataa ' ether [0] & 1! = 0 '.

Multicast IP

Xaqiiq haddii baqshadda waa baakad IP ah oo badan.

badanaa IP6

Xaqiiq haddii baqshadda waa baako xiran IPv6.

habka kor u kaca

Xaqiiq haddii baqshadda ay tahay nooca qoraalka ah ee ether. Protocol waxay noqon kartaa lambar ama mid ka mid ah magacyada ip , ip6 , arp , rarp , atcal , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx ama netbeui . Xasuusnow aqoonsiyahan sidoo kale waa erayo muhiim ah oo waa in laga baxsado dib-u-celinta (\).

Xaaladda FDDI (tusaale ahaan, habka fddi arp ') iyo Token Ring (tusaale ahaan, qawaaniinta ' arp '), inta badan sharciyadan, aqoonsiga qaynuunka wuxuu ka yimid 802.2 Head of Control Link (LLC) waxaa badanaa lagu rakibay dhinaca sare ee madaxa FDDI ama Token Ring.

Marka la xareeyo badi tilmaamayaasha qormooyinka FDDI ama Token Ring, tcpdump waxay hubiyaan keliya goobta aqoonsiga qadka ah ee shirkadda LLC ee qaabka SNAP ee leh Aqoonsi Qaybeedka Ururka (OUI) ee 0x000000, si loo xareeyo Ethernet; ma hubin in baakadka uu ku jiro qaab SNAP oo leh OUI 0x000000.

Waxyaabaha laga reebo waa iso , taas oo ka baaraandegeysa DSAP (Adeegga Goobta Helitaanka Adeegga) iyo goobaha SSAP (Xarunta Adeegga ee Helitaanka Adeegga) ee Head of LLC, stp iyo netbeui , halkaas oo ay ku hubinayso DSAP madaxa Head of LLC, jeegaga koobiga SNAP-qaabka leh OUI of 0x080007 iyo nooca Appletalk.

Xaaladda Ethernet, tcpdump wuxuu hubiyaa bedka nooca Ethernet ee inta badan hababkaas; marka laga reebo waa iso , sap , iyo netbeui , taas oo ay ku hubinayso 802.3 shey oo ka dibna eegaya madaxa JSL sida uu u sameeyo FDDI iyo Token Ring, marka ay eegto labadaba Nidaamka Appletalk ee qaabka Ethernet iyo SNAP-style packet sida uu u sameeyo FDDI iyo Token Ring, aarp , halkaas oo ay ku hubinayso Appletalk ARP oo ah qaabka Ethernet ama 802.2 SNAP oo leh OUI oo ah 0x000000, iyo ipx , halkaasoo uu eegayo IPX nooca nidaam Ethernet ah, IPX DSAP ee madaxa Head of LLC, 802.3 oo leh xarig madaxbanaan oo xarig ah IPX, iyo IPX qaabka ku jira qaabka SNAP.]

snet host

Xaqiiji haddii cinwaanka ilaha DECNET uu yahay marti , taas oo ah cinwaanka foomka '10.123', ama magaca DECNET martida. [Taageerada magaca magaca DECNET waxaa kaliya oo laga heli karaa nidaamka Ultrix ee loo qoondeeyey in lagu maamulo DECNET.]

snet dst host

Xaqiiji haddii cinwaanka goobta DECNET ay martigelineyso .

martigeliyaha martida

Xaqiiqo hadduu jiro ilaha DECNET ama cinwaanka calaamadgu waa marti-gelin .

ip , ip6 , arp , rarp , atalku , aarp , decnet , iso , stp , ipx , netbeui

Soo gaabinta:

ether proto p

halkaasoo p uu yahay mid ka mid ah qawaaniinta kor ku xusan.

lat , moprc , mopdl

Soo gaabinta:

ether proto p

halkaasoo p uu yahay mid ka mid ah qawaaniinta kor ku xusan. Ogsoonow in tcpdump uusan hadda ogeyn sida loo kala saaro nidaamyadan.

vlan [vlan_id]

Xaqiiq haddii baqshadda waa baakadka ILAN 802.1Q VLAN. Haddii [vlan_id] la cayimay, kaliya run waa baakidhku leeyahay vlan_id qeexan. Ogow in erayga muhiimka ah ee la soo bandhigay ee is-beddelka uu isbeddelayo bakhtiinta dhererka inta ka dhiman ee muujinaysa in baakadka uu yahay baakad VLAN.

tcp , udp , icmp

Soo gaabinta:

ip proto p ama ip6 proto p

halkaasoo p uu yahay mid ka mid ah qawaaniinta kor ku xusan.

Ismaandheynta isoosto

Xaqiiq haddii baqshadda waa baakad OSI ah ee habka noocyadda noocyadda noocyadda ah . Protocol waxay noqon kartaa lambar ama mid ka mid ah magaca clnp , esis , ama isis .

clnp , esis , isis

Soo gaabinta:

iso proto p

halkaasoo p uu yahay mid ka mid ah qawaaniinta kor ku xusan. Ogsoonow in tcpdump uu sameeyo shaqo aan dhammeystirneyn oo lagu dhejinayo nidaamyadan.

Dib-u-riix

Xaqiiqada hadduu xiriirku haysto, halkaasoo ay ka mid tahay>>, <,> =, <=, =,! =, Iyo exprint waa taxadar xisaabeed oo ka kooban duruus joogto ah (oo lagu qeexay heerka C syntax) , -, *, /, &, |], shaqaale dherer ah, iyo helitaanka macluumaadka baakadka ee khaaska ah. Si aad u hesho xogta ku jirta baakadka, isticmaal eraygan soo socda:

proto [ qiyaasta : cabbirka ]

Proto waa mid ka mid ah ether, fddi, tr, ppp, rikoodh, isku xirka, ip, arp, rarp, tcp, udp, icmp ama ip6 , waxayna muujinayaan lakabka mareegga hawlgalka index. ( ether, fddi, tr, ppp, dhejinta iyo iskuxirid dhammaantood tixraacida lakabka isku xidha.) Ogsoonow in tcp, udp iyo noocyada kale ee kore ee daboolka sare ee khuseeya IPv4, ma aha IPv6 (tani waa la go'aamin doonaa mustaqbalka). Bakhshiinka xajmiga ah, ee ku xiran lakabyada la soo bandhigay, ayaa la bixiyaa. Cabbirku waa mid ikhtiyaari ah oo muujinaya tirada xaafadaha duurka ee danta; waxay noqon kartaa mid, laba, ama afar, iyo mid la mid ah. Shaqaalaha dhererka, oo lagu tilmaamayo leyliga muhiimka ah, wuxuu siinayaa dhererka baakadka.

