Tcpdump - د لینوکس قومانده - د یونس قومانده

NAME

tcpdump - په شبکه کې ټرافیک ډک کړئ

SYNOPSIS

tcpdump [ -adeflnNOqqStuvxX ] [ -c count ]

[ -c file_size ] [ -F file ]

[ -i انٹرفیس ] [ -M ماډل ] [ -r file ]

[ -s snaplen ] [ -T ډول ] [ -U کارن ] [ -w دوتنه ]

[- algo: پټ ] [ بیان ]

DESCRIPTION

Tcpdump د شبکې د شبکې په اړه د پیټیو سرلیکونه چاپوي چې د بویلین بیان سره سمون لري . دا همدا رنګه د الی پرچم سره چلول کیدی شي، کوم چې د پیټ ډیټا فایل ته د وروستي تحلیل لپاره، او / یا د R- Flag سره، چې د خوندي شوي پیکټ دوتنې څخه د پیټونو د لوستلو لوستل سبب ګرځي ته خوندي کوي. د شبکې د انټرنیټ څخه. په ټولو قضیو کې، یوازې د پیټیو چې د بیان سره سمون لري د Tcpdump لخوا پروسس کیږي.

Tcpdump به د C- پرچم سره نه ځي، که چیرې دا د SIGINT اشغال له لارې مداخله نه کوي) د بیلګې په توګه، د خپل مداخلې کرکټر ټایپ کول، په عموما کنترول-سي (یا د SIGTERM سگنل لخوا) په ځانګړې توګه د وژنې سره پیدا شوي (1) قوماندې)؛ که د C- پرچم سره ځغلول کیږي ، دا به د پیکټونو لیږدلو پورې تر هغه پورې چې دا د SIGINT یا SIGTERM سګنلر یا د پیټ مشخص مشخص شمیرې پروسس شوي ندي.

کله چې Tcpdump د نیولو پیکټ پای ته ورسوي، دا به د شمیرو راپور ورکړي:

د فلټر لخوا ترلاسه شوي بسته بندي `` (د دې معنی د OS په اړه پورې اړه لري چې تاسو د Tcpdump چلول یاست، ممکن ممکن د OS په شکل کې وي - که یو فلټر د کمانډ کرښه کې مشخص شوی وي، په یو OS OS کې پیکټونه د دې په پام کې نیولو سره چې ایا د فلټر بیان له مخې سره مل شوي یاست، او په نورو OSES کې یواځې هغه پیټونه حسابوي چې د فلټر د بیان لخوا مطابقت شوي او د Tcpdump لخوا پروسس شوي)؛

د OSC په اړه د پیټ نیولو میکانیزم په واسطه، د TCPPump کنټرول په واسطه، که OS ته راپور ورکوي چې غوښتنلیکونو ته معلومات ورکړي؛ که نه، دا به د 0 په توګه راپور شي).

په پلیټونو کې چې د SIGINFO سگنل مالتړ کوي، لکه د ډیری BSDs، دا به د هغه حسابونو راپور ورکړي کله چې دا د SIGINFO سگنل ترالسه کوي) د مثال په توګه، د خپل `` حیثیت '' ځانګړئ ټیکولو سره، په عموم ډول کنترول-T) او د پیټیو نیولو ته دوام ورکوي .

د شبکې د انټرنیټ څخه د لوستلو پیکټونه ممکن تاسو ته ځانګړي امتیازات درکړي:

د NOS یا BPF سره د SunOS 3.x یا 4.x الندې:

ته باید د / dev / nit یا / dev / bpf * ته لاسرسی ولرئ .

د سولیانو لاندې د DLPI سره:

تاسو باید د شبکې مجسمې وسیلو ته د لوستلو / لیکلو لاسرسۍ ولرئ، د بیلګې په توګه / dev / le . په لږترلږه د سولیسس ځینو نسخو کې، دا دومره بسیا نه ده چې Tcpdump ته اجازه ورکړئ چې په ناوړه طریقه ونیسي؛ د شمسیانو په دغو نسخو کې، تاسو باید ريښه وي، یا Tcpdump باید د جریدو لپاره نصب شوي نصب شي، ترڅو د ضعیف حالت ونیسي. په یاد ولرئ چې، په ډیری (شاید ممکن ټول) مینځپانګونه، که تاسو په جعلي موډل کې نه ونیسئ، تاسو به هیڅ ګوټلی پیټونه ونه ګورئ، نو هغه چې نیغ په نیغه طریقه نه ترسره کیږي ممکن ممکن خورا ګټور وي.

د DLPI سره HP-UX الندې:

تاسو باید ریټ یا Tcpdump باید د ریښی لپاره ترتیب شوی نصب شی.

