Tcpdump - ലിനക്സ് ആജ്ഞ - യുണിക്സ് കമാൻഡ്

NAME

tcpdump - ഒരു നെറ്റ്വർക്കിൽ ഡംപ് ട്രാഫ്

സിനോപ്സിസ്

tcpdump [ -adeflnNOpqRStuvxX ] [ -c count ]

[ -C file_size ] [ -F ഫയൽ ]

[ -i ഇന്റർഫേസ് ] [ -m ഘടകം ] [ -r ഫയൽ ]

[ -സ് സ്പാപ്ലെൻ ] [ -T തരം ] [ -U ഉപയോക്താവ് ] [ -w ഫയൽ ]

[ -E algo: secret ] [ എക്സ്പ്രഷൻ ]

വിവരണം

ബൂളിയൻ എക്സ്പ്രഷനുമായി പൊരുത്തപ്പെടുന്ന ഒരു നെറ്റ്വർക്ക് ഇന്റർഫേസിലെ പാക്കറ്റുകളുടെ ഹെഡ്ഡറുകൾ Tcpdump പ്രിന്റ് ചെയ്യുന്നു. ഇതു് -w ഫ്ലാഗ് ഉപയോഗിച്ചു് പ്രവർത്തിപ്പിയ്ക്കുന്നു, ഇതു് പിന്നീടു് വിശകലനത്തിനായി പാക്കറ്റ് ഡേറ്റാ ഫയലിലേക്കു് സൂക്ഷിക്കുന്നു, അല്ലെങ്കിൽ / അല്ലെങ്കിൽ -h ഫ്ലാഗ് ഉപയോഗിയ്ക്കുന്നു , ഇതു് പാക്കറ്റുകൾ വായിക്കുന്നതിനു് പകരം, സൂക്ഷിച്ചിരിക്കുന്ന പാക്കറ്റ് ഫയലിൽ നിന്നും ലഭ്യമാക്കുന്നു ഒരു നെറ്റ്വർക്ക് ഇന്റർഫേസിൽ നിന്നും. എല്ലാ സാഹചര്യങ്ങളിലും, പൊരുത്തപ്പെടുന്ന പാസ്കെറ്റുകൾ മാത്രം tcpdump വഴി പ്രോസസ്സ് ചെയ്യും.

സിസിഐടി സിഗ്നലിനു് തടസ്സമുണ്ടാകുന്നതു് വരെ ടിസിപിഡിപറ്റ് , -c ഫ്ലാഗ് ഉപയോഗിച്ചു് പ്രവർത്തിപ്പിക്കാതെ, പാക്കറ്റുകൾ ക്യാപ്ചർ ചെയ്യുന്നത് തുടരുക (ഉദാഹരണത്തിന്, നിങ്ങളുടെ ഇന്ററപ്റ്റ് പ്രതീകം ടൈപ്പ് ചെയ്യുക വഴി, സാധാരണ നിയന്ത്രണം- C) അല്ലെങ്കിൽ ഒരു SIGTERM സിഗ്നൽ (സാധാരണയായി (1) കമാൻഡ്); -c ഫ്ലാഗ് ഉപയോഗിച്ചു് പ്രവർത്തിക്കുന്പോൾ, SIGINT അല്ലെങ്കിൽ SIGTERM സിഗ്നലിനു് തടസ്സമുണ്ടാകുന്നതു് അല്ലെങ്കിൽ ഒരു കൂട്ടം പാക്കറ്റുകൾ പ്രക്രിയയ്ക്കു് തടസ്സപ്പെടുവോളം അതു് പാക്കറ്റുകളെ പിടിച്ചെടുക്കുന്നു.

പൊതികൾ പിടിച്ചെടുക്കുന്നതിനു് tcpdump പൂർത്തിയായാൽ, ഇതു് സംബന്ധിച്ചുള്ള വിവരങ്ങൾ രേഖപ്പെടുത്തും:

പാക്കറ്റുകൾ `ഫിൽറ്റർ വഴി ലഭിക്കുന്നു '(ഇതിന്റെ അർഥം നിങ്ങൾ tcpdump പ്രവർത്തിപ്പിക്കുന്ന ഓ.എസ്, അല്ലെങ്കിൽ ഒഎസ് ക്രമീകരിച്ചിരിക്കുന്ന രീതിയിൽ ആശ്രയിച്ചിരിക്കും - കമാൻഡ് ലൈനിൽ ഒരു ഫിൽറ്റർ നൽകിയിട്ടുണ്ടെങ്കിൽ, ചില OS- കളിൽ അത് കണക്കാക്കുന്നു പാക്കറ്റുകള് ഫില്റ്റര് എക്സ്പ്രഷനുകളുമായി പൊരുത്തപ്പെട്ടുവോ, മറ്റേതെങ്കിലും ഓപ്പറേറ്റിങ് സിസ്റ്റത്തില് ഫില്റ്റര് എക്സ്പ്രഷനനുസരിച്ചുള്ള പൊതികള് മാത്രമേ tcpdump ഉപയോഗിക്കുവാന് സാധിക്കുകയുള്ളൂ );

പാക്കറ്റുകൾ `` കെർണലിൽ നിന്നും '' ഉപേക്ഷിച്ചു (ബഫർ സ്പെയ്സില്ലാത്തതിനാൽ, tcpdump പ്രവർത്തിപ്പിക്കുന്ന OS- ലെ പാക്കറ്റ് ക്യാപ്ചർ സംവിധാനത്തിലൂടെ, ഉപേക്ഷിക്കപ്പെട്ട പാക്കറ്റുകളുടെ എണ്ണം, ആപ്ലിക്കേഷനുകൾക്ക് വിവരങ്ങൾ റിപ്പോർട്ട് ചെയ്യുന്നുണ്ടെങ്കിൽ; ഇല്ലെങ്കിൽ, അത് 0 ആയി റിപ്പോർട്ട് ചെയ്യും.

SIGINFO സിഗ്നലുകളെ പിന്തുണയ്ക്കുന്ന പ്ലാറ്റ്ഫോമുകളിൽ, മിക്ക BSD- കളും പോലെ, ഒരു SIGINFO സിഗ്നൽ ലഭിക്കുമ്പോൾ അത്തരം എണ്ണങ്ങൾ റിപ്പോർട്ടുചെയ്യും (ഉദാഹരണം, നിങ്ങളുടെ `` സ്റ്റാറ്റസ് 'പ്രതീകം ടൈപ്പുചെയ്യുന്നതിലൂടെ, സാധാരണ നിയന്ത്രണം- T), പാക്കറ്റുകൾ ക്യാപ്ചർ ചെയ്യുന്നത് തുടരും .

ഒരു നെറ്റ്വർക്ക് ഇന്റർഫേസിൽ നിന്നുള്ള പാക്കറ്റുകൾ വായിക്കുന്നതിലൂടെ നിങ്ങൾക്ക് പ്രത്യേക അധികാരങ്ങൾ ഉണ്ടായിരിക്കാം:

NIT അല്ലെങ്കിൽ BPF ഉപയോഗിച്ച് SunOS 3.x അല്ലെങ്കിൽ 4.x കീഴിൽ:

നിങ്ങൾ / dev / nit അല്ലെങ്കിൽ / dev / bpf * -ലേക്ക് ആക്സസ് വായിച്ചിരിക്കണം.

സോളാരികൾക്ക് കീഴിൽ ഡിഎൽപിഐ:

നിങ്ങൾ നെറ്റ്വറ്ക്ക് സ്യൂഡോ ഡിവൈസിലേക്ക് റീഡബിൾ / റൈറ്റ് ആക്സസ് ഉണ്ടായിരിക്കണം, ഉദാ: / dev / le . Solaris- ന്റെ ചില പതിപ്പുകൾ ഉണ്ടെങ്കിലും, tcpdump കൃത്യമല്ലാത്ത മോഡിൽ ക്യാപ്ചർ ചെയ്യുന്നതിന് ഇത് അനുവദനീയമല്ല; Solaris- ന്റെ ആ പതിപ്പുകളിലാണെങ്കിൽ, നിങ്ങൾ root ആയിരിക്കണം, അല്ലെങ്കിൽ promptuous മോഡിൽ ക്യാപ്ചർ ചെയ്യുന്നതിനായി, tcpdump റൂട്ട് ആയി സെറ്റുവൈഡ് ഇൻസ്റ്റോൾ ചെയ്തിരിക്കണം. അനേകം (ഒരുപക്ഷേ എല്ലാ) ഇന്റർഫെയിസുകളിലും, നിങ്ങൾ സ്വതവേയുള്ള മോഡിൽ ക്യാപ്ചർ ചെയ്തില്ലെങ്കിൽ, ഏതെങ്കിലും ഔട്ട്ഗോയിംഗ് പാക്കറ്റുകൾ നിങ്ങൾ കാണുകയില്ല, അതിനാൽ സ്വതവേയുള്ള മോഡിൽ ചെയ്ത ഒരു പകർപ്പെടുക്കൽ ഉപയോഗപ്രദമല്ല.

DLPI ഉള്ള HP-UX- ൽ:

നിങ്ങൾ റൂട്ട് ആയിരിക്കണം അല്ലെങ്കിൽ root ആയി tcpdump ഇൻസ്റ്റോൾ ചെയ്തിരിക്കണം.

ഐഐആർഎക്സ് കീഴിൽ സ്നോപ്പ് കൊണ്ട്:

നിങ്ങൾ റൂട്ട് ആയിരിക്കണം അല്ലെങ്കിൽ root ആയി tcpdump ഇൻസ്റ്റോൾ ചെയ്തിരിക്കണം.

Linux- ന് കീഴിൽ:

നിങ്ങൾ റൂട്ട് ആയിരിക്കണം അല്ലെങ്കിൽ root ആയി tcpdump ഇൻസ്റ്റോൾ ചെയ്തിരിക്കണം.

അൾട്രേർക്സ്, ഡിജിറ്റൽ യുനിക്സ് / ട്രൂ64 യുനിക്സ്:

Tcpdump ഉപയോഗിച്ചു് ഏതെങ്കിലും ഉപയോക്താവിനുള്ള നെറ്റ്വർക്ക് ട്രാഫിക് ലഭ്യമാകുന്നു. എന്നിരുന്നാലും, pfconfig (8) ഉപയോഗിച്ച് സൂപ്പർ യൂസർ ഇന്റർഫെയിസിൽ പ്രോംപ്റ്റിക്യൂ -മോഡ് പ്രവർത്തനം പ്രാപ്തമാക്കാതിരുന്നാൽ ഉപയോക്താവിന് (സൂപ്പർ-ഉപയോക്താവിനും) ഒരു ഇന്റർഫേസിൽ യഥേഷ്ടം മോഡ് ഉപയോഗിക്കാനാവില്ല. സൂപ്പർ ഉപയോക്താവിന് pfconfig ഉപയോഗിച്ചു് ആ ഇന്റർഫെയിസിലുള്ള കോപ്പി-എല്ലാ-മോഡ് പ്രവർത്തനം പ്രവർത്തിയ്ക്കുന്നില്ലെങ്കിൽ, ഒരു ഇന്റർഫെയിസിൽ ഉപയോഗപ്രദമായ പാക്കറ്റ് ക്യാപ്ചർ ലഭ്യമാകാത്തെങ്കിൽ , ഒരു ഇന്റർഫെയിസിൽ മെഷീനിലൂടെ ലഭ്യമാകുന്ന അല്ലെങ്കിൽ അയച്ച യുണികോസ്റ്റ് ട്രാഫിക് ലഭ്യമാകുന്നു. -മോ-മോഡ് പ്രക്രിയ, അല്ലെങ്കിൽ പ്രവർത്തന രണ്ടും, ആ ഇന്റർഫെയിസിൽ പ്രാപ്തമാക്കിയിരിക്കണം.

ബി.എസ്.ഡി പ്രകാരം:

നിങ്ങൾ / dev / bpf * ലേയ്ക്കുള്ള വായന ഉണ്ടായിരിക്കണം.

സംരക്ഷിച്ച പാക്കറ്റ് ഫയൽ വായിക്കുന്നതിനു പ്രത്യേക ആനുകൂല്യങ്ങൾ ആവശ്യമില്ല.

ഓപ്ഷനുകൾ

-a

നെറ്റ്വർക്ക്, പ്രക്ഷേപണ വിലാസങ്ങൾ പേരുകളായി പരിവർത്തനം ചെയ്യാൻ ശ്രമിക്കുക.

-c

കംപനികൾ സ്വീകരിച്ചതിന് ശേഷം പുറത്തുകടക്കുക.

-C

ഒരു സ്രോതസ്സ് പാക്കറ്റ് ഒരു സേവർഫയലിനായി എഴുതുമ്പോൾ, file_size നേക്കാൾ വലുതാണോയെന്ന് പരിശോധിക്കുക, എങ്കിൽ, നിലവിലുള്ള savefile അടച്ച് ഒരു പുതിയ ഒന്ന് തുറക്കുക. ആദ്യത്തെ savefile- ന് ശേഷം -w ഫ്ലാഗ് പേരുള്ള ശേഷം Savefiles ഉണ്ടാകും, അതിന് ശേഷം ഒരു സംഖ്യ, 2 ന് ആരംഭിച്ച് മുകളിലേക്ക് തുടരുക. File_size- ന്റെ യൂണിറ്റുകൾ ദശലക്ഷക്കണക്കിന് ബൈറ്റുകൾ (1,000,000 ബൈറ്റുകൾ അല്ല, 1,048,576 ബൈറ്റുകളല്ല).

-d

ശേഖരിച്ച പാക്ക്-പൊരുത്തപ്പെടുത്തുന്ന കോഡ് ഒരു മാനുഫായിംഗ് വായന രൂപത്തിൽ സ്റ്റാൻഡേർഡ് ഔട്ട്പുട്ട് ആക്കി നിർത്തുക.

-തീയതി

പാക്കേബിൾ-പൊരുത്തപ്പെടുത്തുന്ന കോഡ് സി പ്രോഗ്രാമിങ് വിഭാഗത്തിലേക്ക് ഡമ്പ് ചെയ്യുക.

-ddd

പാക്കറ്റ്-പൊരുത്തപ്പെടൽ കോഡിൽ ഡെസിമൽ നമ്പറുകളായി (ഒരു അക്കത്തിൽ മുമ്പുതന്നെ) ഉപേക്ഷിക്കുക.

-ഇ

ഓരോ ഡംപിലുമുള്ള ലിങ്ക് ലെവൽ ഹെഡറുകൾ അച്ചടിക്കുക.

-E

Algo ഉപയോഗിക്കുക : IPsec ESP പാക്കറ്റുകളെ ഡീക്രിപ്റ്റുചെയ്യുന്നതിനുള്ള രഹസ്യം . അൽഗൊരിതങ്ങൾ ഡെസ്-സിബിസി , 3 ഡിസ്-സിബിസി , ബ്ളോഫ്-സിബിസി , rc3-സിബിസി , കാസ്റ്റ് 128-സിബിസി , അല്ലെങ്കിൽ ഒന്നുമല്ല . സ്വതവേയുള്ളതു് des-cbc ആണ് . ക്രിപ്റ്റോഗ്രഫി സജ്ജമാക്കിയിട്ടു് tcpdump തയ്യാറാക്കിയിട്ടുണ്ടെങ്കിൽ മാത്രമേ പാക്കറ്റുകൾ ഡീക്രിപ്റ്റ് ചെയ്യുവാനുള്ള കഴിവ്. ഇഎസ്പി രഹസ്യ കീയ്ക്കായി ascii ടെക്സ്റ്റ് രഹസ്യമായി സൂക്ഷിക്കുക. ഈ നിമിഷം നമുക്ക് അനിയന്ത്രിതമായ ബൈനറി മൂല്യം എടുക്കാൻ കഴിയില്ല. ഓപ്ഷൻ RFC2406 ESP, RFC1827 ESP അല്ല. ഓപ്ഷൻ ഡീബഗ്ഗിങ്ങിനായി മാത്രം ആണ്, ഈ ഓപ്ഷൻ യഥാർഥത്തിൽ 'രഹസ്യ' കീ ഉപയോഗിച്ച് നിരുത്സാഹപ്പെടുത്തുന്നു. ഐപിസക് രഹസ്യവാക്ക് കമാൻഡ് ലൈനിലേക്കു് അവതരിപ്പിയ്ക്കുന്നതു്, ps (1) മുഖേനയും മറ്റു സന്ദർഭങ്ങളിലൂടെയും മറ്റുള്ളവർക്ക് ലഭ്യമാക്കുന്നു.

-f

പ്രതീകാത്മകമായി പകരം 'വിദേശ' ഇൻറർനെറ്റ് വിലാസങ്ങൾ പ്രിന്റ് ചെയ്യുക (ഈ ഓപ്ഷൻ സൺ യാർഡ് സെർവറിൽ ഗുരുതരമായ തലച്ചോറ് തകരാറുകളെ ഉദ്ദേശിച്ചുള്ളതാണ് --- സാധാരണയായി ഇതൊഴികെ ഇതര പ്രാദേശിക സംഖ്യകളെ തർജ്ജമ ചെയ്യുന്നതാണ്).

-F

ഫിൽറ്റർ എക്സ്പ്രെഷനുളള ഇൻപുട്ടിനായി ഫയൽ ഉപയോഗിക്കുക. കമാൻഡ് ലൈനിൽ നൽകിയിരിക്കുന്ന അധിക എക്സ്പ്രെഷൻ ഒഴിവാക്കുന്നു.

-i

ഇന്റർഫേസിൽ കേൾക്കുക. അവ്യക്തമാക്കപ്പെട്ടെങ്കിൽ, tcpdump ഏറ്റവും കുറഞ്ഞ അക്കമുള്ളതും ക്രമീകരിച്ചതുമായ ഇന്റർഫെയിസിനുള്ള സിസ്റ്റം ഇന്റർഫെയിസ് പട്ടിക തിരയുന്നു (ലൂപ്പാക്കിനു പുറമേ). ആദ്യ മത്സരം തിരഞ്ഞെടുക്കുന്നതിലൂടെ ബന്ധം തകർന്നുപോകുന്നു.