Tusaale ahaan, ' ether [0] & 1! = 0 ' wuxuu qabtaa dhamaan taraafikada badan. Fikradda ' ip [0] & 0xf! = 5 ' wuxuu ku xiraa dhammaan baakadaha IP-ga ee xulashooyinka. Fikradda ' ip [6: 2] & 0x1fff = 0 ' waxay qabtaa oo kaliya datagrams oo aan kala go 'lahayn oo kala jajaban eber kala duwanaansho kala duwan. Jeeggan waxaa si toos ah loogu dabaqayaa hawlaha tcp iyo udp . Tusaale ahaan, tcp [0] had iyo jeer macneheedu waa marjaca ugu horeeya ee madaxa hoose ee TCP, oo waligiisna micnaheedu maaha inuu yahay qaybta ugu horeysa ee qayb ka mid ah isdhexgalka.

Qaar ka mid ah jibaarista iyo qiimaha beeraha waxaa lagu sheegi karaa magacyada halkii ay ka dhigan yihiin qiimaha tirooyinka. Goobaha soo socda ee mawduucyada hoos ku xusan waxaa laga heli karaa: icmptype (field type ICMP), icmpcode (garoonka code ICMP), iyo tcpflags (calaamadaha TCP).

Qodobbada hoos ku xusan ee ICMP waa la heli karaa: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -waxbarashada , jimicsiga , jimicsiga , jimicsiga-maskreq , icmp-maskreply .

Qodobbada soo socda ee TCP calaamadaha waxaa laga helaa: Tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp-urg .

Primitives waa la isku dari karaa iyadoo la isticmaalayo:

Koox waalid ah oo ka kooban koorsooyinka aasaasiga ah iyo shaqaaleeyayaasha (qudaarta ayaa gaar u ah Shell waana in laga baxsadaa).

Diidmo (' ! ' Ama ' ma ').

Kala hadal (' & & ' ama ' iyo ').

Kala beddelasho (' ||| ama ').

Diidmo ayaa ugu sareysa mudnaanta. Kala beddelidda iyo isku-dhafka ayaa leh isla mudnaanta koowaad iyo qofka iskaa wax u qabso. Ogsoonow in caddaynta iyo calaamadaha, ee aan loo baahnayn, ayaa hadda loo baahan yahay in lagu soo afjaro.

Haddii aqoonsi la bixiyo iyada oo aan la helin ereyga muhiimka ah, ereyga ugu muhiimsan ee la soo dhaafay ayaa la aaminsan yahay. Tusaale ahaan,

ma aha martigaliyaha iyo ace

waa gaaban yahay

ma ahan marti-gelin iyo marti-gelin

oo aan lagu qasbin

ma aha (martigeliyaha ama ace)

Doodaha faahfaahinta waxaa loo gudbin karaa tcpdump midkiiba hal dood ama sida doodo badan, hadba midka ku habboon. Guud ahaan, haddii muujinta qoraalka Shell, waa sahlan tahay in loo gudbiyo sida hal muran la soo xigtay. Doodwooyin badan ayaa la isugu keenaa meelaha bannaan ka hor inta aan la daboolin.

Tusaalooyin

Si aad u daabacdo dhammaan baakadaha ay imanayaan ama ka baxayaan daboollada :

tcpdump martida aqalka

Si aad u daabacdo gaadiidka u dhaxeeya helitaanka iyo kulul ama qandho :

tcpdump martida aqalka iyo \ (hot or ace \)

Si aad u daabacdo dhammaan baakadaha IP ah ee u dhexeeya xayiraadda iyo martida kasta marka laga reebo helitaanka :

tcpdump ip qalab martigelin oo aan helin

Si aad u daabacdo dhammaan taraafikada udhaxeysa marti geliyayaasha iyo martigeliyaha Berkeley:

tcpdump shabakad-ether

Si aad u daabacdo dhamaan fareeraha fu- viidka adigoo maraya shabakadda interneetka: (xusuusnow in ereyga la soo xiganayo si looga hortago qolofka (mis-) fasiraadda kaararka):

tcpdump 'gateway gateway iyo (dekedda ftp ama ftp-data)'

Si aad u daabacdo taraafikada aanad ka helin marti-geliyeyaasha maxalliga ah (haddii aad gateway ku leedahay shabakad kale, walxadan waa inaanay ku dhejin net-kaaga).

tcpdump ip iyo ma shabakad shabaqa ah

Si aad u daabacdo xirmooyinka bilowga iyo dhammaadka (xirmooyinka SYN iyo FIN) ee wada-hadallada kasta ee TCP oo ku lug leh marti aan degaan ahayn.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 oo ma aha src iyo dst netnet net ah '

Si aad u daabacdo baakadaha IP-ka ee ka badan 576 bytes oo loo soo diray gawaarida albaabka:

tcpdump 'gateway gateway iyo ip [2: 2]> 576'

Si aad u daabacdo warbaahinta IP-ga ama xirmooyinka faro-gelinta ah ee aan la soo dirin iyada oo loo marayo warbaahinta ethernet ama faro badan:

tcpdump 'ether [0] & 1 = 0 iyo ip [16]> = 224'

Si aad u daabacato dhammaan baakadaha ICMP ee aan ahayn codsiyada codsiyada / jawaabaha (ie, ma aha baakadaha ping):

tcpdump 'icmp [icmptype]! = icmp-echo iyo icmp [icmptype]! = icmp-echoreply'

FASAXA SHARCI AH

Soo saarida tcpdump waa habka ku-xiran. Waxyaabaha soo socda ayaa ku siinaya sharaxaad kooban iyo tusaalooyinka qaababka badankooda.

Heerka Xiriiriyaha Xiriirka

Haddii 'optional' option, 'header level' waa la daabacaa. Sida ku qoran dariiqooyinka, cinwaanka iyo cinwaanka goobta, qaanuunka, iyo dhererka baakidhka ayaa la daabacaa.

Shabakadaha FDDI, '-e' ayaa doorbidaya tcpdump si ay u daabacaan 'xakamaynta maskaxda', cinwaanka iyo cinwaanada meesha, iyo dhererka baakadka. (Nidaamka 'Frame Control' wuxuu maamulaa tarjumaadda inta ka harsan baakadahaan. Baakadaha caadiga ah (sida kuwa ku jira datagrams) waa 'async', oo leh qiime muhiim ah inta u dhexeysa 0 iyo 7, tusaale ahaan ' async4 '. baakooyinka waxaa loo maleynayaa in ay ku jiraan baakad 802.2 oo xirmo ah (Control Log Link) (LLC), madaxa LLC waa la daabacaa haddii aaney ahayn ISO datagram ama wax la yiraahdo SNAP.