د IRIX لاندې د snoop سره:

تاسو باید ریټ یا Tcpdump باید د ریښی لپاره ترتیب شوی نصب شی.

لینوکس لاندې:

تاسو باید ریټ یا Tcpdump باید د ریښی لپاره ترتیب شوی نصب شی.

د الټرکس او ډیجیټل په واسطه UNIX / Tru64 الندې UNIX:

هر یو کارن کولی شي د Tcpdump سره د شبکې ټرافيکي ونیسي. په هرصورت، هیڅ کاروونکی) نه هم خورا الره کاروونکی (کولی شي په انٹرفیس کې په پیچلې طریقه ونیسي مګر دا چې سپر کاروونکي په pfconfig (8) او یا هم کاروونکي کاروونکي نه کاروونکي کاروونکي کاروي چې په انټرنیټ کې د موثر فعالیت فعالیت فعال کړی دی ) کولی شي غیر مشکوک ټرافيک چې د ماشین لخوا په انټرنیټ کې ترلاسه کیږي ونیسي مګر دا چې سپر کاروونکی د پیفونفف کارولو څخه په انټرنیټ کې د ټولو موډل فعال فعالیتونه کوي، نو په دې توګه ګټور پیکټ په یو انٹرفیس باندې نیولی شي شاید د ضعیف موډل یا کاپي غوښتنه وکړي - د موډل عملیات، یا د عملیاتو دواړو طریقې، په دې انټرنیټ کې فعال شي.

د BSD لاندې:

تاسو باید / dev / bpf * ته لوستلو لاسرسۍ ولرئ .

د خوندي شوي پیکټ فایل لوستلو ځانګړو امتیازونو ته اړتیا نلري.

اختیارونه

-a

نومونو ته د شبکې او نشر پتې بدلول

-c

د شمېرنې پاکټونو ترلاسه کولو وروسته وتلو.

- سي

د خوندي ساتلو لپاره د خام پیکټ لیکلو دمخه، وګورئ چې فایل اوس مهال د فایلعکس څخه لوی دی او که وي، اوسنی خوندي فایل بند کړئ او یو نوی پرانیزئ. Savefile د لومړي خوندي خوندي کولو وروسته به هغه نوم ولري چې د ال پرچم سره مشخص شوی، له هغې وروسته یو شمیر سره، په 2 کې پیل او دوام ته دوام ورکوي. د فایل سنجیز واحدونه میلیون بیتونه دي (1000،000 بیتونه، نه 1،048،576 بټونه).

-d

د مرتب شوي پیټ پیټ ملګری کوډ په انسان لوستونکي شکل کې معیاري محصول ته ډډه وکړئ او ودروي.

په

د ډمپ پیکټ-ملګری کوډ د C پروګرام fragment په توګه.

-ddd

د ډمپ پیکټ-ملګری کوډ د ډیزاین شمیرې (د شمېرنې سره مخکی).

-e

د هر ډمپ لین په اړه د لینک سطح سرلیک چاپ کړئ.

-E

الګو څخه کار واخلئ : د IPsec ESP پروپوزلونو لپاره پټ . الګوریتمونه کیدی شي Desccc ، 3d-cbc ، ټوپفش-سی بی سی ، RC3-CBC ، cast128-cbc ، یا هیڅ . اصلي دی - ccc . د پیټونو د کښلو توان یوازې یوازې حاضر دی که tcpdump د کریسټریګراف سره مرتب شوی و. د ESP د کلیدي کلیدي لپاره دسیسي متن پټ کړئ. موږ په دې وخت کې خپل ځان بائنری ارزښت نه شو اخیستی. دا اختیار RFC2406 ESP ته رسیږي، نه RFC1827 ESP. دا یوازې د Debugging اهدافو لپاره دی، او د ریښتیا 'پټو' کلی سره د دې اختیار کار بې برخې دی. د IPsec راز کلی وړاندې کول د کمانډ لین ته په نورو کې د ps (1) او نورو مواردو له لارې د نورو سره لیدل کیږي.

-f

د بهرني 'انټرنیټ چاپیریال د سمبولیک پرځای په شمیرو سره په نښه کوي (دا اختیار د دې لپاره دی چې د Sun په yp سرور کې د دماغ زیانمن شوي خطرونه --- په عموم ډول دا د غیر محلي انټرنیټ شمیره د تل لپاره ژباړوي).

-F

د فلټر د بیان لپاره د دوتنې په توګه دوتنه وکاروئ. د کمانډ کرښه کې ورکړل شوي اضافي بیان په پام کې نیول شوی نه دی.