2.2 അല്ലെങ്കിൽ പിന്നീടുള്ള കേർണലുകളുള്ള ലിനക്സ് സിസ്റ്റങ്ങളിൽ, എല്ലാ ഇന്റർഫെയിസുകളിൽ നിന്നും പാക്കറ്റുകൾ പിടിച്ചെടുക്കുന്നതിനായി "no" എന്ന ഒരു ഇന്റർഫെയിസ് ആർഗ്യുമെൻറ് ഉപയോഗിയ്ക്കാം. `` ഏതെങ്കിലും '' ഉപകരണത്തിലെ ക്യാപ്ചർ ഉപയോഗിക്കുവാന് പ്രത്യേകം ശ്രദ്ധിയ്ക്കരുതു്.

-l

സ്റ്റാൻഡൌട്ട് ലൈൻ ബഫർ ചെയ്യുക. ഡാറ്റ പിടിച്ചടക്കുമ്പോൾ നിങ്ങൾക്ക് അത് കാണാൻ കഴിയണമെങ്കിൽ ഉപയോഗപ്രദമാണ്. എഗ്,
`` tcpdump -l | ടീ '' അല്ലെങ്കിൽ `` tcpdump -l> അത് & വാൽ-

-m

ഫയൽ മൊഡ്യൂളിൽ നിന്നുള്ള SMI MIB ഘടകം നിർവചനങ്ങൾ ലോഡ് ചെയ്യുക. Tcpdump- ലേക്കു് അനവധി MIB ഘടകങ്ങൾ ലഭ്യമാക്കുന്നതിനായി ഈ ഐച്ഛികം പലതവണ ഉപയോഗിയ്ക്കാം.

-n

ഹോസ്റ്റ് വിലാസങ്ങൾ പേരുകളായി പരിവർത്തനം ചെയ്യരുത്. ഇത് ഡിഎൻഎസ് ലുക്കപ്പ് ഒഴിവാക്കാൻ ഉപയോഗിക്കാം.

-നന്മ

പ്രോട്ടോക്കോളും പോർട്ട് നമ്പറുകളും പേരുകൾ ഒന്നുകിൽ പരിവർത്തനം ചെയ്യരുത്.

-N

ഹോസ്റ്റ് നാമങ്ങളുടെ ഡൊമെയ്ൻ നാമ യോഗ്യത പ്രിന്റ് ചെയ്യരുത്. ഉദാഹരണത്തിന്, നിങ്ങൾ ഈ ഫ്ലാഗ് നൽകുന്നെങ്കിൽ, tcpdump `nic.ddn.mil 'എന്നതിനുപകരം` nic' എന്ന് പ്രിന്റ് ചെയ്യുന്നു.

-ഒ

പാക്ക്-പൊരുത്തപ്പെടുത്തുന്ന കോഡ് ഒപ്റ്റിമൈസര് പ്രവര്ത്തിപ്പിക്കരുത്. നിങ്ങൾ ഒപ്റ്റിമൈസറിൽ ഒരു ബഗ് ഉണ്ടെങ്കിൽ മാത്രമേ ഇത് ഉപയോഗപ്രദമാകൂ.

-p

ഇന്റർഫേസ് പ്രോംപ്റ്റ് ചെയ്യാവുന്ന മോഡിൽ ഇടുകയില്ല. മറ്റ് ചില കാരണങ്ങളാൽ ഇന്റർഫേസ് ചലിപ്പിക്കുന്ന തരത്തിൽ ഉണ്ടാകാമെന്നത് ശ്രദ്ധിക്കുക; അതിനാൽ, '-p' ഈഥർ ഹോസ്റ്റിന്റെ {local-hw-addr} അല്ലെങ്കിൽ ഇഥർ ബ്രോഡ്കാമിനു വേണ്ടിയുള്ള ചുരുക്കമായി ഉപയോഗിക്കാൻ പാടില്ല.

-ഖാ

ദ്രുത (നിശബ്ദ?) ഔട്ട്പുട്ട്. കുറഞ്ഞ പ്രോട്ടോകോൾ വിവരങ്ങൾ അച്ചടിക്കുക, അതിനാൽ ഔട്ട്പുട്ട് ലൈനുകൾ ചെറുതാണ്.

-ആർ

പഴയ സ്പെസിഫിക്കേഷന്റെ (RFC1825 മുതൽ RFC1829 വരെ) അടിസ്ഥാനമാക്കിയുള്ള ESP / AH പാക്കറ്റുകൾ ഏറ്റെടുക്കുക. പറഞ്ഞിരിക്കുന്നെങ്കിൽ, tcpdump റീപ്ലേ പ്രിവൻഷൻ ഫീൽഡ് അച്ചടിക്കുകയില്ല. ESP / AH സ്പെസിഫിക്കേഷനിൽ പ്രോട്ടോക്കോൾ വേർഷൻ ഫീൾഡ് ഇല്ലാത്തതിനാൽ, tcpdump ESP / AH പ്രോട്ടോക്കോളിന്റെ പതിപ്പ് നഷ്ടപ്പെടുത്താൻ കഴിയില്ല.

-ആർ

ഫയലിൽ നിന്നുള്ള പാക്കറ്റുകൾ (-w ഐച്ഛികം ഉപയോഗിച്ചു്) വായിക്കുക. ഫയൽ `` - "ആണെങ്കിൽ സ്റ്റാൻഡേർഡ് ഇൻപുട്ട് ഉപയോഗിക്കും.

-S

ടിസിപി ശ്രേണി നമ്പരുകളേക്കാൾ കേവലം അച്ചടി സമ്പൂർണ്ണമാണ്.

-s

68 ന്റെ സ്ഥിരസ്ഥിതിയെക്കാളും ( സൺഓ എസ്സിന്റെ എൻ.ടി. യിലും , ഏറ്റവും കുറഞ്ഞത് 96 ഉം) ഓരോ പാക്കറ്റിന്റേയും ഡാറ്റയുടെ സ്നാർഫ് സ്നാപ്ലെൻ ബൈറ്റുകൾ. ഐപി, ഐസിഎംപി, ടിസിപി, യുഡിപി എന്നിവയ്ക്കായി മതിയാകും 68 ബൈറ്റുകൾ, പക്ഷേ നാമ സെർവറും എൻഎഫ്എസ് പാക്കറ്റുകളും മുതൽ പ്രോട്ടോകോൾ വിവരങ്ങൾ തകരും (താഴെ കാണുക). പരിമിതമായ സ്നാപ്പ്ഷോട്ടിന്റെ കാരണം ഔട്ട്പുട്ടിൽ സൂചിപ്പിച്ചിരിക്കുന്ന പാക്കറ്റുകൾ `` | proto ] '' ആണ്. ഇവിടെ പ്രോട്ടോകോൾ തലത്തിന്റെ പേരാണ് പ്രോട്ടോ. വലിയ സ്നാപ്പ്ഷോട്ടുകൾ എടുക്കുന്നതു് രണ്ടു് പാക്കറ്റുകളും ലഭ്യമാക്കുന്നതിനുള്ള സമയം വർദ്ധിപ്പിയ്ക്കുന്നു, കൂടാതെ, പാക്കറ്റ് ബഫറിങ് കുറയ്ക്കുന്നു. ഇത് പാക്കറ്റുകൾ നഷ്ടപ്പെടാം. നിങ്ങൾക്ക് താൽപ്പര്യമുള്ള പ്രോട്ടോകോൾ വിവരങ്ങൾ പിടിച്ചെടുക്കുന്ന ചെറിയ സംഖ്യയെ സ്നാപ്ലേനെ പരിമിതപ്പെടുത്തണം 0 സ്നാപ്ലെൻ സജ്ജമാക്കാൻ 0 എന്നത് മുഴുവൻ പാക്കറ്റുകളും പിടിക്കുന്നതിന് ആവശ്യമായ ദൈർഘ്യം ഉപയോഗിക്കുക.

-ടി

നിർദ്ദിഷ്ട തരത്തിന് വ്യാഖ്യാനിക്കാൻ " എക്സ്പ്രഷൻ " തിരഞ്ഞെടുത്തിട്ടുള്ള നിർബന്ധ പൊതികൾ. Rtc (റിയൽ ടൈം ആപ്ലിക്കേഷൻസ് പ്രോട്ടോക്കോൾ), rtcp (റിയൽ-ടൈം ആപ്ലിക്കേഷൻസ് കൺട്രോൾ പ്രോട്ടോക്കോൾ), snmp (ലളിതമായ നെറ്റ്വർക്ക് മാനേജ്മെന്റ് പ്രോട്ടോക്കോൾ), വെറ്റ് (വിഷ്വൽ ഓഡിയോ ടൂൾ ), കൂടാതെ വൈബ് (വിതരണം വൈറ്റ് ബോർഡ്).

-t

ഓരോ ഡംപ്ലൈനിലും ഒരു ടൈംസ്റ്റാമ്പ് അച്ചടരുത്.

-tt

ഓരോ ഡംപ്ലൈനിലും ഫോർമാറ്റ് ചെയ്യാത്ത ടൈംസ്റ്റാമ്പ് അച്ചടിക്കുക.

-ഉം

ഉപയോക്താവിന്റെ പ്രാഥമിക ഗ്രൂപ്പിലേക്ക് യൂസർ ഐഡിയിലേക്കും ഗ്രൂപ്പ് ഐഡിയിലേക്കും റൂട്ട് ആനുകൂല്യങ്ങളും ഉപയോക്തൃ ഐഡികളും മാറുന്നു.

കുറിപ്പ്! വേറെ ഒന്നും വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, Red Hat ലിനക്സ് ഓട്ടോമാറ്റിയ്ക്കായി 'pcap' ലേക്കുള്ള അവകാശങ്ങൾ കുറയ്ക്കുന്നു.

-ttt

ഓരോ ഡംപ് ലൈനിലും നിലവിലുള്ളതും മുമ്പുള്ളതുമായ വരിയിൽ ഒരു ഡെൽറ്റാ (മൈക്രോ സെക്കന്റിൽ) അച്ചടിക്കുക.

-tttt

ഓരോ ഡംപ്ലൈനിലും തീയതി ഉപയോഗിച്ച് തുടരുന്ന, സ്ഥിര ഫോർമാറ്റിൽ ഒരു ടൈംസ്റ്റാമ്പ് അച്ചടിക്കുക.

-u

Undecoded NFS ഹാൻഡിലുകൾ അച്ചടിക്കുക.

-v

(കുറച്ചു കൂടി) വെർബോസ് ഔട്ട്പുട്ട്. ഉദാഹരണത്തിന്, ഒരു ഐ.പി. പാക്കറ്റിലെ ലൈവ്, ഐഡന്റിഫിക്കേഷൻ, മൊത്തം ദൈർഘ്യം, ഓപ്ഷനുകൾ എന്നിവ അച്ചടിച്ച സമയം. ഐപി, ഐസിഎംപി ഹെഡ്ഡർ ചെക്ക്സം, പോക്കറ്റ് ഇന്റഗ്രിറ്റി പരിശോധനകൾ എന്നിവയും പ്രവർത്തന സജ്ജമാക്കുന്നു.

-vv

ഇതിലും കൂടുതൽ വെർബോസ് ഔട്ട്പുട്ട്. ഉദാഹരണത്തിനു്, കൂടുതൽ ഫങ്ഷനുകൾ എൻഎഫ്എസ് വിർച്ച്വൽ പാക്കറ്റുകളിൽ നിന്നും അച്ചടിച്ചു്, SMB പാക്കറ്റുകൾ പൂർണ്ണമായി ഡീകോഡ് ചെയ്യപ്പെടുന്നു.

-vvv

ഇതിലും കൂടുതൽ വെർബോസ് ഔട്ട്പുട്ട്. ഉദാഹരണത്തിന്, telnet SB ... SE ഓപ്ഷനുകൾ മുഴുവനായും പ്രിന്റ് ചെയ്യുന്നു. എക്സ്- ടെലറ്റ് ഓപ്ഷനുകൾ ഹെക്സിലും അച്ചടിച്ചിരിക്കുകയാണ്.

-w

റോ പാസ്കുകളെ പാഴ്സ് ചെയ്യുക, അല്ലാതെ പ്രിന്റുചെയ്ത് എഴുതുക. അവ പിന്നീട് -r ഓപ്ഷനുമായി പ്രിന്റ് ചെയ്യാവുന്നതാണ്. ഫയൽ `` - `ആണെങ്കിൽ സ്റ്റാൻഡേർഡ് ഔട്ട്പുട്ട് ഉപയോഗിക്കും.

-x

ഓരോ പാക്കറ്റിനും (ഹെഡ്സ് ഹെഡ് ലവൽ ഹെഡർ) ഹെക്സിൽ പ്രിന്റ് ചെയ്യുക. മുഴുവൻ പാക്കറ്റ് അല്ലെങ്കിൽ സ്നാപ്ലെൻ ബൈറ്റുകളുടെയും ചെറിയ പ്രിന്റ് അച്ചടിക്കപ്പെടും. ഇത് പാഡ് ലെയർ പാക്ക് ആണ്, അതിനാൽ പാഡ് (ഉദാഹരണം ഇഥർനെറ്റ്) എന്ന ലിങ്ക് ലെയറുകൾക്ക് ആവശ്യമുള്ള പാഡിങിനേക്കാൾ കൂടിയ പാളി പാക്ക് വലുതായിരിക്കുമ്പോൾ പാഡ്ഡിംഗ് ബൈറ്റുകളും അച്ചടിക്കപ്പെടും.

-X

ഹെക്സ് അച്ചടിക്കുമ്പോൾ, ascii അച്ചടിക്കുക. അപ്പോൾ -x സജ്ജീകരിച്ചിട്ടുണ്ടെങ്കിൽ, പാക്കറ്റ് ഹെക്സ് / അസീസിയിൽ അച്ചടിക്കും. പുതിയ പ്രോട്ടോക്കോളുകൾ വിശകലനം ചെയ്യുന്നതിനായി ഇത് വളരെ എളുപ്പമാണ്. -x പോലും സജ്ജമാക്കിയിട്ടില്ലെങ്കിലും, ചില പൊതികളുടെ ചില ഭാഗങ്ങൾ ഹെക്സ് / അസിസിയായി അച്ചടിച്ചേക്കാം.

എക്സ്പ്രഷൻ

ഏത് പാക്കറ്റുകൾ ഉപേക്ഷിക്കണമെന്ന് തിരഞ്ഞെടുക്കുന്നു. ഒരു വാക്കും നൽകിയില്ലെങ്കിൽ, എല്ലാ പാക്കറ്റുകളും വലിച്ചിടും. അല്ലെങ്കിൽ, എക്സ്പ്രഷൻ മാത്രമുള്ള `സത്യ 'പാക്കറ്റുകൾ മാത്രമേ ഉപേക്ഷിക്കുകയുള്ളൂ.

ഈ പദത്തിൽ ഒന്നോ അതിലധികമോ പ്രാകൃതവും അടങ്ങിയിരിക്കുന്നു . ഒന്നോ അതിലധികമോ ക്വാളിഫയറുകൾക്ക് മുൻപ് ഒരു ഐഡി (പേരോ നമ്പറോ) ഉണ്ടായിരിക്കും. മൂന്ന് വ്യത്യസ്ത തരത്തിലുള്ള യോഗ്യങ്ങളുണ്ട്:

ടൈപ്പ് ചെയ്യുക

ഐഡികളുടെ പേര് അല്ലെങ്കിൽ നമ്പർ ഏതു തരത്തിലുള്ളതാണെന്ന് യോഗ്യർ പറയുന്നു. സാധ്യമായ തരങ്ങൾ ഹോസ്റ്റ് , നെറ്റ് , പോർട്ട് എന്നിവയാണ് . ഉദാ, `ഹോസ്റ്റ് ഫൂ,` `128, 128 ',` പോർട്ട് 20'. ടൈപ്പ് ക്വാളിഫയർ ഇല്ലെങ്കിൽ, ഹോസ്റ്റ് കണക്കാക്കപ്പെടും.

dir

qualifiers ഒരു പ്രത്യേക ട്രാൻസ്ഫർ ദിശയും കൂടാതെ / അല്ലെങ്കിൽ ഐഡിയിൽ നിന്നും വ്യക്തമാക്കുന്നു. സാധ്യമായ ദിശകൾ src , dst , src അല്ലെങ്കിൽ dst , src, dst എന്നിവയാണ് . ഉദാ, `src foo ',` dst net 128.3', `src അല്ലെങ്കിൽ dst പോർട്ട് ftp-data '. Dir യോഗ്യമല്ലെങ്കിൽ, src അല്ലെങ്കിൽ dst ഊഹിക്കുകയാണ് . 'നൾ' എന്ന ലിങ്ക് ലെയറുകൾക്ക് (അതായത് സ്ലിപ്പ് പോലുള്ള പ്രോട്ടോക്കോളുകൾ ചൂണ്ടിക്കാണിക്കുന്നതിനായി) ഇൻകൌണ്ട് , ഔട്ട്ബൗണ്ട് യോഗ്യതാ നിർദ്ദിഷ്ട ദിശകൾ വ്യക്തമാക്കാൻ ഉപയോഗിക്കാം.

പ്രോട്ടോ

ഒരു പ്രത്യേക പ്രോട്ടോക്കോളിലേക്ക് മത്സരം പരിമിതപ്പെടുത്തുന്നു. സാധ്യമായ പ്രോട്ടോകൾ: ഇഥർ , എഫ്ഡിഐ , ട്രേ , ip , ip6 , ആർപി , റാർപ് , ഡെനെനെറ്റ് , ടിസിപി , udp എന്നിവയാണ് . ഉദാ, `ഈതർ src foo ',` arp net 128.3', `tcp പോർട്ട് 21 '. പ്രോട്ടോ ക്വാളിഫയർ ഇല്ലെങ്കിൽ, തരം അനുസൃതമായ എല്ലാ പ്രോട്ടോക്കോളുകളും അനുമാനിക്കപ്പെടുന്നു. ഉദാ: `src foo 'എന്നാൽ' ip അല്ലെങ്കിൽ arp അല്ലെങ്കിൽ rarp src foo '(അവസാനമായി നിയമപരമായ സിന്റാക്സ് ഇല്ലെങ്കിൽ),` net bar' (`ip അല്ലെങ്കിൽ arp അല്ലെങ്കിൽ rarp) net bar ',` port 53' എന്നാണ്. `(tcp അല്ലെങ്കിൽ udp) പോർട്ട് 53 '.