Shabakada Token Ring, '-e' ayaa doorbidaya tcpdump si ay u daabacaan 'xakamaynta xadka' iyo 'frame frame', cinwaanka iyo cinwaanka, iyo dhererka xirmooyinka. Sida shabakadaha FDDI, baakooyinka waxaa loo maleynayaa inay ku jiraan baakidh bir LLC ah. Iyadoo aan loo eegin haddii 'option' -ka 'ama' aan la cayimin, macluumaadka habka isdabajoogga ah ayaa lagu daabacaa baakadaha la soo gudbiyey.

(NB: Sharraxaadda soo socota waxay u maleyneysaa in ay la socoto algorithm qalabka isweydaarsiga ee lagu sharaxay RFC-1144.)

Xiriirada SLIP, tilmaame tilmaamaya ('I' 'ee soo socda,' 'O' 'ee dibadda), nooca baakadka, iyo faafinta macluumaadka ayaa la daabacaa. Nooca baakadka waxaa la daabacaa marka hore. Saddexda nooc waa ip , utcp , iyo ctcp . Ma jiro macluumaad kale oo isku xiran oo lagu daabaco baakadaha IP . Wixii xirmo ah ee TCP, aqoonsiga isku xirka waxaa lagu daabacayaa nooca. Haddii baakidhka la xakameynayo, madaxiisa sirta ah ayaa la daabacaa. Kiisaska gaarka ah waxaa lagu daabacaa sida * S + n iyo * SA + n , halkaasoo n uu yahay caddadka nambarka xigga (ama nambarka xajmiga iyo cirbadda) isbeddelay. Haddii aysan ahayn kiis gaar ah, eber ama isbadelo badan ayaa la daabacaa. Isbeddelka waxaa lagu muujiyey U (heesaha deg dega ah), W (daaqada), A (ack), S (tirade), iyo I (baakadka baakadka), oo ay ku xigto delta (+ n ama -n), ama qiime cusub (= n). Ugu dambeyntii, xaddiga xogta ku jirta baakadka iyo dhererka dhererka la jaray ayaa la daabacaa.

Tusaale ahaan, xariiqda soo socota waxay muujinaysaa baqshadda TCP ee la isku dhejiyey, oo leh aqoonsi aan toos ahayn; ayaa loo badalay 6, lambarka tirakoobka 49, iyo aqoonsiga baakadka ee 6; waxaa jira 3 byte oo xog ah iyo 6 bytes oo madax madax adag:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP Packets

Natiijada Arp / rarp waxay muujinaysaa nooca codsiga iyo doodahiisa. Nidaamka waxaa loola jeedaa inuu yahay sharraxaad iswaydaarsan. Halkan waxaa ah sambal gaaban oo laga soo bilaabo bilawga ' rlogin ' laga bilaabo rtsg martida loo diro :

Arp yaa-wuxuu inoo sheegayaa inuu jawaab ka bixinayo jawaab-celinta CSAM

Khadadka ugu horeeya ayaa sheegaya in rtsg u soo dirtay baakad arp weydiisanaya cinwaanka ethernet ee kooxda martida internetka. Csam ayaa jawaabta cinwaanka ethernet (tusaale ahaan, cinwaanada ethernet waxay ku jiraan khadadka iyo cinwaanada internetka ee kiiska hoose).

Tani waxay u egtahay in ay yaraato dib udhig haddii aan sameynay tcpdump -n :

Arp oo leh 128.3.254.6 waxay u sheegaan 128.3.254.68 arp jawaab 128.3.254.6 waa at 02: 00: 01: 00: 01:

Haddii aan sameynay tcpdump -e , xaqiiqda ah in baakadka ugu horeeya la baahiyo iyo kan labaadna waa dhibcaha illaa laga arki karo:

RTSG Daabacaadda 0806 64: Arp yaa dhihi karaa raxii CSAM RTSG 0806 64: jawaab celcelis ah waa CSAM

Gundhigga ugu horeeya ee tani waxay sheegeysaa in cinwaanka ilbixinta ee ethernet uu yahay RTSG, halku waa meesha cinwaanka loo yaqaan 'ethernet broadcast', nooca nooca ah ee ku yaala 0806 (nooca ETHER_ARP) oo dhererkeedu wuxuu ahaa 64 bytes.

Xirmooyinka TCP

(NB: Sharaxaadadan soo socota waxay u maleyneysaa in uu yaqaano nidaamka TCP ee lagu qeexay RFC-793. Haddii aadan aqoon u lahayn qawaaniinta, sharraxaadkan ama tcpdump kuma isticmaali doono wax badan.)

Habka guud ee khadka tcp waa:

src> dst: calaamadaha xogta-seqno ack doorashooyinka degdega ah

Src iyo dst waa cinwaanka IP addresses iyo dekadaha. Calanku waa isku dhaf ah S (SYN), F (FIN), P (PUSH) ama R (RST) ama hal ' (maaha calamo). Xogta-seqno wuxuu sharxayaa qaybta meel bannaan oo ku daboolan xogta ku jirta xirmadan (fiiri tusaalaha hoose). Ack waa tiro is xig xigta xogta soo socota ee la filayay in jihada kale ee xidhiidhkan la xidhiidha. Daaqada ayaa ah tirada xayndaab ee helitaanka meel bannaan oo la heli karo jihada kale ee xidhiidhkan. Urgadu waxay muujinaysaa inay jiraan 'xog deg deg ah' oo ku jirta baakadka. Xulashooyinka waa ikhtiyaarada tcp oo ku xiran barxad xagal (sida, ).

Src, dst iyo flags had iyo jeer waa joogaan. Meelaha kale waxay ku xiran yihiin waxyaabaha ku jira baakadka tcp ee baakadka ee baakadka iyo waxaa la soo saaraa kaliya haddii ay habboon tahay.