-i

په انٹرفیس واورئ. که ناپېژندل شوی، tcpdump د سیسټم د انټرنیټ لیست په ټیټه شمیره، ترتیب شوي انټرفارم (د لوپ بیک پرته) لپاره لټون کوي. ترټولو غوره لوبه غوره کوي.

د لینکس سیسټمونو 2.2 او یا د کیڼونو سره، د `` کسی '' انٹرفیس دلیل د ټولو مداخلو څخه د پیټرو نیولو لپاره کارول کیدی شي. په ياد ولرئ چې `` هر يو '' باندې نيول به په ضعيفه طريقه نه ترسره کيږي.

-l

د Stdout ليکه جوړه کړئ. ګټوره که تاسو غواړئ د ارقام په وخت کې ارقام وګورئ. ایګ،
`` tcpdump -l | د ټیټ ډیټ 'یا `` tcpdump -l> ډاټا او دمګړۍ - ډاټا'.

- ایم

د فایل ماډل څخه د SMI MIB ماډل تعریفونه پورته کړئ. دا اختیار څو څو ځله کارول کیدی شي څو د MIB ماډلونه Tcpdump ته ورسیږي .

- این

د کور پته د نومونو سره بدله مه کوئ. دا د DNS لیوپونو څخه د مخنیوي لپاره کارول کیدی شي.

- نه

د پروتوکول او د بندر شمیره نوره هم مه کوئ.

این

د کوربه نومونو د وړتیا ډومین نوم چاپ کړئ. ايګ، که تاسو دا بيرغ ورکړئ نو بيا به Tcpdump د `` nic.ddn.mil 'په ځاى چاپ `` nic' چاپ کړئ.

-O

د پیټرو ملګری کوډ optimizer چل مه کوئ. دا یوازې ګټور کار دی که تاسو په آمریکونکي کې یو غړی شکمن کړئ.

-p

انټرنیټ په ضعیف حالت کې مه راځئ . په یاد ولرئ چې دا انټرنټ د نورو لاملونو لپاره په ډیریدونکې طریقه کې وي؛ له همدې امله، `-p 'د اتو کوربه {local-hw-addr} یا تلویزیون لپاره د لنډ بڼې په توګه کارول کیدی نشي.

د

چټک (چپ؟) پیداوار. لږ پروتوکول معلومات چاپ کړئ نو د تولید لینونه لنډ دي.

-R

د ESP / AH packets فرض کړئ چې د زوړ توضیحاتو پر اساس وي) RFC1825 ته RFC1829 ته (. که مشخص شوی، tcpdump به د پلي کولو مخنیوي ساحه چاپ نه کړي. ځکه چې د ESP / AH ځانګړی کولو کې هیڅ پروتوکول نسخه شتون نلري، tcpdump د ESP / AH پروتوکول نسخه نشي کولی.

-r

د دوتنې څخه پاکټونه ولولئ (کوم چې د -w اختیار سره جوړ شوی). معیاري انټرنیټ کارول کیږي که چیرې فایل `` - '' وي.

- ایس

د مطلق، د TCP د ترتیب شمیرې پرځای مطلق چاپ کړئ.

-s

د 68 سایټ په پرتله د هر پیکټ څخه د ډاټا سنیف انځورونه بټونه (د SunOS د NIT سره، لږ تر لږه په حقیقت کې 96 دی). 68 بیتټونه د IP، ICMP، TCP او UDP لپاره مناسب دي مګر کیدای شي پروتوکول معلومات د سرور او NFS پیکټونو څخه) ټیټ وګورئ (له منځه یوسي. د پیټیټونو له منځه وړل د محدودې سایټ شاټ له امله په محصول کې ښودل شوي پراټو ]]، چیرته چې پراتو د پروتوکول کچه نوم دی چې په هغه کې د تناسب پیښې رامنځته شوې. په ياد ولرئ چې د لويو تصويرونو اخيستلو دواړه د شيټونو پروسس کولو لپاره وخت نيسي او په اغېزمنه توګه د packet buffering اندازه کموي. دا کیدی شي د پیټیو له لاسه ورکولو سبب شي. تاسو باید د وړو شمیرو لپاره انځورونه محدود کړئ چې د هغه پروتوکول معلومات نیسي چې تاسو یې لیوالتیا لرئ. 0 د سایټینټ ترتیب کول معنی لري چې د ټول سایټونو د نیولو لپاره اړین اندازه کارول.