['fddi' യഥാർത്ഥത്തിൽ `ഇഥർ 'എന്നതിനായുള്ള ഒരു അപരനാമമാണ്; പ്രത്യേക പാറ്റേണുകൾ ഉപയോഗിച്ചു് ഡേറ്റാ ലിങ്ക് ലിങ്ക് എന്ന രീതിയിൽ സൂചിപ്പിയ്ക്കുന്നു. എഫ്ഡിഡിഇ ഹെഡറുകൾ ഇഥർനെറ്റ് പോലുള്ള ഉറവിട, ലക്ഷ്യസ്ഥാന വിലാസങ്ങൾ ഉള്ക്കൊള്ളുന്നു, പലപ്പോഴും ഈഥര്നെറ്റ് പോലുള്ള പാക്കറ്റ് തരങ്ങള് ഉള്ക്കൊള്ളുന്നു, അങ്ങനെ നിങ്ങള്ക്ക് ഈ എഫ്ഡിഡി ഫീല്ഡിന് സമാനമായ ഇഥർനെറ്റ് ഫീൽഡുകളെ പോലെ തന്നെ. FDDI ഹെഡറുകളിലും മറ്റ് ഫീൾഡുകളും അടങ്ങിയിരിക്കുന്നു, എന്നാൽ അവ ഒരു ഫിൽട്ടർ എക്സ്പ്രഷനിൽ നിങ്ങൾക്ക് സ്പഷ്ടമായി നൽകാനാവില്ല.

അതുപോലെ, 'ഇഥർ' എന്നതിന് അപരനാമമാണ് `tr '; FDDI ശീർഷകങ്ങളെപ്പറ്റിയുള്ള മുമ്പത്തെ ഖണ്ഡികയിലെ പ്രസ്താവനകൾ ടോക്കെൻ റിങ്ങിന്റെ തലക്കെട്ടിലേയും ബാധകമാണ്.]

മുകളിൽ പറഞ്ഞവയ്ക്ക് പുറമേ, മാതൃക പിന്തുടരാത്ത ചില പ്രത്യേക "പ്രാഥമിക" കീവേഡുകൾ ഉണ്ട്: ഗേറ്റ്വേ , പ്രക്ഷേപണം , കുറവ് , വലുതും ആഥിമെറ്റിക് എക്സ്പ്രഷനുകളും. ഇവയെല്ലാം ചുവടെ വിവരിക്കുന്നുണ്ട്.

കൂടുതൽ സങ്കീർണ്ണമായ ഫിൽറ്റർ എക്സ്പ്രഷനുകൾ വാക്കുകൾ ഉപയോഗിച്ച്, അല്ലെങ്കിൽ primitives സംയോജിപ്പിക്കാൻ അല്ല നിർമ്മിച്ചിരിക്കുന്നത് . ഉദാ, ഹോസ്റ്റ് ഫൂ, പോർട്ട് ഫിക്സ്, പോർട്ട് ഫിക്സ് ഫോട്ട്-ഡാറ്റ എന്നിവയല്ല. ടൈപ്പിംഗ് സംരക്ഷിക്കുന്നതിന്, സമാനമായ യോഗ്യതാ ലിസ്റ്റുകൾ ഒഴിവാക്കാവുന്നതാണ്. ഉദാ. `Tcp dst പോർട്ട് ftp അല്ലെങ്കിൽ ftp-data അല്ലെങ്കിൽ domain 'കൃത്യമായി tcp dst port ftp അല്ലെങ്കിൽ tcp dst പോർട്ട് ftp-data അല്ലെങ്കിൽ tcp dst പോർട്ട് ഡൊമെയിൻ.

അനുവദനീയ പ്രാഥമിക ഘടകങ്ങളാണ്:

dst ഹോസ്റ്റ് ഹോസ്റ്റ്

പാക്കറ്റ് IPv4 / V6 ഉദ്ദിഷ്ടസ്ഥാനത്തിനു് ഹോസ്റ്റ് ആണെങ്കിൽ, ഇതു് ഒരു വിലാസമോ അല്ലെങ്കിൽ പേരോ ആയിരിക്കാം.

src ഹോസ്റ്റ് ഹോസ്റ്റ്

പാക്കറ്റ് ഹോസ്റ്റിന്റെ IPv4 / v6 സോഴ്സ് ഫീൽഡ് ഹോസ്റ്റ് ആണെങ്കിൽ ശരി.

ഹോസ്റ്റ് ഹോസ്റ്റ്

IPv4 / v6 സോഴ്സ് അല്ലെങ്കിൽ പാക്കറ്റിന്റെ ഉദ്ദിഷ്ടസ്ഥാനം ഹോസ്റ്റ് ആണെങ്കിൽ ശരി. മുകളിൽ പറഞ്ഞിരിക്കുന്ന ഹോസ്റ്റുകൾ ഏതെങ്കിലും കീവേഡുകൾ, ip , arp , rarp , അല്ലെങ്കിൽ ip6 എന്നിവയ്ക്കായി മുൻകൈയെടുക്കാം :

ip ഹോസ്റ്റ് ഹോസ്റ്റ്

ഇത് സമാനമാണ്:

ether proto \ ip ഹോസ്റ്റു ഹോസ്റ്റ്

ഒന്നിലധികം IP വിലാസങ്ങളുള്ള ഹോസ്റ്റ് ഹോസ്റ്റ് ആണെങ്കിൽ, ഓരോ വിലാസവും പൊരുത്തം പരിശോധിക്കും.

ether dst ehost

Ethernet ലക്ഷ്യസ്ഥാന വിലാസം ehost ആണെങ്കിൽ ശരി. Ehost / ഇൻറെറ് അല്ലെങ്കിൽ ഇഥർ അല്ലെങ്കിൽ ഒരു സംഖ്യ (സംഖ്യാ ഫോർമാറ്റിനായി ഈഥർ (3N) കാണുക.

ഈഥർ src ehost

ഇഥർനെറ്റ് ഉറവിട വിലാസം ehost ആണെങ്കിൽ ശരി.

എസ്തോർ ഹോസ്റ്റ്

Ethernet source അല്ലെങ്കിൽ destination address ehost ആണെങ്കിൽ ശരി .

ഗേറ്റ്വേ ഹോസ്റ്റ്

ഗേറ്റ്വേ ആയി ഹോസ്റ്റിനെ ഹോസ്റ്റായി ഉപയോഗിക്കുന്നത് ശരിയാണോ? അതായത്, എഥർനെറ്റ് സ്രോതസ്സ് അല്ലെങ്കിൽ നിർദ്ദിഷ്ട വിലാസം ഹോസ്റ്റ് ആയിരുന്നെങ്കിലും ഐ.പി. ഹോസ്റ്റ് ഒരു പേര് ആയിരിക്കണം, കൂടാതെ മെഷീൻ ഹോസ്റ്റ്-നെയിം-ടു-ഐ-ഐ-ഐ-ഫ്ലൂഷൻ മിഴിവ് മെക്കാനിസങ്ങൾ (ഹോസ്റ്റ് നെയിം ഫയൽ, ഡിഎൻഎസ്, എൻഐഎസ് മുതലായവ), യന്ത്രത്തിന്റെ ഹോസ്റ്റ്-ഇ-ടു-ഇ-ഇ-ഇ-ഈതർനെറ്റ്-വിലാസം മെക്കാനിസം (/ etc / ethers, മുതലായവ). (തുല്യമായ പദപ്രയോഗമാണ്

ഹോസ്റ്റു ഹോസ്റ്റും ഹോസ്റ്റു ഹോസ്റ്റും അല്ല

host / ehost ന് വേണ്ടി പേരുകളോ നമ്പറുകളോ ഉപയോഗിച്ച് ഇത് ഉപയോഗിക്കാം.) ഈ സിന്റാക്സ് IPv6- പ്രാപ്തമായ കോൺഫിഗറേഷനിൽ ഇപ്പോൾ പ്രവർത്തിക്കില്ല.

dst net net

പാക്കറ്റിന്റെ IPv4 / V6 ലക്ഷ്യസ്ഥാന വിലാസം ഒരു നെറ്റ് വാല്യു നെറ്റ് വാലുണ്ടെങ്കിൽ ശരിയാണോ. നെറ്റ് / ഒരു നെറ്റ്വർക്ക് പേര് അല്ലെങ്കിൽ നെറ്റ്വർക്ക് നമ്പർ (ഒരു നെറ്റ്വർക്കുകൾ കാണുക).

src നെറ്റ് വല

പാക്കറ്റിന്റെ IPv4 / V6 സോഴ്സ് വിലാസം നെറ്റ് വറ്ക്ക് എന്ന ക്രമത്തിലുണ്ടെങ്കിൽ ശരി.

നെറ്റ് വല

പാക്കറ്റ് ഉള്ള IPv4 / V6 സോഴ്സ് അല്ലെങ്കിൽ ലക്ഷ്യസ്ഥാന വിലാസം ഒരു നെറ്റ് വാല്യു നെറ്റ് വാലുണ്ടെങ്കിൽ ശരിയാണോ?

നെറ്റ് നെറ്റ് മാസ്ക് നെറ്റ്മാസ്ക്

ഐപി വിലാസം പ്രത്യേക നെറ്റ്മാസ്കുമായി നെറ്റ് കണക്ട് ചെയ്തിട്ടുണ്ടെങ്കിൽ ശരി. Src അല്ലെങ്കിൽ dst ഉപയോഗിച്ച് യോഗ്യത നേടാം . IPv6 നെറ്റ്വയ്ക്കു് ഈ സിന്റാക്സ് സാധുവല്ല.

നെറ്റ് നെറ്റ് / ലെൻ

IPv4 / V6 വിലാസം ഒരു നെറ്റ്മാസ്ക് ലെൻ ബിറ്റുകളുടെ വീതിയുമായി സാമ്യപ്പെട്ടാൽ ശരി. Src അല്ലെങ്കിൽ dst ഉപയോഗിച്ച് യോഗ്യത നേടാം .

dst പോർട്ട് പോർട്ട്

പാക്കറ്റ് ip / tcp, ip / udp, ip6 / tcp അല്ലെങ്കിൽ ip6 / udp ആണെങ്കിൽ ശരിയ്ക്കും പോർട്ടിന്റെ ഒരു ലക്ഷ്യസ്ഥാന പോർട്ട് മൂല്യം ഉണ്ട്. പോർട്ട് / etc / services ൽ ഉപയോഗിക്കുന്ന നമ്പറോ ഒരു പേരോ ആയിരിക്കാം ( tcp (4P), udp (4P) എന്നിവ കാണുക. ഒരു പേര് ഉപയോഗിച്ചുവെങ്കിൽ, പോർട്ട് നമ്പറും പ്രോട്ടോക്കോളും പരിശോധിച്ചിരിക്കുന്നു. ഒരു സംഖ്യ അല്ലെങ്കിൽ വ്യക്തമല്ലാത്ത നാമം ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ, പോർട്ട് നമ്പർ മാത്രമേ പരിശോധിക്കുകയുള്ളൂ (ഉദാ: dst port 513 tcp / login ട്രാഫിക്, udp / ട്രാഫിക്, പ്രിന്റ് എന്നീ ഡൊമെയ്നുകൾ tcp / domain, udp / domain ട്രാഫിക് എന്നിവ അച്ചടിക്കും).

src പോർട്ട് പോർട്ട്

പാക്കറ്റിന്റെ പോർട്ട് സ്രോതസ്സ് പോർട്ട് മൂല്യമുണ്ടെങ്കിൽ ശരിയാണോ ?

പോർട്ട് പോർട്ട്

പാക്കറ്റ് സ്രോതസ്സ് അല്ലെങ്കിൽ ഉദ്ദിഷ്ടസ്ഥാന പോർട്ട് പോർട്ട് ആണെങ്കിൽ ശരി. മുകളിൽ പറഞ്ഞിരിക്കുന്ന പോർട്ട് എക്സ്പ്രഷനുകൾ കീവേഡുകൾ, tcp അല്ലെങ്കിൽ udp എന്നിവയ്ക്കൊപ്പം മുൻകൈയെടുക്കാം :

tcp src പോർട്ട് പോർട്ട്

സോഴ്സ് പോർട്ട് തുറമുഖം ആയ tcp പാക്കറ്റുകൾ മാത്രം പൊരുത്തപ്പെടുന്ന.

കുറഞ്ഞ ദൈർഘ്യം

പാക്കറ്റിന്റെ നീളം അല്ലെങ്കിൽ നീളം അല്ലെങ്കിൽ തുല്യമോ ആണെങ്കിൽ ശരി. ഇത് ഇതിന് തുല്യമാണ്:

len <= ദൈർഘ്യം .

വലിയ ദൈർഘ്യം

പാക്കറ്റിന്റെ നീളം അല്ലെങ്കിൽ നീളം തുല്യമോ ആണെങ്കിൽ ശരി. ഇത് ഇതിന് തുല്യമാണ്:

len> = നീളം .

ip പ്രോട്ടോ പ്രോട്ടോകോൾ

പാക്കറ്റ് ഒരു IP പാക്കറ്റ് ആണെങ്കിൽ ശരി ( ip (4P) കാണുക) പ്രോട്ടോക്കോൾ ടൈപ്പ് പ്രോട്ടോക്കോൾ . IMp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , അല്ലെങ്കിൽ tcp പേരുകളിൽ ഒന്നോ അതിലധികമോ പ്രോട്ടോക്കോൾ ആയിരിക്കാം. ഐസിഫയറുകൾ tcp , udp , icmp എന്നിവയും കീവേഡുകളാണ്, അവ C- ഷെല്ലിലെ ബസ് സ്ലാസ് (\) വഴി രക്ഷപെടണം . ഈ പ്രിമിറ്റോൽ പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ ചെയിനെ പിന്തുടരുന്നില്ലെന്ന് ശ്രദ്ധിക്കുക.

ip6 പ്രോട്ടോ പ്രോട്ടോകോൾ

പാക്കറ്റ് പ്രൊട്ടോക്കോൾ ടൈപ്പ് പ്രോട്ടോക്കോളിലുള്ള ഒരു IPv6 പാക്കറ്റ് ആണെങ്കിൽ, ശരി. ഈ പ്രിമിറ്റോൽ പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ ചെയിനെ പിന്തുടരുന്നില്ലെന്ന് ശ്രദ്ധിക്കുക.

ip6 പ്രോട്ടോക്കോൺ പ്രോട്ടോകോൾ

പാക്കറ്റ് IPv6 പാക്കറ്റ് ആണെങ്കിൽ ശരി, അതിന്റെ പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ ചെയിനിൽ ടൈപ്പ് പ്രോട്ടോക്കോൾ ഉപയോഗിച്ചു് പ്രോട്ടോക്കോൾ ഹെഡർ ലഭ്യമാക്കുന്നു. ഉദാഹരണത്തിന്,

ip6 പ്രോട്ടോക്കോള് 6

പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ ചെയിനിൽ TCP പ്രോട്ടോക്കോൾ ഹെഡററിനൊപ്പം ഏതെങ്കിലും IPv6 പാക്കറ്റുമായി പൊരുത്തപ്പെടുന്നു. IPv6 ഹെഡറും TCP ഹെഡർറുമുളള പൊതിയിൽ, ഉദാഹരണത്തിന്, ആധികാരികത ഉറപ്പാക്കൽ ഹെഡ്ഡർ, റൌട്ടിങ് ഹെഡ്ഡർ, അല്ലെങ്കിൽ ഹോപ്-ബൈ-ഹോസ്റ്റ് ഐച്ഛിക ശീർഷകം എന്നിവ അടങ്ങിയിരിക്കാം. ഈ പ്രിമിറ്റീവ് പുറത്തുവിടുന്ന ബിപിഎഫ് കോഡ് സങ്കീർണ്ണമാണ്, tcpdump ലെ BPF ഒപ്റ്റിമൈസർ കോഡ് ഉപയോഗിച്ച് ഇത് ഒപ്റ്റിമൈസുചെയ്യാൻ കഴിയുകയില്ല, അതിനാൽ ഇത് അൽപ്പം പതുക്കെയാകും.

ip പ്രോട്ടോക്കോൺ പ്രോട്ടോകോൾ

IP6 പ്രോട്ടോക്കോൺ പ്രോട്ടോക്കോളുമായി സമതുലിതമാണ് , എന്നാൽ ഇത് IPv4- നുള്ളതാണ് .

എതർ പ്രക്ഷേപണം

പാക്കറ്റ് ഒരു ഇഥർനെറ്റ് പ്രക്ഷേപണ പാക്കേജാണെങ്കിൽ ശരി. ഈഥർ കീവേഡ് നിർബന്ധമാണ്.

ip പ്രക്ഷേപണം

പാക്കറ്റ് ഒരു IP ബ്രോഡ്കാസ്റ്റ് പാക്കറ്റ് ആണെങ്കിൽ ശരി. ഇത് എല്ലാ സരസറുകൾക്കും എല്ലാ പ്രേക്ഷകൾക്കും ബ്രോഡ്കാസ്റ്റ് കൺവെൻഷനുകൾ പരിശോധിക്കുന്നു, കൂടാതെ പ്രാദേശിക സബ്നെറ്റിലെ മാസ്ക് നോക്കുന്നു.

ഈഥർ മൾട്ടികാസ്റ്റ്

പാക്കറ്റ് ഒരു ഇഥർനെറ്റ് മൾട്ടികാസ്റ്റ് പാക്കറ്റ് ആണെങ്കിൽ, ശരി. ഈഥർ കീവേഡ് നിർബന്ധമാണ്. ഈഥർ [0] & 1! = 0 'എന്നതിനായുള്ള ചുരുക്കമാണ് ഇത്.

ip മൾട്ടികാസ്റ്റ്

പാക്ക് ഒരു ഐപി മൾട്ടികാസ്റ്റ് പാക്കറ്റ് ആണെങ്കിൽ ശരി.

ip6 മൾട്ടികാസ്റ്റ്

പാക്കറ്റ് ഒരു IPv6 മൾട്ടികാസ്റ്റ് പാക്കറ്റ് ആണെങ്കിൽ ശരി.

ഈമെയിൽ പ്രോട്ടോ പ്രോട്ടോകോൾ

പാക്കറ്റ് ഈഥർ ടൈപ്പ് പ്രോട്ടോക്കോളാണെങ്കിൽ ശരി. Ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , അല്ലെങ്കിൽ netbeui എന്നീ പേരുകളിൽ ഒന്നോ അതിലധികമോ പ്രോട്ടോക്കോൾ ആകാം . ഈ ഐഡന്റിഫയറുകൾ കീവേഡുകളാണെന്നും അവ ബാക്കപ്പ് (\) വഴി രക്ഷപെടണം എന്ന് ശ്രദ്ധിക്കുക.