Halkan waa qayb furan oo roogin ah oo ka imanaya rtsg martida loo martigelinayo.

rtsg.1023> csam.login: S 768512: 768512 (0) ku guuleysta 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 ku guuleysatay 4096 rtsg.1023> csam. soo gal:. 1) Ku guuleysta 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 guuleysi 4096 csam.login> rtsg.1023:. 2 2 3 4 5 6 7 8 9 10 13 13 13 13 13 13 13 13 13 13 14 168 403 csam.login> rsg.login> rtsg.1023: P 2: 3 (1) ack 21 guuleysatay 4077 oo degdeg ah 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 guusha 4077 ku celin 1

Khadadka ugu horeeya ayaa sheegaya in dekedda Tcp 1023 ee rtsg ay u dirtay baakad si ay u galaan dekedda. S waxay muujinaysaa in calanka SYN la dhigay. Nambarka isdabajka baakadka wuxuu ahaa 768512 oo wax xog ah kuma jiraan. (Calaamaduhu waa 'ugu dambeyn' (ugu dambeyn '' nambarka ') taas oo macnaheedu yahay' tirooyinka taxanaha ugu horreeya illaa inta ugu dambeysa oo ay tahay numbaska caanaha xogta isticmaalaha '.) Ma jirin wax aad u taageersan, daaqada la heli karo waxay ahayd 4096 bytes iyo waxaa jiray doorasho xajmi ah oo kala duwan oo codsi ah oo ku saabsan 1024 bytes.

Csam ayaa ka jawaabeysa xirmo isku mid ah marka laga reebo ay ku jirto dareenka dillaacsan ee loo yaqaan 'rtsg' SYN. Rtsg ka dibna waraaqaha SYN. '.' macnaheedu maaha calan lahayn. Baqshaduhu ma jiraan macluumaad aan jirin si aanay u jirin lambarka xogta. Ogsoonow in lambarka tirakoobkani uu yahay mid yar (1). Marka ugu horeysa tcpdump waxay arkeysaa tcp 'wada sheekeysi', waxay daabacdaa nambarka xajinta ee baakadka. Boggaga dambe ee wada sheekeysiga, farqiga u dhexeeya nambarka xirmooyinka baakada ee hadda iyo lambarka taxanahan hore ayaa la daabacaa. Tani waxay ka dhigan tahay in tirooyinka isdaba jooga ah ee kowaad ka dib loo turjumi karo sida jumladaha qowmiyadaha ku jira ee macluumaadka akhbaarta sheekada (oo leh xogta ugu horeysa ee jihada ay tahay '1'). '-S' ayaa ka saari doona tilmaankan, taasoo keenta tirooyinka asalka ah ee asalka ah.

Qeybta 6-aad, rtsg waxay soo dirtaa 19-byte xog ah (bytes 2 illaa 20 ee rtsg -> dhinaca mid ah wada hadalka). Calanka PUSH ayaa ku qoran baakadka. Qeybta 7-aad, waxay sheegaysaa in xogta la soo diray ay soo dirtay rtsg ilaa laakiin aysan ku jirin barta 21. Inta badan xogtaasi waxay u muuqataa inay ku fadhidoonayso baqshi'aanta tan iyo markii la helo daaqadda ay heshay 19 baas oo yaryar. Csam ayaa sidoo kale u soo diri doonta hal xog ah oo xog ah oo ku saabsan baqshaddaan. Qeybaha 8-aad iyo 9-aad, saldhigga wuxuu u diraa laba byte oo degdeg ah, riixg ah xogta riixg.

Haddii shaashadda yar tahay mid ku filan in tcpdump uusan qabin madaxa guud ee TCP, waxa uu turjumayaa inta badan madaxa marka uu awoodo iyo ka dibna wargaliyo `` | tcp ] '' si loo tilmaamo inta ka hadhay lama fasiri karo. Haddii madaxu ku jiro xulasho bogus ah (mid leh dherer ka yar midka ka baxsan ama ka dambeeya dhamaadka madaxa), tcpdump wuxuu u sheegayaa inuu yahay '[[ opt ] xun ' 'mana uusan tarjumeynin doorashooyin kale (maadaama aysan suurtagal ahayn in la sheego meesha ay bilaabayaan). Haddii dhererka madaxu uu muujiyo ikhtiyaarrada ay joogaan, laakiin dhererka IP-da ee dhererka ma'aha waqti dheer oo ah fursadaha dhabta ah ee ay joogaan, tcpdump wuxuu u soo gudbiyaa sida 'ah [ length of hdr length ]' '.

Qabashada baakadaha TCP leh shaxan gaar ah (SYN-ACK, URG-ACK, iwm.)

Waxaa jira 8 xabbo qaybta xakamaynta xukunka ee cinwaanka TCP:

CWR | ECE | URG | ACK | PSH | RST | SYN | FIN

Aan u maleyno in aan rabno inaanu fiirino baakadaha loo isticmaalo sameynta xiriirka TCP. Xusuusto in TCP ay adeegsanayso nidaamka 3-haboon ee wada-xaajoodka marka uu bilaabo xiriir cusub; taxanaha xiriirka ee la xiriira xakamaynta TCP xakamaynta waa

1) Wicitaanku wuxuu dirayaa SYN

2) Qofka qaata wuxuu ka jawaabayaa SYN, ACK

3) Soo wacuhu wuxuu u diraa ACK

Hadda waxaan daneyneynaa inaan qabsano baqshiinka oo kaliya haysta SYN-ga kaliya (Tallaabo 1). Ogsoonow inaanaan rabin baakadaha laga bilaabo Tallaabada 2-aad (SYN-ACK), kaliya SYN. Waxa aan ubaahanahay waa sifo sax ah oo loogu talagalay tcpdump .

Xusuuso qaabka hogaanka TCP iyada oo aan la kala dooran:

0 15 31 ----------------------------------- ------------------ | dekedda | dekedda u socota | ---------------------------------- --------------- | nambarka xajmiga | ---------------------------------- --------------- | lambarka aqoonsiga | ---------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | size window | ---------------------------------- --------------- | Hubinta TCP Tilmaamaha degdega ah | ---------------------------------- ---------------

Madaxa TCP wuxuu caadi ahaan haystaa 20 octets of data, haddii aan doorasho jirin. Qeybta koowaad ee garaafka waxaa ku jira makiinada 0 - 3, khadka labaad wuxuu muujinayaa qadaadiicda 4 - 7 iwm.

Laga bilaabo tirinta 0, xakamaynta xakamaynta TCP ee ku habboon waxay ku jiraan mowjadaha 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | size window | ---------------- | --------------- | --------------- | - --------------- | | 13th octet | | |

Aan u eegno aragti dheer octet no. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

Kuwani waa xakamaynta xakamaynta TCP ee aan xiiseyneyno. Waxaan ku tirinnay qoryaha sidan ooga horeeya ee 0 ilaa 7, xaq u leh bidix, sidaa daraadeed PSH yara waa lambar 3, halka URG uu yahay lambarka 5.