ഈ പ്രോട്ടോകോളുകളിൽ മിക്കതിനും , FDDI (ഉദാ: ` fddi പ്രോട്ടോക്കോൾ arp '), ടോക്കൺ റിങ് (ഉദാ,` ട്രോ പ്രോട്ടോകോൾ arp ') എന്നിവയിൽ, പ്രോട്ടോകോൾ ഐഡന്റിഫിക്കേഷൻ 802.2 ലോജിക്കൽ ലിങ്ക് കൺട്രോൾ (LLC) ഹെഡ്ഡറിൽ നിന്നാണ് വരുന്നത് സാധാരണയായി FDDI അല്ലെങ്കിൽ ടോക്കൺ റിംഗിലെ തലക്കെട്ടിൽ മുകളിൽ ലേയർ ചെയ്യുന്നു.

FDDI അല്ലെങ്കിൽ ടോക്കൺ റിംഗിലെ മിക്ക പ്രോട്ടോക്കോൾ ഐഡന്റിഫയറുകൾക്കും ഫിൽട്ടറിംഗ് ചെയ്യുമ്പോൾ, tcpdump ഒരു എസ്.ഇ.എസ്.എൽ ഫോർമാറ്റിന്റെ ഒരു പ്രോട്ടോകോൾ ഐഡി ഫീൽഡ് മാത്രം പരിശോധിക്കുന്നു, ഇത് കോൺക്യുചെയ്യുന്നറ്റഡ് ഇഥർനെറ്റിനായി 0x000000 എന്ന ഓർഗനൈസേഷണൽ യൂണിറ്റ് ഐഡന്റിഫയർ (OUI); 0x000000 എന്ന OUI ഉള്ള എസ്എൻഎപി ഫോർമാറ്റിലാണോ പാക്കറ്റ് എന്ന് പരിശോധിക്കുന്നില്ല.

LLC ഹെഡറും STP , നെറ്റ്ബില്ലും ലെ എസ്എസ്എപി (ഉറവിട സർവീസ് ആക്സസ് പോയിന്റ്) എസ്എസ്എപി (ഉറവിട സർവീസ് ആക്സസ് പോയിന്റ്) ഫീൽഡുകളും പരിശോധിക്കുന്ന ഹെൽജർ ഹെഡ്ഡറിന്റെ DSAP, ആൽക്കാം 0x080007 ൻറെ OUI, Appletalk etype എന്നിവയ്ക്കൊപ്പം ഒരു SNAP- ഫോർമാറ്റ് പാച്ചിനുള്ള പരിശോധിക്കുന്നു.

ഈഥർനെറ്റ് ഡിവൈസിൽ, ആ പ്രോട്ടോക്കോളുകൾക്ക് tcpdump ഇഥർനെറ്റ് ടൈപ്പ് ഫീൾഡ് പരിശോധിക്കുന്നു; 802.3 ഫ്രെയിം പരിശോധിക്കുന്ന ഇസോ , SAP , നെബുയിയി എന്നിവയാണ് ഒഴിവാക്കലുകൾ. എഫ്എച്ച്ടിഇ , ടോക്കൻ റിംഗ്, ആറ്റ്ലക്ക്ക് എറ്റെപ്റ്റിനായി ഇതെർനെറ്റ് ഫ്രെയിമിനായി പരിശോധിക്കുന്നു. FDDI, ടോക്കൺ റിങ്, aarp എന്നിവയ്ക്കായി SNAP- ഫോർമാറ്റ് പാച്ചർ പോലെ ഇത് ഒരു എഥർനെറ്റ് ഫ്രെയിം അല്ലെങ്കിൽ 0x000000 ന്റെ OUI ഉപയോഗിച്ച് 802.2 എസ്എൻഎപി ഫ്രെയിമിലോ ആപ്പ്ലാൽക് ARP എറ്റെപ്റ്റിനായി പരിശോധിക്കുന്നു, IPX എറ്റെപ് ഇൻ ഒരു എതെർനെറ്റ് ഫ്രെയിം, LLC ഹെഡ്ഡറിൽ IPX DSAP, 802.3, ഐ.എസ്.എൽ. എന്ന ഹെൽപ് കോർപ്പറേഷൻ, എസ്എപിഎപി ഫ്രെയിമിൽ IPX എറ്റെപ്റ്റ് എന്നിവ ഇല്ലാത്തതാണ്.]

decnet src ഹോസ്റ്റ്

DECNET ഉറവിട വിലാസം ഹോസ്റ്റ് ആണെങ്കിൽ ശരി, `` 10.123 '' അല്ലെങ്കിൽ ഒരു DECNET ഹോസ്റ്റ് നാമത്തിന്റെ വിലാസം ആയിരിക്കാം. [DECNET പ്രവർത്തിപ്പിക്കുന്നതിന് കോൺഫിഗർ ചെയ്തിരിക്കുന്ന അൾട്രേർഗ് സിസ്റ്റങ്ങളിൽ മാത്രമേ DECNET ഹോസ്റ്റ് നാമ പിന്തുണ ലഭ്യമാകൂ.]

decnet dst host

DECNET ലക്ഷ്യസ്ഥാന വിലാസം ഹോസ്റ്റ് ആണെങ്കിൽ ശരി.

decnet ഹോസ്റ്റ് ഹോസ്റ്റ്

DECNET ഉറവിടമോ അല്ലെങ്കിൽ ലക്ഷ്യ സ്ഥാനമോ ഹോസ്റ്റാണെങ്കിൽ ശരിയാണ്.

ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui

ഇതിനായുള്ള സംഗ്രഹങ്ങൾ:

ഈഥർ പ്രോട്ടോ പേ

p ഇവിടെ മുകളിലുള്ള പ്രോട്ടോക്കോളുകളിൽ ഒന്ന്.

ലാറ്റ് , moprc , mopdl

ഇതിനായുള്ള സംഗ്രഹങ്ങൾ:

ഈഥർ പ്രോട്ടോ പേ

p ഇവിടെ മുകളിലുള്ള പ്രോട്ടോക്കോളുകളിൽ ഒന്ന്. ഈ പ്രോട്ടോക്കോളുകൾ എങ്ങനെ പാഴ്സ് ചെയ്യാം എന്ന് tcpdump ഇപ്പോൾ അറിയില്ല.

vlan [vlan_id]

പാക്കറ്റ് IEEE 802.1Q VLAN പാക്കറ്റ് ആണെങ്കിൽ ശരി. [Vlan_id] വ്യക്തമാക്കിയിട്ടുണ്ടെങ്കിൽ, പാക്കേജിനു് മാത്രമുള്ള വിഎൻസിഡ് മാത്രമേ ഉള്ളൂ . എക്സ്പീരിയനിൽ നേരിട്ട ആദ്യ vlan കീവേഡ് പാക്കറ്റ് ഒരു വിഎൽഎഎൻ പാക്കറ്റിന്റെ അനുമാനത്തിൽ ഡീമോഡിങ് ഓഫ്സെറ്റുകൾ ബാക്കിയുള്ള എക്സ്പ്രഷനിലേയ്ക്ക് മാറ്റുന്നു.

tcp , udp , icmp

ഇതിനായുള്ള സംഗ്രഹങ്ങൾ:

ip proto p അല്ലെങ്കിൽ ip6 പ്രോട്ടോ p

p ഇവിടെ മുകളിലുള്ള പ്രോട്ടോക്കോളുകളിൽ ഒന്ന്.

ഐസോ പ്രോട്ടോ പ്രോട്ടോകോൾ

പാക്കറ്റ് പ്രൊട്ടോക്കോൾ ടൈപ്പ് പ്രോട്ടോക്കോളിലെ ഒരു ഒഎസ്ഐ പാക്കറ്റ് ആണെങ്കിൽ ശരി. പ്രോട്ടോക്കോൾ ക്ലോൺ , എസിസ് അല്ലെങ്കിൽ ഐസിസ് പേരുകളിൽ ഒന്നോ അല്ലെങ്കിൽ ഒന്നോ ആയിരിക്കാം .

clnp , esis , isis

ഇതിനായുള്ള സംഗ്രഹങ്ങൾ:

ഐസോ പ്രോട്ടോ പി

p ഇവിടെ മുകളിലുള്ള പ്രോട്ടോക്കോളുകളിൽ ഒന്ന്. Tcpdump ഈ പ്രോട്ടോക്കോളുകൾ പാഴ്സ് ചെയ്യുന്നതിനായി ഒരു അപൂർവ്വമായ ജോലിയാണു് ചെയ്യുന്നതു്.

expr relop expr

ഒരു ബന്ധം ഉണ്ടെങ്കിൽ, < ref >, =, <=, = ,! =, പിന്നെ, expr എന്നത് ഇൻറീജർ സ്ഥിരാങ്കങ്ങൾ (സാധാരണ C സിന്റാക്സിൽ സൂചിപ്പിക്കുന്നത്), സാധാരണ ബൈനറി ഓപ്പറേറ്റർമാർ [ , -, *, /, &, |], ഒരു നീളം ഓപ്പറേറ്റർ, പ്രത്യേക പാക്കറ്റ് ഡാറ്റ ആക്സസറുകൾ. പാക്കേജിനുളളിലുള്ള ഡേറ്റാ ലഭ്യമാക്കുന്നതിനായി, ഈ സിന്റാക്സ് ഉപയോഗിക്കുക:

ആമുഖം [ expr : size ]

പ്രോട്ടോ Ether, fddi, tr, PPP, സ്ലിപ്പ്, ലിങ്ക്, ip, arp, rarp, tcp, udp, icmp അല്ലെങ്കിൽ ip6 എന്നിവയിൽ ഒന്നാണ് , കൂടാതെ ഇൻഡക്സ് പ്രവർത്തനത്തിനുള്ള പ്രോട്ടോക്കോൾ ലെയറിനെ സൂചിപ്പിക്കുന്നു. ( ether, fddi, tr, ppp, സ്ലിപ്പ് ലിങ്ക് ലിങ്കുചെയ്യുക.) സൂചിപ്പിക്കപ്പെട്ട പ്രോട്ടോക്കോൾ ലെയറുകളുമായി ബന്ധപ്പെട്ട് ബായ്റ്റ് ഓഫ്സെറ്റ്, പുറകോട്ട് നൽകുന്നു . തുക ഓപ്ഷണൽ ആണ്, താൽപ്പര്യമുള്ള മേഖലയിലെ ബൈറ്റുകളുടെ എണ്ണം സൂചിപ്പിക്കുന്നു; ഒന്നോ രണ്ടോ, അല്ലെങ്കിൽ നാലോ, ഒന്നിനൊന്ന് സ്ഥിരസ്ഥിതിയായിരിക്കാം. കീവേഡ് ലെൻ സൂചിപ്പിക്കുന്ന നീളം ഓപ്പറേറ്റർ, പാക്കറ്റിന്റെ നീളം നൽകുന്നു.

ഉദാഹരണത്തിന്, ' ether [0] & 1! = 0 ' എല്ലാ മൾട്ടികാസ്റ്റ് ട്രാഫിക്കും പിടിക്കുന്നു. ' Ip [0] & 0xf! = 5 ' എന്ന എക്സ്പ്രെഷൻ ഓപ്ഷനുകൾ ഉപയോഗിച്ച് എല്ലാ ഐപി പാക്കറ്റുകളും പിടിച്ചെടുക്കുന്നു. ' Ip [6: 2] & 0x1fff = 0 ' എന്ന എക്സ്പ്രെഷൻ മാത്രം വേർതിരിച്ചെടുക്കാത്ത datagrams, ചുരുക്കിയ സംഖ്യകളുടെ സംഖ്യ എന്നിവ മാത്രമേ കാണുകയുള്ളൂ. ഈ പരിശോധന tcp , udp എന്നീ ഇന്ഡക്സ് ഓപ്പറേഷനുകളിലേക്ക് അപ്രസക്തമായി പ്രയോഗിക്കുന്നു. ഉദാഹരണത്തിന്, tcp [0] എന്നത് എല്ലായ്പ്പോഴും ടിസിപി ഹെഡ്ഡറിന്റെ ആദ്യ ബൈറ്റ് എന്നാണ്, ഒരിക്കലും ഒരു ഇടവേള അടിക്കുറിപ്പിന്റെ ആദ്യ ബൈറ്റ് എന്നൊന്നില്ല.

ചില ഓഫ്സെറ്റുകളുടേയും ഫീൽഡ് മൂല്യങ്ങളുടേയും സംഖ്യകളുടെ എണ്ണത്തേക്കാൾ പകരം പേരുകൾ നൽകിയിരിക്കാം. താഴെ പറയുന്ന പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ ഫീൽഡ് ഓഫ്സെറ്റുകൾ ലഭ്യമാണ്: icmptype (ICMP ടൈപ്പ് ഫീൽഡ്), icmpcode (ICMP കോഡ് ഫീൽഡ്), tcpflags (TCP ഫ്ലാഗുകൾ ഫീൽഡ്).

താഴെ പറഞ്ഞിരിക്കുന്ന ICMP ടൈപ്പ് ഫീൽഡ് മൂല്യങ്ങൾ ലഭ്യമാണ്: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -ststampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

TCP ഫ്ലാഗുകൾ ഫീൽഡ് മൂല്യങ്ങൾ ലഭ്യമാണ്: tcp-fin , tcp-syn , tcp-rst , tcp-push , tcp-push , tcp-ack , tcp- പ്രസ്സ് .

പ്രൈമിറ്റീസ് ഉപയോഗിച്ച് ഇത് കൂട്ടിച്ചേർക്കാം:

പരന്പരകളും ഓപ്പറേറ്റർമാരുടമടങ്ങിയ ഒരു പരസ്പര പരിപാലന സംഘം (പരാൻതീസിസ് ഷെല്ലിന് പ്രത്യേകതയുണ്ട്, അവ രക്ഷപെടണം).

നിരാകരണം (` ! അല്ലെങ്കിൽ ' അല്ല ').

കൺകണനേഷൻ (` && 'അല്ലെങ്കിൽ` , ').

ആൾട്ടർനേറ്റർ (` || അല്ലെങ്കിൽ` അല്ലെങ്കിൽ ').

നിഷേധത്തിന് ഏറ്റവും ഉയർന്ന മുൻഗണനയുണ്ട്. മാറ്റത്തിനും സങ്കലനത്തിനും തുല്യ പ്രാധാന്യം ഉണ്ട്, ഇടത് വലത് സഹിതം. സങ്കീർണ്ണതയ്ക്കായി ഇപ്പോൾ സ്പഷ്ടവും ടോക്കൺസും ചേർക്കേണ്ടത് ആവശ്യമാണ്.

ഒരു കീവേഡ് ഇല്ലാതെ ഒരു ഐഡന്റിഫയർ നൽകിയിട്ടുണ്ടെങ്കിൽ, ഏറ്റവും പുതിയ കീവേഡ് അനുമാനിക്കുന്നു. ഉദാഹരണത്തിന്,

ഹോസ്റ്റുമായും ആസൂത്രണത്തിലുമല്ല

ഇതിനായി ചെറുതാണ്

ഹോസ്റ്റുമായും ഹോസ്സിനേയും അല്ല

ഇത് ആശയക്കുഴപ്പത്തിലാക്കരുത്

അല്ല (ഹോസ്റ്റിനെതിരെ അല്ലെങ്കിൽ ഏസ്)

ഒരൊറ്റ ആർഗ്യുമെന്റോ ഒന്നിലധികം ആർഗ്യുമെന്റുകളാണോ tcpdump ആയി എക്സ്പ്രഷൻ വാദങ്ങൾ പാസ്സാക്കാൻ സാധിക്കുന്നത്. സാധാരണയായി പറഞ്ഞാൽ, ഷെൽ മെറ്റാച്ചറേറ്ററുകൾ ആവിഷ്ക്കരിക്കുകയാണെങ്കിൽ, ഒരൊറ്റ, ഉദ്ധരിച്ച ആർഗ്യുമെന്റായി കൈമാറുന്നതാണ് എളുപ്പം. പാഴ്സുചെയ്യുന്നതിന് മുമ്പ് സ്പെയ്സുകളുമായി ഒന്നിലധികം ആർഗ്യുമെന്റുകൾ കൂട്ടിച്ചേർത്തിരിക്കുന്നു.

EXAMPLES

സൺഡേനിൽ നിന്നും എത്തുന്നതോ പോകുന്നതോ ആയ എല്ലാ പാക്കറ്റുകളും പ്രിന്റ് ചെയ്യാൻ:

tcpdump ഹോസ്റ്റ് സൺഡൗൺ

ഹീലിയോ അല്ലെങ്കിൽ ചൂടുള്ളതോ ആസ്സിയോ ഇടയിൽ ട്രാഫിക് അച്ചടിക്കാൻ:

tcpdump ഹോസ്റ്റുകൾ ഹീലിയസും \ (hot or ace \)

ഹീലിയെ ഒഴികെ മറ്റും ഐസ് പാക്കറ്റുകളെല്ലാം പ്രിന്റ് ചെയ്യാൻ:

tcpdump ip ഹോസ്റ്റ് ഏസ് അല്ല ഹീലിയൊ അല്ല

ബെർക്കിലിയിലെ പ്രാദേശിക ഹോസ്റ്റുകൾക്കും ഹോസ്റ്റുകൾക്കും ഇടയിലുള്ള എല്ലാ ട്രാഫിക്കും പ്രിന്റ് ചെയ്യാൻ:

tcpdump net ucb-ether

ഇൻറർനെറ്റ് ഗേറ്റ്വേ സ്നാപ്പ് വഴി എല്ലാ ftp ട്രാഫിക്കും പ്രിന്റ് ചെയ്യാൻ (ശ്രദ്ധിക്കുക: expression parentheses വ്യാഖ്യാനിക്കുന്നതിൽ നിന്ന് ഷെൽ തടയാനായി ഉദ്ധരിച്ചതാണ്)

tcpdump 'ഗേറ്റ്വേ സ്നാപ്പ് കൂടാതെ (port ftp അല്ലെങ്കിൽ ftp-data)'

ട്രാഫിക്ക് പ്രിന്റ് ചെയ്യുവാനോ അല്ലെങ്കിൽ പ്രാദേശിക ഹോസ്റ്റുകൾക്ക് നിർദ്ദേശിക്കാനോ കഴിയില്ല (നിങ്ങൾ ഒരു നെറ്റ്വർക്കിലേക്ക് പ്രവേശിക്കുന്നുവെങ്കിൽ ഇത് നിങ്ങളുടെ പ്രാദേശിക നെറ്റ്വർക്കിലേക്ക് ഒരിക്കലും ഉണ്ടാക്കരുത്).

net localnet അല്ല, tcpdump ip ആണ്

നോൺ ലോക്കൽ ഹോസ്റ്റ് ഉൾപ്പെടുന്ന ഓരോ TCP സംഭാഷണത്തിന്റെയും ആരംഭ, അവസാന ഘടകങ്ങൾ (SYN, ഫിൻ പാക്കറ്റുകൾ) പ്രിന്റ് ചെയ്യാൻ.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 കൂടാതെ src, dst നെറ്റ് പ്രാദേശിക നെറ്റ്വർക്കും '

ഗേറ്റ്വേ snap വഴി അയച്ച 576 ബൈറ്റുകളേക്കാൾ ദൈർഘ്യമേറിയ IP പാക്കറ്റുകൾ പ്രിന്റ് ചെയ്യാൻ :

tcpdump 'ഗേറ്റ്വേ സ്നാപ്പ് ആൻഡ് ip [2: 2]> 576'

ഈഥർനെറ്റ് ബ്രോഡ്കാസ്റ്റ് അല്ലെങ്കിൽ മൾട്ടികാസ്റ്റ് വഴി അയച്ചതെന്ന IP പ്രക്ഷേപണം അല്ലെങ്കിൽ മൾട്ടികാസ്റ്റ് പാക്കറ്റുകൾ പ്രിന്റ് ചെയ്യാൻ:

tcpdump 'ether [0] & 1 = 0, ip [16]> = 224'

Echo requests / replies അല്ലാത്ത എല്ലാ ICMP പാക്കറ്റുകളും (അതായത്, ping പാക്കറ്റുകൾ അല്ല) പ്രിന്റ് ചെയ്യാൻ:

tcpdump 'icmp [icmptype]! = icmp-echo, icmp [icmptype]! = icmp-echoreply'

ഔട്ട്പുട്ട് രൂപം

Tcpdump ന്റെ ഔട്ട്പുട്ട് പ്രോട്ടോക്കോൾ അനുസരിച്ചാണ്. ഫോര്മാറ്റിന്റെ ഭൂരിഭാഗവും ഒരു ചെറിയ വിവരണം നല്കുന്നു.

ലിങ്ക് ലവൽ ഹെഡ്ഡറുകൾ

'-e' ഓപ്ഷൻ നൽകിയാൽ, ലിങ്കിന്റെ ലെവൽ ഹെഡ്ഡർ അച്ചടിച്ചിരിക്കുന്നു. Ethernets- ൽ, ഉറവിട, ലക്ഷ്യസ്ഥാന വിലാസങ്ങൾ, പ്രോട്ടോക്കോൾ, പാക്കറ്റ് ദൈർഘ്യം എന്നിവ അച്ചടിച്ചിരിക്കുന്നു.

FDDI നെറ്റ്വർക്കുകളിൽ, '-e' ഓപ്ഷൻ tcpdump `ഫ്രെയിം കൺട്രോൾ 'ഫീൽഡ്, ഉറവിട, ലക്ഷ്യസ്ഥാന വിലാസങ്ങൾ, പാക്കറ്റ് ദൈർഘ്യം എന്നിവ അച്ചടിക്കാൻ കാരണമാകുന്നു. (പോർട്ട് കൺട്രോൾ ഫീൽഡ് മറ്റു പാക്കറ്റിന്റെ വ്യാഖ്യാനത്തെ നിയന്ത്രിക്കുന്നു, സാധാരണ പാക്കറ്റുകൾ (ഐപി ഡാറ്റഗ്രാമുകൾ അടങ്ങിയിരിക്കുന്നവ) 'async' പാക്കറ്റുകൾ ആകുന്നു, കൂടാതെ 0-7 വരെയുള്ള മുൻഗണന മൂല്യം, ഉദാഹരണത്തിന് ` async4 ' പാക്കറ്റുകൾ ഒരു 802.2 ലോജിക്കൽ ലിങ്ക് കണ്ട്രോൾ (LLC) പാക്കറ്റ് ഉൾക്കൊള്ളുന്നു, എസ്എസ്എപി പാക്കറ്റ് എന്നു വിളിക്കപ്പെടുന്ന ഐഎസ്ഒ ഡാറ്റാഗ്രാം അല്ലെങ്കിൽ എസ്ഇഎപി പാറ്റേൺ അല്ലാത്ത പക്ഷം LLC ഹെഡ്ഡർ അച്ചടിക്കപ്പെടും.

ടോക്കൺ റിംഗുകൾ നെറ്റ്വർക്കുകളിൽ, '-e' ഓപ്ഷൻ tcpdump `ആക്സസ് കണ്ട്രോൾ ',` ഫ്രെയിം കൺട്രോൾ' ഫീൽഡുകൾ, ഉറവിട, ഉദ്ദിഷ്ട സ്ഥാനങ്ങൾ, പാക്കറ്റ് ദൈർഘ്യം എന്നിവ അച്ചടിക്കാൻ കാരണമാകുന്നു. FDDI നെറ്റ്വർക്കുകളെപ്പോലെ ഒരു എൽ.ഇ.ഒ പാക്കറ്റ് അടങ്ങിയിട്ടുള്ളതായി കണക്കാക്കപ്പെടുന്നു. '-e' ഓപ്ഷൻ വ്യക്തമാക്കിയിട്ടുണ്ടോ ഇല്ലയോ എന്നത് പരിഗണിക്കാതെ ഉറവിട റൂട്ടിംഗ് പാക്കറ്റുകൾക്കായി സോഴ്സ് റൂട്ടിംഗ് വിവരം പ്രിന്റുചെയ്യുന്നു.

(NB: RFC-1144 ൽ വിവരിച്ചിരിക്കുന്ന SLIP കമ്പ്രഷൻ അൽഗോരിതം പരിചയപ്പെടുത്തുന്നതാണ് താഴെ.

SLIP ലിങ്കുകളിൽ, ഒരു ദിശ സൂചകം (പുറത്തേയ്ക്കുള്ള "I", "O"), പാക്കറ്റ് തരം, കമ്പ്രഷൻ വിവരങ്ങൾ എന്നിവ അച്ചടിച്ചിരിക്കുന്നു. പാക്കറ്റ് തരം ആദ്യം അച്ചടിച്ചിരിക്കുന്നു. മൂന്നു് രീതികൾ ip , utcp , ctcp എന്നിവയാണു് . Ip പാക്കറ്റുകൾക്ക് കൂടുതൽ വിവരങ്ങളൊന്നും പ്രിന്റ് ചെയ്തിട്ടില്ല. ടിസിപി പാക്കറ്റുകൾക്കു്, ഇതു് അനുസരിച്ചുള്ള കണക്ഷൻ ഐഡൻറിഫയർ പ്രിന്റ് ചെയ്യുന്നു. പാക്കറ്റ് ഞെരുക്കിയതാണെങ്കിൽ, അതിൻറെ എൻകോഡ് ചെയ്ത ഹെഡ്ഡർ അച്ചടിച്ചിരിക്കുന്നു. പ്രത്യേക കേസുകള് * S + n ഉം * SA + n ഉം ആയി പ്രിന്റ് ചെയ്യപ്പെടുന്നു, ഇവിടെ n ആണ് അനുപാതം (അഥവാ സീക്വന്സസ് നമ്പറും ആക്ക്) മാറും. ഇത് ഒരു പ്രത്യേക കേസല്ലെങ്കിൽ, പൂജ്യം അല്ലെങ്കിൽ കൂടുതൽ മാറ്റങ്ങൾ പ്രിന്റ് ചെയ്യുന്നു. A (ak), S (സീക്വൻസി നമ്പർ), I (പാക്കറ്റ് ഐഡി), തുടർന്ന് ഡെൽറ്റാ (+ n അല്ലെങ്കിൽ -n), അല്ലെങ്കിൽ ഒരു പുതിയ മൂല്യം എന്നിവ സൂചിപ്പിക്കുന്ന ഒരു മാറ്റം U (അടിയന്തിര സൂചകങ്ങൾ), W (വിൻഡോ), A (ack) (= n). അവസാനമായി, പാക്കറ്റിലുള്ളതും ഞെരുക്കമുള്ള ഹെഡർറിലുള്ളതുമായ ഡാറ്റ പ്രിന്റ് ചെയ്യുന്നു.

ഉദാഹരണത്തിന്, ഇൻകമിങ് കണക്ഷൻ ഐഡന്റിഫയർ ഉള്ള ഒരു ഔട്ട്ബൗണ്ട് കംപ്രസ്സ് ചെയ്ത TCP പാക്കറ്റ് താഴെ വരിയിൽ കാണിക്കുന്നു; ack 6 മാറ്റി, സീക്വൻസിൻറെ നമ്പർ 49 ഉം പാക്ക് ഐഡി 6 ആയും മാറ്റിയിരിക്കുന്നു; ചുരുക്കത്തിൽ 3 ബൈറ്റുകളുടെ ഡാറ്റയും 6 ബൈറ്റുകൾ കംപ്രസ് ചെയ്ത ഹെഡർയും ഉണ്ട്:

O ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP പാക്കറ്റുകൾ

Arp / rarp ഔട്ട്പുട്ട് അഭ്യർത്ഥന തരവും അതിന്റെ ആർഗ്യുമെന്റുകളും കാണിക്കുന്നു. ഫോർമാറ്റ് സ്വയം വിശദീകരിക്കുന്നതിന് ഉദ്ദേശിച്ചുള്ളതാണ്. ഹോസ്റ്റ് rtsg ൽ നിന്നും host csam ൽ നിന്നും 'rlogin' ആരംഭിച്ച ശേഷം ഒരു ചെറിയ മാതൃക ഇവിടെ കാണാം :

ആർക്ക് ആർക്കാണ് ആർക്കെങ്കിലും ഉണ്ടെന്ന് csam പറയുന്നു- CSAM ൽ

ഇന്റർനെറ്റിലെ ഹോസ്റ്റ് സസത്തിന്റെ ഇഥർനെറ്റ് വിലാസത്തിനായി ആവശ്യപ്പെടുന്ന ആർപി പാക്കറ്റ് അയച്ചതായി ആദ്യ വരി പറയുന്നു. ഇഥറ്നെറ്റ് വിലാസം ഉപയോഗിച്ച് സാസ്മ മറുപടികൾ (ഈ ഉദാഹരണത്തിൽ, ഇഥർനെറ്റ് വിലാസങ്ങൾ ലോവർ കേസിൽ ക്യാപ്സും ഇൻറർനെറ്റ് വിലാസവും ആകുന്നു).

നമ്മൾ tcpdump -n ചെയ്തെങ്കിൽ ഇതു് ആവർത്തിച്ചു കുറയുന്നതായി കാണാം:

ആർ ആർ ആർ ആർ 128.3.254.6 ലേക്ക് 128.3.254.68 ആർഡ് 128.3.254.6 ആണ്- 02: 07: 01: 00: 01: c4

നമ്മൾ tcpdump -e ചെയ്തു കഴിഞ്ഞാൽ, ആദ്യത്തെ പാക്കറ്റ് പ്രക്ഷേപണം ചെയ്യുന്നതും രണ്ടാമത്തേത് പോയിന്റ്-ടു-പോയിന്റ് കാണും എന്ന വസ്തുത.

ആർഎസ്ടിജി ബ്രോഡ്കാസ്റ്റ് 0806 64: ആർപ് ആർക്ക് ഹുസൈൻ റോൾഗ് സിഎസ്എം ആർടിഎസ്ജി 0806 64: arp മറുപടി CSam- ൽ

ആദ്യ പായ്ക്കിന് ഇഥർനെറ്റ് ഉറവിട വിലാസം RTSG ആണെന്ന് പറയുന്നു, എഥെർനെറ്റ് സംപ്രേക്ഷണ വിലാസം, ഉദ്ദിഷ്ടഭാഗം ഹെക്സ് 0806 (ETHER_ARP ടൈപ്പ്), ആകെ ദൈർഘ്യം 64 ബൈറ്റുകൾ ആയിരുന്നു.

TCP പാക്കറ്റുകൾ

(NB: RFC-793 ൽ വിവരിച്ചിട്ടുള്ള ടിസിപി പ്രോട്ടോക്കോളുമായി താഴെ പറയുന്ന വിവരണങ്ങൾ പരിചയപ്പെടാം.നിങ്ങൾ പ്രോട്ടോക്കോൾ പരിചിതമല്ലെങ്കിൽ, ഈ വിവരണം അല്ലെങ്കിൽ tcpdump നിങ്ങൾക്ക് വളരെ ഉപയോഗപ്രദമാകും.)

ഒരു tcp പ്രോട്ടോക്കോൾ രേഖയുടെ പൊതുവായ ഫോർമാറ്റ്:

src> dst: flags data-seqno ack ജാലകം അടിയന്തിര ഐച്ഛികങ്ങൾ

ഐപി വിലാസങ്ങളും പോർട്ടുകളും സ്രോതസ്സും ഡെസ്റ്റും ആകുന്നു. എസ് (SYN), F (FIN), പി (PUSH) അല്ലെങ്കിൽ R (RST) അല്ലെങ്കിൽ ഒരു സിംഗിൾ `. (ഫ്ലാഗുകളൊന്നുമില്ല). ഈ പാക്കറ്റിന്റെ ഡാറ്റ അനുസരിച്ച് സീക്വൻ സ്പെയ്സിന്റെ ഭാഗം വിശദീകരിയ്ക്കുന്നു (ചുവടെയുള്ള ഉദാഹരണം കാണുക). ഈ കണക്കിന് മറ്റൊരു ദിശ പ്രതീക്ഷിച്ച അടുത്ത ഡാറ്റയുടെ Ack ആണ് നമ്പർ. ഈ കണക്ഷനുള്ള മറ്റ് ദിശകൾ ലഭിയ്ക്കുന്ന ബഫറിനുള്ള ബൈറ്റുകളുടെ എണ്ണം വിൻഡോസ് ആകുന്നു . പാക്കറ്റിലെ അടിയന്തിര ഡാറ്റാ ഉണ്ടെന്ന് ഊർജ് സൂചിപ്പിക്കുന്നു. ഓപ്ഷനുകൾക്ക് cc ബ്രാക്കറ്റുകളിലാണ് (ഉദാ: ) അടങ്ങിയ tcp ഓപ്ഷനുകൾ.

Src, dst ഉം flags എല്ലായ്പ്പോഴും ഉണ്ട്. മറ്റു് ഫീൾഡുകൾ പാക്കറ്റിന്റെ tcp പ്രോട്ടോക്കോൾ ഹെഡറിന്റെ ഉള്ളടക്കത്തെ ആശ്രയിയ്ക്കുന്നു. ഉചിതമെങ്കിൽ ഔട്ട്പുട്ട് ആകുന്നു.

ഹോസ്റ്റ് rtsg ൽ നിന്നും ഹോസ്റ്റ് csam ലേക്കുള്ള ഒരു rlogin ആരംഭ ഭാഗം ഇവിടെ ഇതാ.

rtsg.1023> csam.login: S 768512: 768512 (0) വിജയിച്ചു 4096 csam.login> rtsg.1023: എസ് 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. ലോഗിൻ: . ack 1 win 4096 rtsg.1023> csam.login: പി 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> cs.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: പി 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: പി 2: 3 (1) ack 21 win 4077 അടിയന്തിര 1 csam.login> rtsg.1023: പി 3: 4 (1) ack 21 win 4077 demand 1

ആദ്യത്തെ വരി പറയുന്നത്, rtsg ൽ tcp port 1023 ഒരു പാക്കറ്റ് അയച്ചു, അത് csam- ൽ പ്രവേശിയ്ക്കുന്നു. എസ്എൻഎൻ ഫ്ലാഗ് സജ്ജമാക്കിയെന്നു സൂചിപ്പിക്കുന്നു. പാക്കറ്റ് സീക്നെസ്സ് നമ്പർ 768512 ആയിരുന്നു, അതിൽ ഡാറ്റയൊന്നും ഇല്ല. (ആദ്യത്തേത് അവസാനത്തേത് (nbytes) 'അവസാനത്തെ നമ്പറുകൾ' എന്നാൽ അവസാനത്തേത് വരെ ഉൾപ്പെടാതെ , ഉപയോക്തൃ ഡാറ്റയുടെ nbytes ബൈറ്റുകൾ ഉൾപ്പെടുത്തിയിട്ടില്ല.) പിഗ്ജി ബാക്ക്ഡ് മക്ക് ഉണ്ടെങ്കിൽ, ലഭ്യമായ കിറ്റ് വിൻഡോ 4096 ബൈറ്റുകൾ ആയിരുന്നു 1024 ബൈറ്റ്സ് ന്റെ mss ആവശ്യപ്പെടുന്ന പരമാവധി സെഗ്മെന്റ് സൈസ് ഓപ്ഷൻ ഉണ്ടായിരുന്നു.

Rtsg ന്റെ സിഎൻഎയ്ക്കു് പിഗ്ജി ബാക്ക്ഡ് ആക് ഉൾപ്പെടുന്നു എന്നതിനേക്കാളും സാമ്യമുള്ള സമാന പാക്കേജിനു് Csam മറുപടി നൽകുന്നു. Rtsg പിന്നീട് csam ന്റെ SYN യെ കുറിക്കുന്നു. `` ഒരു ഫ്ലാഗുകളും സജ്ജമാക്കിയിട്ടില്ല എന്നാണ്. പാക്കറ്റ് വിവരമൊന്നും അടങ്ങിയതിനാൽ ഡാറ്റ ശ്രേണി നമ്പർ ഒന്നുമില്ല. Ack sequence number എന്നത് ഒരു ചെറിയ പൂർണ്ണസംഖ്യയാണെങ്കിൽ (1) ആണ്. ആദ്യമായി tcp `സംഭാഷണം ' tcpdump കാണുന്നു, പാക്കറ്റ് മുതൽ സീക്വൻസ് നമ്പർ പ്രിന്റ് ചെയ്യുന്നു. സംഭാഷണത്തിന്റെ തുടർന്നുള്ള പാക്കറ്റുകളിൽ, നിലവിലുള്ള പാക്കറ്റിന്റെ സീക്വൻസി നമ്പറും ഈ പ്രാരംഭ സീക്വൻസും തമ്മിലുള്ള വ്യത്യാസം അച്ചടിച്ചിരിക്കുന്നു. സംഭാഷണത്തിന്റെ ഡാറ്റ സ്ട്രീമിലെ ആപേക്ഷിക ബൈറ്റ് സ്ഥാനങ്ങൾ (ആദ്യ ദിനം ഓരോ ദിശയിലേക്കും '1' എന്ന് മാത്രം) ഉപയോഗിച്ച് വ്യാഖ്യാനിക്കാനാകുമെന്നാണ് ഇതിനർത്ഥം. ഈ ഫീച്ചർ അസാധുവാക്കും, ഒറിജിനൽ ശ്രേണി നമ്പറുകൾ ഔട്ട്പുട്ട് ചെയ്യുക.