Xusuusto in aan rabno inaan qabano baakidhka kaliya ee SYN. Aynu aragno waxa dhacaya octet 13 haddii xogta TCP ay la timaado calaamadda SYN-ga ee ku jirta cinwaanka:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Ka eeg qaybta xakamaynta xakamaynta ee aan aragno in tiro kaliya 1 (SYN) la dhigay.

Isagoo u maleynaya in nambarka octet 13 uu yahay qadarka 8-ka gaaban ee nidaamka byte, nidaamka ikhtiyaarka ah ee octet this waa

00000010

iyo matalaadda jajab tobanle waa

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

Waxaan ku dhowaaneynaa, sababtoo ah hadda waxaan ognahay haddii kaliya SYN la dejiyo, qiimaha ah 13th oktoobe ee cinwaanka TCP, marka loo tarjumo qadarka 8-ka gaaban ee nidaamka byte order, waa inay noqdaan 2 dhab ah.

Xiriirkani waxaa loo qeexi karaa sida

tcp [13] == 2

Waxaan u isticmaali karnaa ereygan sida shaandhada tcpdump si aad u daawato baakadaha kuwaas oo leh SYN keliya:

tcpdump -i xl0 tcp [13] == 2

Qoraalku wuxuu yiraahdaa "ha ahaado octet 13th of jadwalka TCP waxay leeyihiin qiimaha jajab tobanle 2", taas oo ah waxa aan rabno.

Hadda, ha u maleyno in aan u baahannahay inaan qabanno xirmooyinka SYN, laakiin ma dareemeyno haddii ACK ama wax kale oo xakameynaya TCP kale ay isku mid yihiin. Aan aragno waxa dhacaya octet 13 marka TCP ay ku qorantahay calaamadda SYN-ACK:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

Hadda xalka 1 iyo 4 ayaa la dhigaa 13th okt. Qiimaha ikhtiyaariga ah ee octet 13 waa

00010010

kaas oo u turjumaya tobanle

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

Hadda ma isticmaali karno 'tcp [13] == 18' ee tifaftiraha filimka tcpdump , sababtoo ah waxay dooran kartaa keliya xirmooyinkaas oo leh SYN-ACK, laakiin maaha kuwa keliya ee SYN. Xasuuso inaanaan ka taxadarin haddii ACK ama wax kale oo xakameyn ah oo la dejiyo ilaa la dejiyo SYN.

Si aan u gaarno hadafkayaga, waxaan u baahanahay inaan si macquul ah IYO qiimaha ikhtiyaariga ah ee octet 13 leh qiime kale si loo ilaaliyo SYN. Waxaan ognahay in aan rabno SYN in la dejiyo xaalad kasta, sidaa darteed waxaan caqli ahaan u noqon doonaa IYO qiimaha ku jira 13th oktooalka leh qiimaha binary ee SYN:

00010010 SYN-ACK 00000010 SYN AND 00000010 (waxaan dooneynaa SYN) iyo 00000010 (waxaan rabnaa SYN) -------- -------- = 00000010 = 00000010

Waxaan aragnaa in Tani iyo hawlgalku ay bixiyaan natiijo isku mid ah iyada oo aan loo eegeyn haddii ACK ama qadar kale oo kontoroolka TCP loo dhigay. Jaantuska tobanle ah ee IYO qiimaha iyo natiijada hawlgalkaan waa 2 (binary 00000010), sidaa darteed waxaan ognahay in baakidhada SYN ay samaysay xiriirka soo socda waa inay saxaan:

(qiimaha miyuusar 13) IYO (2)) == (2)

Tani waxay ina tuseysaa tcpdump filter

tcpdump -i xl0 'tcp [13] & 2 == 2'

Ogsoonow in aad isticmaasho xigasho kali ah ama gadaal qalooc ah oo muujinaaya si aad u qarisaan IYO ('&') dabeecad gaar ah oo ka timaada qolofka.

UDP Packets

Nidaamka UDP waxaa lagu muujiyey khariidadan:

actinide.who> broadcast.who: udp 84

Tani waxay sheegaysaa in dekedda ku taala firfircoonida martigelinta ay u dirtay dekedda dekedda oo ah dekedda ku jirta warbaahinta martigelinta, cinwaanka internetka ee faafinta. Baakada waxaa ku jira 84 bytes xogta user.

Qaar ka mid ah adeegyada UDP waa la aqoonsan yahay (laga bilaabo nambarka dekedda ama goobta dekeda) iyo macluumaadka qawaaniinta sare ee daabacan. Gaar ahaan, Codsiyada adeega Domain Name (RFC-1034/1035) iyo Sun RPC waxay ugu yeeraan (RFC-1050) NFS.

Codsiyada Server UDP

(NB: Sharraxaadda soo socota waxay u maleyneysaa in uu yaqaano adeegga Domain Service ee lagu qeexay RFC-1035. Haddii aadan aqoon u lahayn qawaaniinta, sharaxaadahan soo socda ayaa u muuqan doona in lagu qoro Giriigga.)

Magaca magaca codsiyada ayaa loo qaabeeyey

src> dst: id op? calanka qtype magaca qclass (len) h2opolo.1538> helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

Host h2opolo ayaa weydiistay server domain on helitaanka diiwaanka cinwaanka (qtype = A) la xidhiidha magaca ucbvax.berkeley.edu. Su'aalaha weydiinta waxay ahayd '3'. '+' Ayaa tilmaamaya calanka la rabo in la helo . Dhererka su'aaluhu wuxuu ahaa 37 bytes, oo aanay ku jirin cinwaanka UDP iyo IP. Hawlgalka qarsoodiga ahaa mid caadi ah, Weydiin , sidaas darteed garoonka laga saaray ayaa laga saaray. Haddii ay cadeeyeen wax kale, waxaa lagu daabici lahaa '3' iyo '+'. Sidoo kale, qclass wuxuu ahaa mid caadi ah, C_IN , oo laga saaray. Qclass kale oo dhan waa la daabacin lahaa isla markiiba ka dib 'A'.

Dhibaatooyin dhowr ah ayaa la baari doonaa waxana laga yaabaa in ay keenaan goobo dheeraad ah oo kuxiran marinka jajabka: Haddii su'aal ka kooban tahay jawaab, diiwaanka maamulka ama qaybta diiwaangelinta dheeraadka ah, xisaabinta , nscount , ama xisaabinta waxaa lagu daabacaa '[a]], [n ] ama '[au]' halkaasoo n uu yahay tirinta ku habboon. Haddii mid ka mid ah qodobada jawaabta la dhigo (AA, RA ama rcode) ama mid kasta oo ka mid ah 'waa eber' 'waxaa loo dhigaa baytari laba iyo saddex,' [b2 & 3 = x ] 'ayaa la daabacaa, halkaasoo x uu yahay qiimaha gadaashooda laba iyo saddex.

UDP Magaca Wargalinta Xafiiska

Magaca jawaabaha jawaabaha waxaa loo qaabeeyey sida

src> dst: id ah rikoorada nalalka a / n / au ee macluumaadka class (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

Tusaale ahaan, helosku wuxuu ka jawaabayaa weydiinta id 3 laga soo bilaabo h2opolo 3 diiwaanka jawaabta, 3 diiwaanka serverka iyo 7 diiwangal oo dheeraad ah. Diiwaanka jawaabta koowaad waa nooca A (cinwaanka) iyo xogkeedu waa cinwaanka internetka 128.32.137.3. Wadarta jawaabta jawaabtu waxay ahayd 273 bytes, marka laga reebo madaxyada UDP iyo IP. Codadka (Cod) iyo code (NoError) ayaa laga saaray, sida fasalka (C_IN) ee diiwaanka A.

Tusaal labaad, helosku wuxuu ka jawaabayaa su'aalaha 2 oo leh lambarka jawaab-celinta (domain) aan lahayn (NXDomain) oo aan wax jawaab ah, server magaciisa iyo diiwaangelin la'aan. '*' Waxay muujineysaa in jawaabta jawaabta rasmiga ah la sameeyay. Maadaama aysan jirin jawaabo, nooca, fasalka ama xogta ayaa la daabacay.

Calaamadaha kale ee calanka ee laga yaabo inay soo muuqdaan waa '-' (dib u helidda, RA, aan la dhigin) iyo `| | (farriinta la soo gaabiyay, TC, dejin). Haddii qaybta 'su'aalaha' aysan ku jirin hal galin, ' n [q] waa la daabacaa.

Ogsoonow in codsiyada server-ka iyo jawaabaha ay u muuqdaan inay yihiin kuwo waaweyn oo ay ku xiran yihiin 68-byte ah ma qabsan karaan baakidh ku filan oo daabacan. Isticmaal calanka--hadlka si aad u kordhiso qashinka haddii aad u baahato inaad si dhab ah u baarto taraafikada magaca magaca. ' -12 128 ' si fiican ayay iigu shaqeysay.

SMB / CIFS decoding

tcpdump hadda waxaa ku jira SMB / CIFS / NBT oo si caddaalad ah u qeexaya xogta UDP / 137, UDP / 138 iyo TCP / 139. Qaar ka mid ah gareynta asalka ah ee IPX iyo NetBEUI SMB ayaa sidoo kale la sameeyaa.

Marka la eego qaylo-dheelitir aan caadi aheyn ayaa la sameeyaa, iyada oo xayiraad faahfaahsan oo faahfaahsan la sameeyo haddii loo isticmaalo -v loo isticmaalo. Looga digay in baakidhka keliya ee SMB-ga ah ay qaadan karto bog ama wax ka badan, markaa isticmaal kaliya -v haddii aad runtii rabto dhammaan faahfaahinta cirridka.

Haddii aad xalisey kalfadhiyada SMB oo ay ku jiraan calaamadaha unicode markaas waxaad jeclaan laheyd inaad bedesho bedelka cimilada USE_UNICODE ilaa 1. Qalab ah si aad u ogaato xariga unicode waa la soo dhaweynayaa.

Wixii macluumaad ah ee ku saabsan qaababka SMB-ga iyo wax kasta oo macnaheedu yahay in aad aragto www.cifs.org ama pub / samba / tusmooyinka / diiwaanka bogga muraayada samba.org ee aad jeceshahay. Meelaha SMB waxaa qoray Andrew Tridgell (tridge@samba.org).

Codsiyada NFS iyo Jawaabaha

Sun NFS (Nidaamka Faylka Shabakadda) Codsiyada iyo jawaabaha ayaa la daabacay sida:

src.xid> dst.nfs: len op args src.nfs> dst.xid: Jawaab celinta natiijooyinka sushi.6709> qoraalka fh 21,24 / 10.73165 wrl.nfs> sushi.6709: Jawaabta OK 40 readlink "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xusto" wrl.nfs> sushi.201b: Jawaab OK OK 128 fx 9,74 / 4134.3150

Qeybta koowaad, suxufiyiinta martigelinta waxay soo diraan macaamil ganacsi leh id 6709 si ay u dhejiyaan (xusuusnow in lambarka ka dambeeya martida src waa macaamil ganacsi, ma aha dekedda ilaha). Codsigu wuxuu ahaa 112 bytes, oo ay ka mid yihiin UDP iyo IP. Hawlgalku wuxuu ahaa akhriste (akhri jaantusyo ) oo ku saabsan faylka faylka ( fh ) 21.24 / 10.731657119. (Haddii mid ka mid nasiib nagu yahay, sida kiiskan, haynta faylka waxaa loo turjumi karaa sida ugu weyn, laba lambarka qalabka yaryar, oo ay ku xigto nambarka nambarka iyo lambarka jiilka.) Faahfaahin jawaabaha 'ok' oo leh waxyaabaha ku jira bogga.

Sadarka sadexaad, sushi waxay waydiisaneysaa in ay raadiso magaca ' xcolors ' ee taxanaha faylka 9,74 / 4096.6878. Ogow in xogta daabacan ay ku xiran tahay nooca qalliinka. Nidaamka waxaa loola jeedaa inuu yahay sharaxaad iswaydaaris ah haddii la akhriyo iyada oo la raacayo habka NFS.

Haddii calanka -v (calafka) lagu bixiyo, macluumaad dheeri ah ayaa la daabacaa. Tusaale ahaan:

suugi.1372a> qoraallada: 148 akhri fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: Jawaabta OK 1472 akhriso REG 100664 ids 417/0 sz 29388

(sidoo kale -v ayaa sidoo kale daabacaya cinwaanka IP, TTL, aqoonsiga, dhererka, iyo qaybaha kala qaybsanaanta, kuwaas oo laga reebay tusaalahan.) Qeybta kowaad, sushi waxay ka codsanaysaa in ay akhriyaan 8192 bytes faylka 21,11 / 12.195, atte offle 24576. Qoraal jawaab ah 'OK'; baakidhka lagu muujiyay khadka labaad ayaa ah qaybta koowaad ee jawaabta, halkan waa 1472 bytes oo dheer (baakadaha kale waxay raaci doonaan jajabyada soo socda, laakiin jajabyadaasi ma heystaan ​​NFS ama xitaa UDP madax-yare oo aan laga daabicin, iyadoo ku xiran tusmada faalladda loo isticmaalo). Sababtoo ah calanka -v waxaa la bixiyaa, qaar ka mid ah sifooyinka faylka (kuwaas oo lagu soo celiyey xogta faylka) ayaa la daabacay: nooca faylka ('REG'), faylka caadiga ah), habka faylka (oo ah siddeedaad), uid iyo gid, iyo cabbirka faylka.