ആറാം ലൈനിൽ rtsg ന്റെ 19 ബൈറ്റുകളുടെ ഡാറ്റാ അയയ്ക്കുകയും (സംഭാഷണത്തിന്റെ rtsg -> csam സൈഡിൽ 2 മുതൽ 20 വരെ ബൈറ്റുകൾ) അയയ്ക്കുകയും ചെയ്യുന്നു. PUSH ഫ്ലാഗ് പാക്കറ്റില് സജ്ജീകരിച്ചിരിക്കുന്നു. ഏഴാം ലൈനിൽ ക്രോം അതിനെ riteg വഴി അയച്ചുകൊടുക്കുന്നു, എന്നാൽ അത് ബൈറ്റ് 21 ഉൾപ്പെടുത്തിയിട്ടില്ല. Csam സ്വീകരിക്കുന്ന ജാലകം 19 ബൈറ്റുകൾ ചെറുതായതിനാൽ ഈ ഡാറ്റ വളരെ സോക്കറ്റ് ബഫറിൽ ഇരിക്കുന്നതാണ്. ഈ പാക്കറ്റിൽ rsg ആയി സേവായും ഒരു ബെയ്റ്റ് ഡാറ്റാ അയയ്ക്കുന്നു. എട്ടാം, ഒൻപത് ലൈനുകളിൽ സസ്സിന്റെ അടിയന്തിര, ഞെട്ടിപ്പിക്കുന്ന വിവരങ്ങൾ രണ്ട് ബൈറ്റുകൾ റേഷൻ ഗുണിന് അയക്കുന്നു.

സ്നാപ്പ്ഷോട്ട് ചെറുതായിരുന്നു എങ്കിൽ, tcpdump പൂർണ്ണ ടിസിപി ശീർഷകം പിടിച്ചെടുത്തില്ല, അതിനെ സൂചിപ്പിക്കുന്ന ഹെഡറിൻറെ വ്യാഖ്യാനങ്ങളും തുടർന്ന് `` | tcp ] '' ബാക്കിയുള്ളവയെ വ്യാഖ്യാനിക്കാൻ കഴിയില്ലെന്ന് സൂചിപ്പിക്കുന്നു. തലക്കെട്ടിൽ ഒരു വ്യാജ ബട്ടൺ അമർത്തിയാൽ (ഹെഡ്ഡറിന്റെ അവസാനത്തേതോ അതിനുമുകളിലോ ഉള്ള ഒരു നീളം ഉണ്ടെങ്കിൽ), tcpdump അതിനെ `` മോശമായ ഒപ്റ്റിക് '' ആയി പ്രഖ്യാപിക്കുന്നു, കൂടാതെ കൂടുതൽ ഓപ്ഷനുകളൊന്നും വ്യാഖ്യാനിക്കുന്നില്ല (കാരണം പറയാൻ സാധ്യമല്ല അവർ എവിടെ തുടങ്ങുന്നു). ഹെഡ്ഡർ നീളം സൂചിപ്പിക്കുന്നത് ഓപ്ഷനുകൾ ഉള്ളതുകൊണ്ട്, ഐടാറ്റ ഡാറ്റാഗ്രാം ദൈർഘ്യം യഥാർത്ഥത്തിൽ അവിടെ ഉണ്ടായിരിക്കാൻ അനുയോജ്യമല്ലെങ്കിൽ, tcpdump അതിനെ `` bad hdr length '' എന്ന് റിപ്പോർട്ടു ചെയ്യുന്നു.

പ്രത്യേക ഫ്ലാഗുകൾ സംയോജിപ്പിച്ചുകൊണ്ട് TCP പാക്കറ്റുകൾ ക്യാപ്ചർ ചെയ്യുന്നു (SYN-ACK, URG-ACK, മുതലായവ)

TCP ശീർഷകത്തിന്റെ നിയന്ത്രണ ബിറ്റുകൾ വിഭാഗത്തിൽ 8 ബിറ്റുകൾ ഉണ്ട്:

CWR | ECE | URG | ACK | പി.എസ്.എച്ച് | RST | SYN | FIN

ഒരു TCP കണക്ഷൻ സ്ഥാപിക്കുന്നതിനായി ഉപയോഗിക്കുന്ന പാക്കറ്റുകൾ കാണാൻ നമ്മൾ ആഗ്രഹിക്കുന്നുവെന്ന് കരുതുക. ഒരു പുതിയ കണക്ഷൻ ആരംഭിക്കുമ്പോൾ TCP ഒരു 3-വേ ഹാൻഡ്ഷെയ്ക്ക് പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുമെന്ന കാര്യം ഓർക്കുക; ടിസിപി നിയന്ത്രണ ബിറ്റുകളെ സംബന്ധിച്ചുള്ള കണക്ഷൻ ക്രമം

1) കോളർ SYN അയക്കുന്നു

2) സ്വീകർത്താവ് SYN, ACK നോട് പ്രതികരിക്കുന്നു

3) കോളർ ACK അയക്കുന്നു

ഇപ്പോൾ SYN ബിറ്റ് സെറ്റ് (ഘട്ടം 1) മാത്രമുള്ള പാക്കറ്റുകൾ ക്യാപ്ചർ ചെയ്യാൻ ഞങ്ങൾക്ക് താൽപര്യമുണ്ട്. സ്റ്റെയിൻ 2 (SYN-ACK) ൽ നിന്നുള്ള പാക്കറ്റുകൾ നമുക്ക് വേണ്ടത്ര പ്രാഥമിക SYN മാത്രമായിരിക്കില്ല എന്ന് ശ്രദ്ധിക്കുക. നമുക്ക് tcpdump- യ്ക്കുള്ള ശരിയായ ഫിൽറ്റർ എക്സ്പ്രെഷൻ ആവശ്യമാണു്.

ഓപ്ഷനുകൾ ഇല്ലാതെ ഒരു ടിസിപി ഹെഡ്ഡർ ഘടന ഓർക്കുക:

0 15 31 ----------------------------------------------- ------------------ | ഉറവിട തുറമുഖം | ലക്ഷ്യസ്ഥാന തുറമുഖം | -------------------------------------------------- --------------- | സീക്വൻസ് നമ്പർ | -------------------------------------------------- --------------- | തിരിച്ചറിവ് നമ്പർ | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | വിൻഡോ വലുപ്പം | -------------------------------------------------- --------------- | TCP ചെക്ക്സം | അടിയന്തിര സൂചകങ്ങൾ | -------------------------------------------------- ---------------

ഓപ്ഷനുകൾ ഉണ്ടെങ്കിൽ, ഒരു TCP ഹെഡ്ഡർക്ക് സാധാരണയായി 20 ഒക്ടേറ്റുകൾ അടങ്ങിയിരിക്കുന്നു. ഗ്രാഫിന്റെ ആദ്യ വരി അക്റ്ററ്റ്സ് 0 - 3 ഉൾക്കൊള്ളുന്നു, രണ്ടാമത്തെ വരി ഒക്റ്റെറ്റ്സ് 4 മുതൽ 7 വരെയുള്ള ദൃശ്യങ്ങൾ കാണിക്കുന്നു.

0 ആയി കണക്കാക്കാൻ തുടങ്ങിയാൽ, ടിസിപി നിയന്ത്രണ ബിറ്റുകളെ അക്റ്ററ്റ് 13 ൽ ഉൾക്കൊള്ളുന്നു:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | വിൻഡോ വലുപ്പം | ---------------- | -------------- | | --------------- | - --------------- | | 13th Octut | | |

നമുക്ക് octet no നോട് നോക്കാം. 13:

| | | --------------- | | സി | ഇ | യു | എ | പി | ആർ | എസ് | എഫ് | | | --------------- | | 7 5 3 0 |

ഞങ്ങൾ താൽപ്പര്യമുള്ള TCP കൺട്രോൾ ബിറ്റാണ്. ഈ ഒക്ടെറ്റിലെ ബിറ്റുകളെ 0 മുതൽ 7 വരെയും വലത്തേയ്ക്ക് ഇടതുവശത്താക്കിയിരിക്കുന്നു, അതിനാൽ PSH ബിറ്റ് നമ്പർ 3 ആണ്, URG ബിറ്റ് 5 ആണ്.

SYN സെറ്റ് മാത്രമുള്ള പാക്കറ്റുകൾ ക്യാപ്ചർ ചെയ്യണമെന്ന് ഓർമിക്കുക. ഒരു തലക്കെട്ടിലുള്ള SYN ബിറ്റ് സെറ്റിനൊപ്പം ഒരു TCP datagram എത്തുമ്പോൾ, അക്റ്ററ്റ് 13 ന് എന്ത് സംഭവിക്കുമെന്ന് നോക്കാം.

| സി | ഇ | യു | എ | പി | ആർ | എസ് | എഫ് | | | --------------- | | 0 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

നിയന്ത്രണം ബിറ്റുകൾ വിഭാഗത്തിൽ നോക്കുമ്പോൾ നമുക്ക് ബിറ്റ് നമ്പർ 1 (SYN) സജ്ജീകരിച്ചിരിക്കുന്നു.

ആക്റ്റീവ് നമ്പർ 13 എന്നത് ഒരു 8-ബിറ്റ് സൈനേർഡ് ഇൻഡിയർ ആണ്, അത് ബൈറ്റ് ഓർഡറിൽ ആയിരിക്കും, ഈ ഒക്റ്റെറ്റിന്റെ ബൈനറി മൂല്യം

00000010

അതിന്റെ ദശാംശ പ്രാതിനിധ്യം

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

ഞങ്ങൾ ഏകദേശം പൂർത്തിയാക്കി, കാരണം ഇപ്പോൾ SYN സജ്ജീകരിച്ചിട്ടുണ്ടെങ്കിൽ, TCP ഹെഡ്ഡറിൽ 13th ഓക്റ്ററിന്റെ മൂല്യം, നെറ്റ്വർക്ക് ബൈറ്റ് ഓർഡറിൽ ഒരു 8-ബിറ്റ് സൈനേർഡ് ഇൻഡൊജറി ആയി വ്യാഖ്യാനിച്ചാൽ, കൃത്യമായിരിക്കണം എന്ന് ഞങ്ങൾക്കറിയാം.

ഈ ബന്ധം പ്രകടിപ്പിക്കാം

tcp [13] == 2

SYN സെറ്റ് മാത്രം ഉൾക്കൊള്ളുന്ന പാക്കറ്റുകൾ കാണാൻ tcpdump എന്ന ഫിൽറ്റർ എന്ന രീതിയിൽ ഈ പ്രയോഗത്തെ നമുക്ക് ഉപയോഗിക്കാം:

tcpdump -i xl0 tcp [13] == 2

"TCP datagram ന്റെ 13 ആം octet ഡെസിമൽ മൂല്യം 2 ആയിരിക്കട്ടെ" എന്ന് എക്സ്പ്രഷൻ പറയുന്നു, അത് തീർച്ചയായും ഞങ്ങൾക്ക് വേണ്ടത് തന്നെയാണ്.

ഇപ്പോൾ SYN പാക്കറ്റുകൾ നമുക്ക് പിടിച്ചെടുക്കേണ്ടതായിരിക്കുമെന്നു കരുതുക, എന്നാൽ ACK അല്ലെങ്കിൽ മറ്റേതെങ്കിലും TCP കൺട്രോൾ ബിറ്റ് ഒരേ സമയം സജ്ജമാക്കിയാൽ ഞങ്ങൾ ശ്രദ്ധിക്കുന്നില്ല. SYN-ACK ഉള്ള TCP ഡേറ്റാഗ്രാം എത്തുമ്പോൾ അക്റ്ററ്റ് 13 നു എന്ത് സംഭവിക്കുമെന്ന് നോക്കാം.

| സി | ഇ | യു | എ | പി | ആർ | എസ് | എഫ് | | | --------------- | | 0 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

ഇപ്പോൾ 1 ഉം 4 ഉം ബിറ്റുകൾക്ക് 13 ആക്റ്റീറ്റിലാണ് സജ്ജീകരിച്ചിരിക്കുന്നത്. അക്റ്ററ്റ് 13 ന്റെ ബൈനറി മൂല്യം

00010010

ഇത് ദശാംശത്തിലേക്ക് വിവർത്തനം ചെയ്യുന്നു

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

ഇപ്പോൾ tcpdump ഫിൽറ്റർ എക്സ്പ്രെഷനിൽ 'tcp [13] == 18' ഉപയോഗിയ്ക്കാൻ പറ്റില്ല, കാരണം സിഎൻഎൻ-എസി കെ സെറ്റുള്ള പാക്കറ്റുകൾ മാത്രമേ അത് തെരഞ്ഞെടുക്കുകയുള്ളൂ, പക്ഷേ സിഎൻഎൻ സെറ്റ് മാത്രം കൊണ്ടല്ല. SYN സജ്ജീകരിച്ചിട്ടുള്ളിടത്തോളം കാലം ACK അല്ലെങ്കിൽ മറ്റേതെങ്കിലും നിയന്ത്രണ ബിറ്റ് സജ്ജമാക്കിയാൽ ഞങ്ങൾക്ക് പ്രശ്നമില്ല.

നമ്മുടെ ലക്ഷ്യം നേടുന്നതിന്, നമുക്ക് SYD ബിറ്റ് നിലനിർത്താൻ മറ്റു മൂല്യങ്ങളോടൊപ്പം ഒക്ടേറ്റിലെ 13 ന്റേയും ബൈനറി മൂല്യത്തിലും വേണം. ഏത് സാഹചര്യത്തിലും SYN സജ്ജീകരിക്കണമെന്ന് ഞങ്ങൾക്കറിയാം, അതിനാൽ നമ്മൾ യുക്തിചിത്രവും 13 ആം ഒക്ടറ്റിലെ ഒരു സിനിയുടെ ബൈനറി മൂല്യവും ഉപയോഗിച്ച് മൂല്യവും:

00010010 SYN-ACK 00000010 SYN, 00000010 (നമുക്ക് SYN) കൂടാതെ 00000010 (ഞങ്ങൾക്ക് SYN ആവശ്യമാണ്) -------- ---- 00 = 00000010 = 00000010

ACK അല്ലെങ്കിൽ മറ്റേതെങ്കിലും TCP കൺട്രോൾ ബിറ്റ് സജ്ജമാക്കിയോ എന്നതും ഈ ഓപ്പറേഷൻ ഒരേ ഫലം നൽകുന്നു. ഈ സംവിധാനത്തിന്റെ ഫലവും, ഫലത്തിന്റെ ഫലവും, ഫലത്തിന്റെ ഫലവും 2 (ബൈനറി 00000010) ആകുന്നു, അതിനാൽ SYN ഉള്ള പാക്കറ്റുകൾക്ക് താഴെപ്പറയുന്ന ബന്ധം ശരിയായിരിക്കണം എന്ന് നമുക്കറിയാം:

((അക്റ്ററ്റ് 13 ൻറെ മൂല്യം), (2)) == (2)

ഇത് നമ്മെ tcpdump ഫിൽറ്റർ എക്സ്പ്രെഷനിൽ കാണുന്നു

tcpdump -i xl0 'tcp [13] & 2 == 2'

Shell ൽ നിന്നും ('&') പ്രത്യേക ക്യാരക്റ്ററിനെ മറയ്ക്കാൻ നിങ്ങൾ ഒറ്റ വരിസംഖ്യ അല്ലെങ്കിൽ ബാക്ക്ലാഷ് ഉപയോഗിക്കുക.

യുഡിപി പാക്കറ്റുകൾ

UDP ഫോർമാറ്റ് താഴെപ്പറയുന്നു.

actinide.who> broadcast.who: udp 84

ഹോസ്റ്റ് ആക്ടിനൈഡിൽ ആരാണ് ഹോസ്റ്റ് ബ്രോഡ്കാസ്റ്റ് , ഇന്റർനെറ്റ് ബ്രോഡ്കാസ്റ്റ് അഡ്രസ്സിൽ പോർട്ട് ചെയ്യാൻ ഒരു udp datagram അയച്ചത്. പാക്കറ്റ് 84 ബൈറ്റുകളുടെ ഉപയോക്തൃ ഡാറ്റ അടങ്ങിയിരിക്കുന്നു.

ചില UDP സേവനങ്ങൾ (ഉറവിട അല്ലെങ്കിൽ ഉദ്ദിഷ്ടസ്ഥാന പോർട്ട് നമ്പറിൽ നിന്ന്) അംഗീകരിച്ചിട്ടുള്ളതും ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോകോൾ വിവരങ്ങളും അച്ചടിച്ചു. പ്രത്യേകിച്ച്, എൻഎഫ്എസ് ലേക്കുള്ള ഡൊമെയ്ൻ നാമ സേവന അഭ്യർത്ഥനകൾ (RFC-1034/1035), സൂര്യൻ ആർപിസി കോളുകൾ (RFC-1050).

UDP നാമ സെർവർ അഭ്യർത്ഥനകൾ

(NB: RFC-1035 ൽ വിവരിച്ചിരിക്കുന്ന ഡൊമെയ്ൻ സേവന പ്രോട്ടോക്കോളുമായി താഴെപ്പറയുന്ന വിവരണം പരിചയപ്പെടുന്നു. പ്രോട്ടോക്കോൾ നിങ്ങൾക്ക് പരിചയമില്ലെങ്കിൽ, താഴെ പറയുന്ന വിവരണം ഗ്രീക്കിൽ എഴുതപ്പെടാനിടയുണ്ടെന്ന് തോന്നുന്നു.)