Haddii calanka -v calanka la siiyo wax ka badan hal jeer, xitaa faahfaahin dheeraad ah ayaa la daabacaa.

Xasuuso in codsiyada NFS ay yihiin kuwo aad u ballaaran oo faahfaahin badan lama daabicin haddii aan la kordhin. Isku day inaad isticmaasho ' -s 192 ' si aad u daawato gaadiidka NFS.

Numbarada jawaabaha NFS ma si cad u qeexaan hawlgalka RPC. Taa baddalkeeda, tcpdump waxay raadineysaa 'codsiyada dhow' ee codsiyada, waxayna la midoobaan jawaabaha iyagoo isticmaalaya aqoonsiga macaamilka. Haddii jawaabtu aysan si toos ah u raacin codsiga u dhiganta, waxaa laga yaabaa inaysan noqon karin.

Codsiyada AFS iyo Jawaabaha

Codsiyada Transarc AFS (Andrew File System) iyo jawaabo ayaa lagu daabacay sida:

src.sport> dst.dport: rx packet-type type src.sport> dst.dport: adeegga adeegga rx ee adeegga wac-name args src.sport> dst.dport: rx-adeegga adeegga jawaab-celinta ee jawaab- raadin args elvis. 7001> pike.afsfs: rx xogta fs call call rename da '536876964/1/1 ".newsrc.new" fidiye cusub 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: xogta rs fs

Qeybta koowaad, kumbuyuutarka marti-geliyaha ahi wuxu u dirayaa baakad RX ah si loo foojigno. Tani waxay ahayd xogta RX ee fs (adeegga faylka), waana bilawga wicitaanka RPC. Wicitaankii RPC wuxuu ahaa magac la magac baxay, oo leh lambarka hore ee faylka 536876964/1/1 iyo faylka hore ee '.newsrc.new', iyo faylka cusub ee faylka ee 536876964/1/1 iyo faylka cusub '. warrc '. Pike martigeliyaha ayaa ka jawaab celiya jawaabta RPC ee loo yaqaan magac loogu magac daray (taas oo ahayd mid guulaysatay, sababtoo ah waxay ahayd baqshad xog ah oo aan ahayn baqshadda soo ridida).

Guud ahaan, dhammaan AFS RPCs waxaa lagu sifeeyaa ugu yaraan ugu yeerista magaca RPC. Inta badan AFS RPCs waxay leeyihiin ugu yaraan qaar ka mid ah doodaha lagu qeexay (guud ahaan kaliya doodaha 'xiisaha', qaar ka mid ah qeexida xiisaha).

Nidaamka waxaa loogu talagalay in uu is-muujiyo, laakiin waxa laga yaabaa inaanay faa'iido u lahayn dadka aan aqoon u lahayn shaqooyinka AFS iyo RX.

Haddii calanka -v (calamadda) laba jeer la bixiyay, waraaqaha aqoonsiga iyo macluumaadka dheeraadka ah ee madaxa ayaa la daabacaa, sida RR call, lambarka taleefoonka, lambarka taxan, lambarka taxan, iyo calanka baayacmushtarka RX.

Haddii calanka -v oo laba jeer la bixiyo, macluumaad dheeraad ah ayaa la daabacaa, sida RX call, lambarka taxan, iyo calanka baayacmushtarka RX. Macluumaadka gorgortanka MTU waxaa sidoo kale laga daabacan baakadaha RX.

Haddii calanka -V caloosha saddex jeer la siiyay, isbeddelka amniga iyo adeega adeega ayaa la daabacaa.

Xeerarka khaladka ah ayaa lagu daabacaa baakuumada, marka laga reebo xirmooyinka Ubik-yada loo yaqaan (maxaa yeelay xirmo-soo-bixinta waxaa loo isticmaalaa in lagu cadeeyo codka haa ee habka Ubik).

Xasuuso in codsiyada AFS ay aad u ballaaran yihiin, qaar badan oo ka mid ah muranada lama daabicin haddii aan kor loo qaadin . Isku day inaad isticmaasho ` 256 'si aad u daawato gaadiidka AFS.

Waraaqaha jawaabta AFS ma si cad u qeexaan hawlgalka RPC. Taa bedelkeeda, tcpdump waxay raadineysaa 'codsiyada dhow' ee codsiyada, waxayna kuula wadaagtaan jawaabaha iyadoo la adeegsanayo nambarka telefoonka iyo aqoonsiga adeegga. Haddii jawaabtu aysan si toos ah u raacin codsiga u dhiganta, waxaa laga yaabaa inaysan noqon karin.

KIP Appletalk (DDP ee UDP)

Baakadaha DDP-da ee Appletalk ee lagu duubay UDP datagrams ayaa lagu xiray oo la dumiyey sidii baakadaha DDP (sida, dhamaan xogta UDP madax-ka-tuur). Faylka /etc/atalk.names waxaa loo isticmaalaa in lagu turjumo nambarada shabakada iyo nooduusyada magacyada. Liiska ku jira feylkan ayaa leh foomka

lambarka lambarka 1.254 ether 16.1 icsd-net 1.254.110 ace

Labada xarig ee hore waxay bixiyaan magacyada shabakadaha appletalk. Sadarka sadexaad wuxuu siiyaa magaca martida gaarka ah (martida waxaa lagu kala soocayaa shabakadda 3aad ee octet lambarka - lambar sir ah waa inuu haystaa laba octet iyo lambar martigal waa inuu haystaa saddex octets.) Lambarka iyo magaca waa in la kala soocaa xayeysiis ah (banaan ama tabs). Faylka / faylka / fajacada ee faylka waxaa ku jiri kara xariijin faaruq ah ama xariiqyo faallo ah (line lines oo leh '#').

Cinwaanada Appletalk waxaa lagu daabacay foomka:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(Haddii /etc/atalk.names uusan haysanin ama uusan ku jirin gelitaanka qaar ka mid ah martida aqallada / net, cinwaanada waxaa lagu daabacaa foomka tirada.) Tusaale ahaan, NBP (DDP dekedda 2) ee shabaqa 144.1 node 209 wuxuu u dirayaa wax kasta oo dhageysiga dekedda 220 ee shabakada netka 112. Khadka labaad waa isku mid marka laga reebo magaca buuxa ee barta noodhka loo yaqaan 'office'. Khadadka seddexaad waa ka soo dira dekedda 235 oo ku yaal shabakada netka 149 si loo faafiyo dekedda NBP-ka ah (xusuuso in cinwaanka faafinta (255) lagu calaamadiyay magaca netka leh lambar martigelin ah - sababtaas awgeed waa fikrad wanaagsan si loo ilaaliyo magacyada noodhka iyo magacyada netka ee kala duwan ee /etc/atalk.names).

NBP (nidaamka xakamaynta magaca) iyo xirmooyinka ATP (qandaraas-socodka xawilaadda ee Appletalk) ayaa leh tarjumadooda. Hababka kale ee kaliya waxay ku tirtirayaan magaca qaangaarka (ama lambarka haddii aan magaciisa la diiwaangelinin qandaraaska) iyo cabbirka baakadka.

Xirmooyinka NBP waxaa loo qaabeeyey sida tusaalooyinka soo socda:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "= = LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "tiknikada: LaserWriter @ *" 186

Khadka ugu horeeya waa codsi raadin magaceed oo loogu talagalay laserwriters oo loo soo diray shabakad 112 oo shabakadda internetka ku baahisa oo ku baahisa jssmag. Nbp id ah ee fiirinta waa 190. Khadadka labaad wuxuu muujinayaa jawaabta codsigan (ogsoonow in uu leeyahay cidda la mid ah) jssmag.209 oo marti u ah isagoo sheegaya in uu leeyahay khayraadka laserwriter oo magaciisu yahay "RM1140" oo laga diiwaangeliyey dekedda 250. Saddexaad line waa jawaab kale oo isku mid ah codsi ah in tikidhada martida loo leeyahay laserwriter "tikitir" laga diiwaangeliyey dekadda 186.

Nidaamka xirmooyinka ATP waxaa soo bandhigay tusaalahan soo socda:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- (122): 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3.5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-ox 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 waxay bilowday macaamil ganacsi 12266 iyada oo marti-geliyeyaasha martigelinaya iyagoo codsanaya ilaa 8 xirmo ('0-7'). Lambarka hex ee dhamaadka xariiqa waa qiimaha 'userdata' ee codsiga.

Helios waxay ka jawaabtaa baakadaha 8 512-byte. 'Digit' ka dib marka la eego idanka macaamilka wuxuu siinayaa lambarka rasmiga ee baakadka ee macaamilka iyo lambarka ku yaal garsoorka waa qadarka xogta ku jirta baakadka, marka laga reebo madaxa sarifka. '*' Ee baakada 7 ayaa tilmaamaya in qadarka EOM la dhigay.

Jssmag.209 ayaa markaa codsanaya in baakadaha 3 & 5 dib loo soo celiyo. Helios ayaa u soo diraya markaa jssmag.209 sii deynaya macaamilkiisa. Ugu dambeyntii, jssmag.209 wuxuu bilaabayaa codsiga xiga. '*' Ee codsiga wuxuu muujinayaa in XO ('goor dhab ah') aan la dajin.

IP Fragmentation

Warqadaha Internetka ee kala jaban ayaa lagu daabacaa sidan

(shey id ah : size @ offset +) (frag fragment id : size @ offset )

(Foomka ugu horreeya wuxuu muujinayaa inay jiraan jajabyo badan, tan labaadna waxay muujinaysaa inay tahay qaybta ugu dambaysa.)

Id waa sheyga jajabka ah. Cabbirku waa xajmiga jajabka (ee bytes) marka laga reebo madax madaxeedka. Baxnaanshaha waa bakhshiintan qaybta ka ah (bytes) ee astaamaha asalka ah.

Macluumaadka is-beddelku wuxuu soo saarayaa qaybo kasta. Qaybta ugu horreysa waxay ku jirtaa madaxa sare ee nidaamka sare iyo macluumaadka jajabku waa la daabacaa kadib qaabka macluumaadka. Maqsinnada kaddib marka ugu horeysa oo aan ku jirin madaxa sare ee garsoorka iyo macluumaadka jajabku waa la daabacaa kadib cinwaanka iyo cinwaanka goobta. Tusaale ahaan, halkan waa qayb ka mid ah ftp ka soo arizona.edu ilaa lbl-rtsg.arpa iskudubar xiriirka CSNET oo aan u muuqan in ay qabtaan 576 byte datagrams:

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 ku guuleysatay 4096 (jajab 595a: 328 @ 0 +) arizona> rtsg: (jajab 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. ack 1536 ayaa ku guuleystay 2560

Waxaa jira dhowr waxyaabood oo ay ku qoran yihiin halkaan: Marka hore, cinwaanada khadka 2aad kuma jiraan tirooyinka nambarada. Tani waa sababta oo ah macluumaadka qawaaniinta TCP ay ku jiraan qaybta ugu horeysa ee aan wax fikrad ah u lahayn nambarka ama nambarada tirooyinka markaan daabacno jajabyada dambe. Marka labaad, macluumaadka taxanaha tcp ee xariiqda koowaad ayaa la daabacaa sida 308 byte xogta isticmaalaha marka, dhab ahaantii, waxaa jira 512 byte (308 ee ugu horeeyay iyo 204 ee labaad). Haddii aad raadinayso godadka booska xiga ama aad isku dayeyso in aad u baahatid waraaqo leh baakado, tani waxay nasiib u noqon kartaa.

Baakad la leh IP-ga maaha calanka jajab ee loo yaqaan 'trailing' (DF) .

Timestamps

Badal ahaan, dhammaan xarumaha wax soo-saarka ayaa horay loo soo dhejiyay. Waqtiga saacaddu waa wakhtiga saacada ee hadda ee foomka

hh: mm: ss.frac

waxayna u egtahay sida saxda ah ee saacadda xawaaraha. Timeestamp waxay muujinaysaa wakhtiga koontada horay u aragtay baakadka. Wax isku dayin lama hurin xisaabinta wakhtiga u dhaxeeya marka loo yaqaan ethernet interface laga saaro baakad laga soo saaro siligga iyo marka kernel ay ku shaqeyneyso 'xirmo cusub'.

SEE ALSO

gaadiidka (1C), nit (4P), bpf (4), pcap (3)

Muhiim: Isticmaal nambarka ninka ( % nin ) si aad u aragto sida amarka loo isticmaalo kombiyuutarkaaga gaarka ah.