നെയിം സെർവർ അഭ്യർത്ഥനകൾ ഫോർമാറ്റ് ചെയ്തിരിക്കുന്നു

src> dst: id op? flags qtype qclass പേര് (len) h2opolo.1538> helios.domain: 3+ എ? ucbvax.berkeley.edu. (37)

ഹോസ്റ്റ് h2opolo ucbvax.berkeley.edu പേരുമായി ഒരു വിലാസ രേഖ (qtype = എ) വേണ്ടി ഹീറോകൾ ഡൊമെയ്ൻ സെർവറിനെ ചോദിച്ചു . ചോദ്യ ഐഡി `3 'ആയിരുന്നു. `+" സൂചിപ്പിച്ച പുനർചിഹ്നം ആവശ്യമുള്ള പതാക സൂചിപ്പിക്കുന്നു. ചോദ്യ ദൈർഘ്യം 37 ബൈറ്റുകളായിരുന്നു, UDP, IP പ്രോട്ടോക്കോൾ ഹെഡറുകൾ ഉൾപ്പെടുന്നില്ല. ചോദ്യ ശൃംഖല ഒരു സാധാരണ അന്വേഷണമായിരുന്നു, അതിനാൽ ഒപെൽ ഫീൾഡ് ഒഴിവാക്കി. Op മറ്റെന്തെങ്കിലും ആണെങ്കിൽ, അത് `3 'നും' + 'നുമിടയിൽ അച്ചടിക്കുമായിരുന്നു. അതുപോലെ, ക്ക്ക്ലാസ് സാധാരണ C , C_IN ഉം ഒരെണ്ണം ഒഴിവാക്കി. എ ക്യു ക്ളാസുകൾ എ എ.ടി. ഉടൻ തന്നെ അച്ചടിച്ചിരിക്കും.

ചതുര ബ്രാക്കറ്റുകളിൽ അധികമായ ഫീൽഡുകൾക്ക് വിധേയമായേക്കാം : ഒരു ചോദ്യത്തിന് ഒരു ഉത്തരം ഉണ്ടെങ്കിൽ, അധികാരികളുടെ റെക്കോർഡുകൾ അല്ലെങ്കിൽ അധിക റെക്കോർഡുകൾ വിഭാഗം, അക്കൗണ്ട് , എൻസൗണ്ട് അല്ലെങ്കിൽ ആർക്കൗണ്ട് എന്നിവ ` n [a]", [ n ] ] 'അല്ലെങ്കിൽ `[nu]", അവിടെ n ഉചിതമായ എണ്ണം. ഏതെങ്കിലും ഒരു പ്രതികരണ ബിറ്റുകൾ സെറ്റ് ചെയ്തിട്ടുണ്ടെങ്കിൽ (AA, RA അല്ലെങ്കിൽ rcode) അല്ലെങ്കിൽ 'പൂജ്യം പൂജ്യം' എന്ന സംഖ്യകളിൽ ഒന്ന് രണ്ട്, മൂന്ന് ബൈറ്റുകളിലാണെങ്കിൽ, `b2 & 3 = x ] 'അച്ചടിക്കുക, ഇവിടെ x ന്റെ ഹെക്സ് മൂല്യം ഹെഡ്ഡർ രണ്ട്, മൂന്ന് ബൈറ്റുകൾ.

UDP നെയിം സെർവർ പ്രതികരണങ്ങൾ

നാമ സെർവർ പ്രതികരണങ്ങൾ ഫോർമാറ്റ് ചെയ്തിരിക്കുന്നു

src> dst: id op rcode flags a / n / au തരം ക്ലാസ് ഡാറ്റ (len) helios.domain> h2opolo.1538: 3 3/3/7 ഒരു 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

ആദ്യത്തെ ഉദാഹരണത്തിൽ, h2opolo ൽ നിന്നും ചോദ്യ ഐഡി 3 ന് മറുപടി നൽകുക, 3 റിക്കോർഡ് റെക്കോർഡുകൾ, 3 നെയിം സെർവർ റെക്കോർഡുകൾ, 7 അധിക റെക്കോർഡുകൾ എന്നിവയിൽ ഹീലിയോസ് പ്രതികരിക്കുന്നു. ആദ്യത്തെ ഉത്തരം റെക്കോർഡ് ടൈപ്പ് എ (വിലാസം) ആണ്, അതിന്റെ ഡാറ്റ ഇന്റർനെറ്റ് വിലാസം 128.32.137.3 ആണ്. UDP, IP headers എന്നിവ ഒഴികെ 273 ബൈറ്റുകൾ പ്രതികരണത്തിന്റെ ആകെ വലിപ്പം. A റെക്കോർഡിലെ class (C_IN) പോലെ, op (ചോദ്യം), പ്രതികരണ കോഡ് (NoError) എന്നിവ ഒഴിവാക്കി.

രണ്ടാമത്തെ ഉദാഹരണത്തിൽ, മറുപടിയൊന്നും ഇല്ല, ഒരു നെയിം സെർവർ, അധികാരമില്ലാതെയുള്ള രേഖകൾ ഇല്ലാതെ, നിലവിലില്ലാത്ത ഡൊമെയിന്റെ (NXDomain) ഒരു പ്രതികരണ കോഡിനുള്ള ചോദ്യത്തിന് 2-ൽ ഹീലിയോസ് പ്രതികരിക്കുന്നു. `* 'എന്നത് ആധികാരികമായ ഉത്തരം ബിറ്റ് സജ്ജമാക്കിയെന്ന് സൂചിപ്പിക്കുന്നു. ഉത്തരങ്ങളൊന്നും ഇല്ലെന്നതിനാൽ, തരം, ക്ലാസ് അല്ലെങ്കിൽ ഡാറ്റ എന്നിവ അച്ചടിച്ചിട്ടില്ല.

പ്രത്യക്ഷപ്പെടാവുന്ന മറ്റു പതാകങ്ങൾ `- '(പുനർഷൻ ലഭ്യമാക്കൽ, ആർഎ, സെറ്റ് ചെയ്യാത്തവ )` ` (ചുരുക്കി സന്ദേശം, TC, സെറ്റ്). `ചോദ്യം 'വിഭാഗത്തിൽ ഒരു എൻട്രി ഉൾപ്പെട്ടിട്ടില്ലെങ്കിൽ` `q' 'അച്ചടിക്കുന്നു.

പേര് സെർവർ അഭ്യർത്ഥനകളും പ്രതികരണങ്ങളും വലുതായിരിക്കുകയും 68 ബൈറ്റുകളുടെ ഡീഫോൾട്ട് സ്നാപ്ലൻ അച്ചടിക്കാൻ മതിയായ പാക്കറ്റ് പിടിച്ചടക്കില്ല. നാമം സെർവർ ട്രാഫിക്ക് ഗൗരവമായി അന്വേഷണം വേണമെങ്കിൽ സ്നാപ്ലെൻ വർദ്ധിപ്പിക്കുന്നതിനായി -s ഫ്ലാഗ് ഉപയോഗിക്കുക. 128 ന്റെ "എനിക്കു നന്നായി പ്രവർത്തിച്ചിരിക്കുന്നു.

SMB / CIFS ഡീകോഡിംഗ്

UDP / 137, UDP / 138, TCP / 139 എന്നിവയ്ക്കായുള്ള ഡാറ്റയ്ക്ക് tcpdump ഇപ്പോൾ വളരെ വിപുലമായ SMB / CIFS / NBT ഡീകോഡിംഗ് ഉൾപ്പെടുന്നു. IPX, NetBEUI SMB ഡേറ്റകളുടെ പ്രാചീന ഡീകോഡിംഗ് നടത്തപ്പെടുന്നു.

സ്വതവേ താഴ്ന്ന ഡീകോഡ് സ്വതവേ, -v ഉപയോഗിക്കുമ്പോൾ കൂടുതൽ വിശദമായ ഡീകോഡ് ചെയ്യുക. ഒരു SMB പാക്കറ്റ് ഒരു പേജോ അതിലധികമോ എടുത്തേക്കാം എന്ന് നിങ്ങൾക്ക് മുന്നറിയിപ്പ് നല്കുക, അങ്ങനെ നിങ്ങൾ എല്ലാ ശരിക്കും ഗോരി വിശദാംശങ്ങൾ ആവശ്യമെങ്കിൽ -v ഉപയോഗിക്കുക.

നിങ്ങൾ യൂണിക്കോഡ് സ്ട്രിംഗുകൾ അടങ്ങിയ SMB സെഷനുകൾ ഡീകോഡ് ചെയ്യുന്നെങ്കിൽ, നിങ്ങൾക്ക് പരിസ്ഥിതി വേരിയബിൾ USE_UNICODE 1 സെറ്റ് ചെയ്യാൻ താൽപ്പര്യപ്പെടാം. യൂണിക്കോഡ് ഉറക്കുകളെ യാന്ത്രികമായി കണ്ടെത്തുന്നതിനുള്ള പാച്ച് സ്വാഗതം ചെയ്യും.

SMB പാക്കറ്റ് ഫോർമാറ്റുകളെക്കുറിച്ചും എല്ലാ te ഫീൽഡുകളും www.cifs.org അല്ലെങ്കിൽ നിങ്ങളുടെ പ്രിയപ്പെട്ട samba.org മിറർ സൈറ്റിലെ pub / samba / specs / ഡയറക്ടറി കാണുക. എസ്എംബി പാച്ചുകൾ ആൻഡ്രു ട്രൈജൽ (tridge@samba.org) എഴുതിയതാണ്.

NFS അഭ്യർത്ഥനകളും മറുപടികളും

Sun NFS (നെറ്റ്വർക്ക് ഫയൽ സിസ്റ്റം) ആവശ്യങ്ങളും മറുപടികളും ഇവിടെ അച്ചടിച്ചിരിയ്ക്കുന്നു:

src.xid> dst.nfs: len op args src.nfs> dst.xid: മറുപടി stat len ​​op ഫലങ്ങള് sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 റീഡ്ലിങ്ക് "../var" സുശീൽകുടി.> Wrl.nfs: 144 ലുക്ക്അപ്പ് fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi201b: മറുപടി ok 128 ലുക്ക് ഫേ 9,74 / 4134.3150

ആദ്യ വരിയിൽ, ഹോസ്റ്റ് സുഷി ഐഡി 6709 ഉപയോഗിച്ചുള്ള ഇടപാടുകൾ റബ്ലുമായി അയയ്ക്കുന്നു. (Src ഹോസ്റ്റിനെ പിന്തുടരുന്ന നമ്പർ ഒരു ട്രാൻസാക്ഷൻ ഐഡി ആണെന്നത് , സ്രോതസ് പോർട്ട് അല്ല). UDP, IP headers എന്നിവ ഒഴികെ 112 ബൈറ്റുകളേ ഈ അഭ്യർത്ഥന. ഓപ്പറേഷൻ ഫയൽ ഹാൻഡിൽ ( fh ) 21,24 / 10.731657119 ൽ ഒരു റീഡ്ലിങ്കാണ് (സിംബോളിക് ലിങ്ക് വായിക്കുക) ആയിരുന്നു. (ഒരു ഭാഗ്യമുണ്ടെങ്കിൽ, ഈ സാഹചര്യത്തിൽ, ഫയൽ ഹാൻഡിൽ ഒരു പ്രധാന, ചെറിയ ഉപകരണ സംഖ്യയായി ജോഡിയോട്, ഇനോഡ് നമ്പറും തലമുറ സംഖ്യയും ഉപയോഗിച്ച് വ്യാഖ്യാനിക്കാനാകും.) റോൾ മറുപടിയായി ` ഒ.കെ.

മൂന്നാമത്തെ ലൈനിൽ, സുഷി ഡയറക്ടറി ഫയൽ 9,74 / 4096.6878 എന്ന പേരിൽ ' xcolors ' എന്ന പേരിനായി റോൾ ചോദിക്കുന്നു. അച്ചടിച്ച ഡാറ്റ ഓപ്പറേഷൻ തരത്തെ ആശ്രയിച്ചിരിക്കുന്നു. ഒരു എൻഎഫ്എസ് പ്രോട്ടോക്കോൾ സ്പെക്സിനൊപ്പം വായിച്ചാൽ ഈ ഫോർമാറ്റ് സ്വയം വിശദീകരിക്കുന്നതു് ഉദ്ദേശിയ്ക്കുന്നു.

-v (verbose) ഫ്ലാഗ് നൽകിയിട്ടുണ്ടെങ്കിൽ, കൂടുതൽ വിവരങ്ങൾ അച്ചടിക്കും. ഉദാഹരണത്തിന്:

sushi.1372a> wrl.nfs: 148 read fh 21,11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: മറുപടി ok 1472 വായന REG 100664 ഐഡികൾ 417/0 sz 29388

(-v കൂടാതെ ഈ ഉദാഹരണത്തിൽ നിന്ന് ഒഴിവാക്കപ്പെട്ട ഐപി ഹെഡറുകൾ ടിടിഎൽ, ഐഡി, നീളം, ഫ്രാഗ്മൻസേഷൻ ഫീൽഡുകൾ എന്നിവയും പ്രിന്റ് ചെയ്യുന്നു.) ആദ്യ വരിയിൽ, ബുഷ് ഓഫ്സെറ്റിലെ ഫയൽ 21,11 / 12.195 എന്ന ഫയലിൽ നിന്ന് 8192 ബൈറ്റുകൾ റൈലിലേക്ക് റോൾ ചെയ്യാൻ ആവശ്യപ്പെടുന്നു. 24576. Wrl answers 'ok'; രണ്ടാമത്തെ വരിയിൽ കാണിച്ചിരിക്കുന്ന പായ്ക്കറ്റ് മറുപടിയുടെ ആദ്യത്തെ ഭാഗമാണ്, അതിനാല് 1472 ബൈറ്റ് ദൈർഘ്യമുള്ള (മറ്റ് ബൈറ്റുകള് പിന്നീടുള്ള സ്ഫടുകളില് മാത്രമേ പിന്തുടരുകയുള്ളൂ, എന്നാല് ഈ ശകലങ്ങള്ക്ക് NFS അല്ലെങ്കില് UDP ഹെഡറുകള് ഇല്ല, അങ്ങനെ അച്ചടിച്ചേക്കില്ല, ഉപയോഗിയ്ക്കുന്ന ഫിൽറ്റർ എക്സ്പ്രഷൻ അനുസരിച്ചു്). -v ഫ്ലാഗ് നൽകിയിരിക്കുന്നതിനാൽ, ഫയൽ ആട്രിബ്യൂട്ടുകൾ (ഫയൽ ഡാറ്റയ്ക്കുപുറമെ നൽകിയിരിക്കുന്നവ) പ്രിന്റ് ചെയ്യപ്പെടും: ഫയൽ തരം (`REG '', പതിവ് ഫയലിനായി), ഫയൽ മോഡ് (ഒക്ടൽ), uid, gid, ഫയൽ വലിപ്പം എന്നിവ.

-v ഫ്ലാഗ് ഒന്നിൽ കൂടുതൽ നൽകിയിട്ടുണ്ടെങ്കിൽ, കൂടുതൽ വിശദാംശങ്ങൾ അച്ചടിച്ചേക്കാം.

NFS അപേക്ഷകൾ വളരെ വലുതാണെന്നും സ്നാപ്ലെൻ കൂടുതലൊന്നും വന്നതല്ലെങ്കിൽ വിശദമായ വിശദാംശങ്ങൾ പ്രിന്റ് ചെയ്യില്ലെന്നും ശ്രദ്ധിക്കുക . NFS ട്രാഫിക്കിനായി ' ss 192 ' ഉപയോഗിച്ചു നോക്കൂ.

NFS മറുപടി പാക്ക് വഴി RPC പ്രവർത്തനം വ്യക്തമായി തിരിച്ചറിയുന്നില്ല. പകരം, tcpdump `സമീപകാലത്തെ 'അഭ്യർത്ഥനകൾ ട്രാക്കുചെയ്ത്, ഇടപാടിന്റെ ഐഡി ഉപയോഗിച്ച് മറുപടികളിലേക്ക് അവ പൊരുത്തപ്പെടുന്നു. ഒരു മറുപടിയുടെ മറുപടിയായി ഒരു മറുപടി നൽകുന്നില്ലെങ്കിൽ, അത് പകരമാകണമെന്നില്ല.

AFS അഭ്യർത്ഥനകളും മറുപടികളും

Transarc AFS (ആൻഡ്രൂ ഫയൽ സിസ്റ്റം) ആവശ്യങ്ങളും മറുപടികളും ഇവിടെ അച്ചടിച്ചിരിയ്ക്കുന്നു:

src.sport> dst.dport: rx പാക്കറ്റ്-തരം src.sport> dst.dport: rx പാക്കറ്റ്-ടൈപ്പ് സർവീസ് കോൾ കോൾ-നാമ ആർഗീസ് src.sport> dst.dport: rx പാക്കറ്റ് ടൈപ്പ് സർവീസ് കോൾ-ആംസ് ആർഗ്സ് എലിവിസ് . 7001> pike.afsfs: rx data fs call rename old fid 536876964/1/1 ".newsrc.new" new fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs repackame

ആദ്യ വരിയിൽ, ഹോസ്റ്റ് എലിവിസ് ഒരു RX പായ്ക്കറ്റിനെ Pike ലേക്ക് അയയ്ക്കുന്നു. ഇതൊരു RX ഡാറ്റ പാക്കറ്റാണ് fs (ഫയൽസിസ്റ്റർ) സർവീസ്, കൂടാതെ ഒരു RPC കോളിൻറെ ആരംഭം. 536876964/1/1 എന്ന പഴയ ഡയറക്റ്ററി ഫയൽ ഐഡിയും 5.2876964/1/1 എന്ന പുതിയ ഡയറക്ടറി ഫയൽ ഐഡിയും ഒരു പുതിയ ഫയൽ നാമത്തിന്റെ നാമവുമുള്ള ഒരു ഫയൽ നാമം ഐ.ഡി. newsrc '. Rename കോളിന് ഒരു RPC മറുപടി ഉപയോഗിച്ച് ഹോസ്റ്റ് പൈക്ക് പ്രതികരിക്കുന്നു (ഇത് ഒരു ഡാറ്റാ പാക്കറ്റ് ആയതിനാലും ഒരു ഉപേക്ഷിക്കൽ പാക്കറ്റിലല്ലാത്തതിനാലോ).

പൊതുവായി പറഞ്ഞാൽ, എല്ലാ AFS RPC കളെയും കുറഞ്ഞത് RPC കോൾ നാമത്തിൽ ഡീകോഡ് ചെയ്യപ്പെടും. മിക്ക AFS RPC- കളുകളിലും കുറഞ്ഞത് ചില വാദങ്ങൾ ഡീകോഡ് ചെയ്തിട്ടുണ്ട് (സാധാരണയായി `രസകരമായ 'വാദങ്ങൾ മാത്രം, രസകരമായ ചില നിർവചനങ്ങൾക്ക്).

ഫോർമാറ്റ് സ്വയം വിവരിക്കപ്പെടാൻ ഉദ്ദേശിച്ചിട്ടുള്ളതാണ്, എന്നാൽ AFS, RX എന്നിവയുടെ പ്രവർത്തനങ്ങൾ പരിചിതമല്ലാത്ത ആളുകളിൽ ഇത് ഒരുപക്ഷേ ഉപയോഗപ്രദമാകുകയില്ല.

-v (verbose) ഫ്ലാഗ് രണ്ടുതവണ നൽകുന്നുവെങ്കിൽ, RX കോൾ ഐഡി, കോൾ നമ്പർ, സീക്വൻസിൻറെ നമ്പർ, സീരിയൽ നമ്പർ, RX പാക്കറ്റ് ഫ്ലാഗുകൾ തുടങ്ങിയ അനൌണ്ട്മെന്റ് പാക്കറ്റുകൾ കൂടാതെ അധിക ശീർഷക വിവരങ്ങളും പ്രിന്റുചെയ്തിരിക്കുന്നു.

-v ഫ്ലാഗ് രണ്ടുതവണ നൽകുന്നുവെങ്കിൽ, RX കോൾ ഐഡി, സീരിയൽ നമ്പർ, RX പാക്കറ്റ് ഫ്ലാഗുകൾ പോലുള്ള അധിക വിവരങ്ങൾ അച്ചടിക്കും. MTU സംവാദ വിവരവും ആർഎക്സ് Ack പായ്ക്കറ്റിൽ നിന്നും പ്രിന്റ് ചെയ്യപ്പെട്ടിട്ടുണ്ട്.

-v ഫ്ലാഗ് മൂന്നു പ്രാവശ്യം നൽകുന്നുവെങ്കിൽ, സുരക്ഷാ സൂചികയും സേവന ഐഡിയും പ്രിന്റ് ചെയ്യുന്നു.

Ubik ബീക്കൺ പാക്കറ്റുകളുടെ ഒഴികെയുള്ള (കോർറ്റ് പാച്ചുകൾ ഉബിക്യൻ പ്രോട്ടോക്കോളിൽ ഒരു അതെ വോട്ട് വ്യക്തമാക്കാൻ ഉപയോഗിക്കുന്നതിനാലാണ്) ഉപേക്ഷിക്കുന്ന പാക്കറ്റുകൾക്ക് പിഴവ് കോഡുകൾ അച്ചടിക്കപ്പെടും.

AFS അഭ്യർത്ഥനകൾ വളരെ വലുതായതിനാൽ സ്നാപ്ലെൻ വർദ്ധിപ്പിക്കുകയില്ലെങ്കിൽ നിരവധി വാദങ്ങൾ അച്ചടിക്കാൻ കഴിയില്ല. AFS ട്രാഫിക് കാണുന്നതിന് ` -എസ് 256 'ഉപയോഗിച്ചു നോക്കൂ.

AFS മറുപടി പായ്ക്കറ്റുകൾ ആർപിസി പ്രവർത്തനം വ്യക്തമായി തിരിച്ചറിയുന്നില്ല. പകരം, tcpdump `സമീപകാലത്തെ 'അഭ്യർത്ഥനകൾ ട്രാക്കുചെയ്ത്, കോൾ നമ്പറും സേവന ID- യും ഉപയോഗിച്ച് മറുപടികളിലേക്ക് അവ പൊരുത്തപ്പെടുന്നു. ഒരു മറുപടിയുടെ മറുപടിയായി ഒരു മറുപടി നൽകുന്നില്ലെങ്കിൽ, അത് പകരമാകണമെന്നില്ല.

KIP ആപ്പിൾടാക്ക് (UDP ലെ DDP)

യുഡിപി ഡാറ്റാടൈപ്പുകളിൽ encapsulated ആപ്പിൾടാക്ക് ഡിഡിപി പാക്കറ്റുകൾ ഡി-പാക്കറ്റുകളായി (അതായത്, എല്ലാ UDP ഹെഡർ വിവരം നിരസിക്കപ്പെടുന്നു) ഉപേക്ഷിക്കുന്നു. Appletalk നെറ്റ്, നോഡ് നംബറുകൾ പേരുകളിലേക്ക് വിവർത്തനം ചെയ്യാൻ /etc/atalk.names ഫയൽ ഉപയോഗിക്കുന്നു. ഈ ഫയലിൽ ഉള്ള വരികൾ ഫോമിലുണ്ട്

സംഖ്യയുടെ പേര് 1.254 ഒപ്പം 16.1 icsd-net 1.254.110 ace

ആദ്യ രണ്ട് വരികൾ appletalk നെറ്റ്വർക്കുകളുടെ പേരുകൾ നൽകുന്നു. മൂന്നാമത്തെ വരി ഒരു പ്രത്യേക ഹോസ്റ്റിന്റെ പേര് നൽകുന്നു (ഒരു ഹോസ്റ്റ് നെറ്റിയിൽ 3rd octet വഴി വലയിൽ നിന്നും വേർതിരിച്ചിരിക്കുന്നു - നെറ്റ നമ്പറിൽ രണ്ട് ഒക്റ്റെറ്റ് ഉണ്ടായിരിക്കണം, ഒരു ഹോസ്റ്റ് നമ്പറിൽ മൂന്ന് ഒക്റ്റെറ്റ് ഉണ്ടായിരിക്കണം.) അക്കവും നാമവും വേർതിരിക്കേണ്ടതാണ്. വൈറ്റ്സ്പെയ്സ് (ബ്ലോക്ക് അല്ലെങ്കിൽ ടാബുകൾ) വഴി. /etc/atalk.names ഫയലിൽ ശൂന്യ വരികൾ അല്ലെങ്കിൽ അഭിപ്രായ വരികൾ (`# 'ൽ ആരംഭിക്കുന്ന വരികൾ) അടങ്ങിയിരിക്കാം.

ആപ്പിൾ ടാക് വിലാസങ്ങൾ ഈ രൂപത്തിൽ പ്രിന്റ് ചെയ്യുന്നു:

net.host.port 144.1.209.2> icsd-net.112.220 ഓഫീസ് .2> icsd-net.112.220 jssmag.149.235> icsd-net.2

( /etc/atalk.names നിലവിലില്ല അല്ലെങ്കിൽ ചില appletalk ഹോസ്റ്റ് / നെറ്റ് നമ്പറിനു വേണ്ടി ഒരു എൻട്രി ഉൽപ്പെടുത്തിയിട്ടില്ലെങ്കിൽ, വിലാസങ്ങൾ സംഖ്യാ രൂപത്തിൽ അച്ചടിക്കും.) ആദ്യ ഉദാഹരണത്തിൽ, എൻബിപി (DDP പോർട്ട് 2), സെക്ഷൻ 144.1 node 209, net icsd നോഡ് 112 ന്റെ പോർട്ട് നോട്ടീസിലേക്ക് അയക്കുന്നു. രണ്ടാം സ്രോതസ്സ് സ്രോതസ് നോഡിന്റെ പൂർണ്ണ നാമം (`ഓഫീസ് ') അറിയപ്പെടുന്നു. Ixd-net NBP പോർട്ടിൽ പ്രക്ഷേപണം ചെയ്യുന്നതിന് net jssmag നോഡ് 149 ൽ പോർട്ട് 235 ൽ നിന്ന് അയയ്ക്കുന്ന മൂന്നാമത്തെ വരി ആണ് (പ്രക്ഷേപണ വിലാസങ്ങൾ (255) ഹോസ്റ്റ് നമ്പരുമില്ലാത്ത ഒരു നെറ്റിവുഡ് സൂചിപ്പിച്ചിരിക്കുന്നത് - അതുകൊണ്ടായിരിക്കാം ഒരു നല്ല ആശയം /etc/atalk.names -ൽ നോഡിനുള്ള പേരുകളും നെയിം പേരുകളും വെവ്വേറെ സൂക്ഷിക്കാൻ).

എൻബിപി (പേര് ബൈൻഡിംഗ് പ്രോട്ടോക്കോൾ), എടിപി (ആപ്പിൾടാക് ട്രാൻസാക്ഷൻ പ്രോട്ടോക്കോൾ) പാക്കറ്റുകൾ അവയുടെ ഉള്ളടക്കം വ്യാഖ്യാനിക്കുന്നു. മറ്റ് പ്രോട്ടോക്കോളുകൾ പ്രോട്ടോക്കോൾ നാമം ഡമ്പ് ചെയ്യുക (അല്ലെങ്കിൽ പ്രോട്ടോക്കോളിൽ പേര് രജിസ്റ്റർ ചെയ്തില്ലെങ്കിൽ എണ്ണം), പാക്കറ്റ് വലുപ്പം.

NBP പാറ്റേണുകൾ ഇനിപ്പറയുന്ന ഉദാഹരണങ്ങൾ പോലെ ഫോർമാറ്റ് ചെയ്തിരിക്കുന്നു:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: ലേസർ റെയ്റ്റർ @ *" jssmag.209.2> icsd-net.112.220: nbp- മറുപടി 190: "RM1140: ലേസർ റെയ്റ്റർ @ *" 250 techpit.2> icsd -net.112.220: nbp-reply 190: "techpit: laserwriter @ *" 186

വലത് icsd host 112 അയച്ച ലേസർ റൈറ്ററുകളുടെ പേര്, കൂടാതെ net jssmag- ൽ പ്രക്ഷേപണം ചെയ്യുന്ന ആദ്യനാമമാണ് ആദ്യ വരി. ലുക്കപ്പിനായുള്ള nbp ഐഡി 190 ആണ്. രണ്ടാമത്തെ വരി ഹോസ്റ്റിലുള്ള jssmag.209 ൽ നിന്നും ഈ അഭ്യർത്ഥനയ്ക്കുള്ള മറുപടിയായി കാണിക്കുന്നു. പോർട്ട് 250 ൽ രജിസ്റ്റർ ചെയ്യുന്ന "RM1140" എന്ന പേരിലുള്ള ലേസർറൈറ്റർ റിസോഴ്സുണ്ട് എന്ന്. ലൈൻ 186 പോർട്ട് രജിസ്റ്റർ ചെയ്യുന്ന ഹോസ്റ്റിന് ടെക്സ്റ്റ്പിറ്റിന് ലേസർറൈറ്റർ "ടെച്ച്പിറ്റ്" എന്ന് നിർദ്ദേശിക്കപ്പെടുന്ന മറ്റൊരു മറുപടിയാണ്.

ATP പാക്കറ്റ് ഫോർമാറ്റിംഗ് ഇനിപ്പറയുന്ന ഉദാഹരണം ഉപയോഗിച്ച് പ്രദർശിപ്പിക്കും:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.132> jsmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

8 പാക്കറ്റുകൾ (`0-7> ') അപേക്ഷിച്ച് ഹോസ്പിറ്റൽ ഹീറോകളുമായി ജെസ്മാഗ്.209 ഇടപാടിന്റെ ഐഡി 12266 ആരംഭിക്കുന്നു. വരിയുടെ അവസാനം ഹെക്സായ നമ്പർ അഭ്യർത്ഥനയിലുള്ള `userdata 'ഫീൽഡിന്റെ മൂല്യമാണ്.

ഹീലിയോസ് 8 512 ബൈറ്റ് പായ്ക്കറ്റുകളുമായി പ്രതികരിക്കുന്നു. ഇടപാടിനുള്ള ഐഡിക്ക് ശേഷം `സംഖ്യ 'ഇടപാടിനുള്ള പാക്കറ്റ് സീക്വൻസിന്റെ നമ്പർ നൽകുന്നു, കൂടാതെ പാരൻസിലെ നമ്പർ എന്നത് പായ്ക്കറ്റിന്റെ ഡാറ്റയാണ്, അത് ആപ്പ് ഹെഡ്ഡർ ഒഴികെ. പാക്കറ്റ് 7 ൽ `* 'എന്നത് EOM ബിറ്റ് സജ്ജമാക്കിയെന്ന് സൂചിപ്പിക്കുന്നു.

Jssmag.209 തുടർന്ന് പാക്കറ്റുകൾ 3 ഉം 5 ഉം പുനർനാമകരണം ചെയ്യണമെന്ന് അഭ്യർത്ഥിക്കുന്നു. ഹീലിയോസ് അത് മാറ്റിയാൽ പിന്നെ jssmag.209 ഇടപാടിനെ റിലീസ് ചെയ്യുന്നു. ഒടുവിൽ, jssmag.209 അടുത്ത അഭ്യർത്ഥന ആരംഭിക്കുന്നു. അഭ്യർത്ഥനയിലുള്ള `* 'XO (കൃത്യമായി ഒരിക്കൽ) സജ്ജമാക്കിയിട്ടില്ല എന്ന് സൂചിപ്പിക്കുന്നു.

IP ഫ്രാഗ്മെന്റേഷൻ

ഫ്രാഗ്മെൻറ് ചെയ്ത ഇന്റർനെറ്റ് ഡേറ്റാഗ്രാംസ് അച്ചടിച്ചു

(സ്മോൾ id : size @ offset +) (frag id : size @ offset )

(ആദ്യത്തെ രൂപത്തിൽ കൂടുതൽ ശകലങ്ങൾ ഉണ്ടെന്നു സൂചിപ്പിക്കുന്നു, ഇത് രണ്ടാമത്തെ അവസാനത്തെ ഭാഗമാണ്.)

ഐഡി ശകലം ഐഡി. ഐപി ശീർഷകം ഒഴികെ ശരിക്കുള്ള വലിപ്പം (ബൈറ്റുകളിൽ) ആണ്. യഥാർത്ഥ ഡാറ്റാഗ്രാമിൽ ഈ ഖണ്ഡികയുടെ ഓഫ്സെറ്റ് (ബൈറ്റുകളിൽ) ആണ് ഓഫ്സെറ്റ്.

ഓരോ ഫ്രാഗ്മെന്റിനും വേണ്ടിയുള്ള ഔട്ട്പുട്ട് ആണ് സ്ഫടിക വിവരം. ആദ്യത്തെ അടിക്കുറിപ്പിൽ ഉയർന്ന ലെവൽ പ്രോട്ടോക്കോൾ ഹെഡ്ഡർ അടങ്ങിയിരിക്കുന്നു, കൂടാതെ പ്രോട്ടോകോൾ വിവരംക്ക് ശേഷം കവറിന്റെ വിവരങ്ങൾ അച്ചടിക്കും. ആദ്യത്തേതിന് ശേഷമുള്ള പരിമിതികൾ ഉയർന്ന നിലവാരമുള്ള പ്രോട്ടോക്കോൾ ഹെഡറുകളില്ല, ഉറവിട വിവരം ഉറവിട, ഉദ്ദിഷ്ട സ്ഥാനങ്ങൾക്കു ശേഷം അച്ചടിക്കപ്പെടും. ഉദാഹരണത്തിന്, arizona.edu ൽ നിന്ന് lbl-rtsg.arpa- യിൽ ഒരു CSNET കണക്ഷനുള്ളിൽ 576 ബൈറ്റ് ഡാറ്റാഗ്രകൾ കൈകാര്യം ചെയ്യാൻ തോന്നുന്നില്ല.

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) അരിസോണ> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. 1560 ൽ 2560 റൺസ് നേടി

ഇവിടെ ശ്രദ്ധിക്കേണ്ട ചില കാര്യങ്ങൾ ഉണ്ട്: ആദ്യം, രണ്ടാമത്തെ വരിയിലെ വിലാസങ്ങൾ പോർട്ട് നമ്പറുകൾ ഉൾപ്പെടുത്തരുത്. ടിസിപി പ്രോട്ടോകോൾ വിവരം ആദ്യ ശകതിൽ തന്നെ ആണ്. നമ്മൾ പിന്നീടുള്ള ശകലങ്ങൾ അച്ചടിക്കുമ്പോൾ തുറമുഖമോ സീക്വൻസ് നമ്പറുകളോ എന്താണെന്നറിയാം. രണ്ടാമതായി, ആദ്യ വരിയിലെ tcp ക്രമം വിവരങ്ങൾ അച്ചടിക്കാൻ 308 ബൈറ്റുകളാണുള്ളത്. വാസ്തവത്തിൽ, 512 ബൈറ്റുകൾ (ആദ്യത്തെ ഫ്രസ്കോയിൽ 308 ഉം രണ്ടാമത്തെ സെക്കൻഡിൽ 204 ഉം) എത്തുമ്പോൾ. നിങ്ങൾ ഇൻക്വസ്റ്റ് സ്പേസിൽ ദ്വാരങ്ങൾ തിരയുന്നോ അല്ലെങ്കിൽ പൊതികളുമായി ഒത്തുപോകാൻ ശ്രമിക്കുന്നെങ്കിലോ ഇത് നിങ്ങളെ വഞ്ചിക്കാൻ പറ്റുന്നു.

IP ഉള്ള ഒരു പാക്കറ്റ് ഫ്രെയിംമെൻറ് ഫ്ലാഗുകളല്ല, പിന്നിലേക്ക് (DF) അടയാളപ്പെടുത്തിയിരിക്കും.

ടൈംസ്റ്റാമ്പുകൾ

സ്വതവേ, എല്ലാ ഔട്ട്പുട്ട് ലൈനുകളും ടൈംസ്റ്റാമ്പിന് മുമ്പുള്ളതാണ്. സമയപരിധി നിലവിലെ ക്ലോക്ക് രൂപമാണ്

hh: mm: ss.frac

കെർണലിന്റെ ക്ലോക്ക് പോലെ കൃത്യമാണ്. ടൈംസ്റ്റാമ്പ് കേർണൽ ആദ്യം പാക്ക് കണ്ട സമയം പ്രതിഫലിക്കുന്നു. ഈർടറ് ഇന്ററ്ഫെയിസ് വയർ വഴി പാക്കറ്റ് നീക്കം ചെയ്തപ്പോൾ, പുതിയ കെർണൽ സർവീസ് തടസ്സപ്പെട്ടപ്പോൾ, സമയത്തു് കണക്ട് ചെയ്യുന്നതിനായി ഒരു ശ്രമവും നടത്തിയില്ല.

ഇതും കാണുക

ട്രാഫിക് (1 സി), നിറ്റ് (4 പി), bpf (4), പിപ്പ് (3)

പ്രധാനപ്പെട്ടതു്: നിങ്ങളുടെ കംപ്യൂട്ടറിൽ എങ്ങനെയാണ് കമാൻഡ് ഉപയോഗിക്കേണ്ടത് എന്ന് കാണുവാൻ man command ( % man ) ഉപയോഗിക്കുക.