- ټ

د " بیان " لخوا ټاکل شوي ځواک پاکټونه مشخص مشخص ډول تشریح کوي. اوس مهال پیژندل شوي ډولونه cnfp (د سیسکو نیټ فلو پروتوکول)، rpc (ریموٹ پروسیجر کال)، Rtp (د اصلی وخت غوښتنلیک پروتوکول)، rtcp (د اصلی وخت غوښتنلیک کنترول پروتوکول)، Snmp (ساده شبکې مدیریتي پروتوکول)، vat (د Visual Audio Tool) )، او WB (سپینې ماڼۍ ویشلي).

-

په هر ډمپ لین کې یو وخت ټیم مه چاپ کړئ.

-

په هر ډمپ لین کې یو نا سمه شوي ټیمسټپ چاپ کړئ.

-U

د ریډ امتیازونه راکموي او د کاروونکي پیژندونکي ته د کاروونکي او د ډلې ID د کارونکي لومړنۍ ډلې ته بدلون ورکوي.

یادونه Red Hat Linux په اتوماتيک ډول د کاروونکو لپاره `امتیاز 'ته امتیاز ورکوي که چیرې نور کوم څه مشخص نه وي.

-Tt

د ډیلټا په لیکه کې د اوسني او پخوانۍ قطعې ترمنځ د ډیلټا (کوچنیو ثانیو کې) چاپ کړئ.

-tttt

د ډیزاینټ بڼه کې یو مهال ویش چاپ کړئ د هر ډمپ لین په نیټه تر سره شو.

-و

بې ځایه شوي NFS لاسونه چاپ کړئ.

-v

(لږ تر لږه) verbose output. د بېلګې په توګه، د آی پي پیکټ په ژوند کې د ژوند، پیژندنې، مجموعي اوږدوالي او اختیارونو وخت چاپ شوی. همدا رنګه د اضافي پاکۍ بشپړتیا معاینه کول لکه د آی IP او ICMP سرې چک چیکوم تایید کول.

-vv

حتی د شفاهي تولید محصول. د بیلګې په توګه، اضافي ساحې د NFS ځواب پیکټونو څخه چاپ شوي، او د SMB پاکټونه په بشپړه توګه رد شوي دي.

-vvv

حتی د شفاهي تولید محصول. د بیلګې په توګه، telnet SB ... په بشپړ ډول SE انتخابونه چاپ شوي. د X-T telnet انتخابونه په هکس کې هم چاپ شوي.

-w

خام پیکټونه د پوسټر کولو او چاپ کولو پر ځای د فایل کولو لپاره ولیکئ. دوی کولی شي وروسته له چاپ سره چاپ شي. معیاري محصول کارول کیږي که چیرې فایل `` - '' وي.

-x

هر پیکټ چاپ کړئ (د هغې د لینک کچه سرلیک) په هیکس کې. د ټول سایټ کوچنی یا سایپینټ بټونه به چاپ شي. په یاد ولرئ چې دا ټول د لین پرت پیکټ دی، نو د لنک پرتونو لپاره دا پیډ (د مثال په توګه ایتھرنیټ) به هم چاپ شي کله چې لوړ پرت پاکټ اړین پوښډ څخه کم وي.

-X

کله چې هکس چاپ کړئ، ascii هم چاپ کړئ. په همدې ډول که -X هم تنظیم شوی وي، پیکټ په Hx / Ascii کې چاپ شوی. دا د نوو پروتوکولونو تحلیل لپاره خورا ګران کار دی. حتی که که چیري هم تعین شوی ندی، د ځینو شیانو ځینې برخې کیدای شی د هکس / اسسیسی په چاپ کی چاپ شی.

څرګندونې

غوره کړئ چې کوم پیکټونه ډک شي. که چیرې هیڅ توضیحات نه وي ورکړل شوي، په شبکه کې ټول پاکټونه ډک شي. که نه، یوازې هغه پیټیټونه چې د بیان بیان دی 'ریښتیا' ډډه کیږي.

په دې بیان کې د یو یا ډیرو لومړیتوبونو شامل دي. لومړني عموما د یو یا ډیرو کوالیفیرانو لخوا مخکې له یو id (نوم یا شمیر) څخه جوړ شوی. د کیفیت درې مختلف ډولونه شتون لري:

ډول

کیفيان وايي چې د څیز نوم یا شمېره څه ډول اشاره کوي. ممکنه ډولونه کوربه ، شبکه او بندر دی . ایګ، `میزبان فو، 'خالص 128.3'،` بندر 20 '. که چیرې د ډول ډول وړتیا شتون نلري، کوربه فرض کیږي.

ډوډ

کوالیفیران د ID څخه د لیږد یو ځانګړي لیږد مشخص کوي. ممکنه لارښوونې د ایس ایس ایس ، ډاټا ، ایس ایس او یا ټيټ او ایس ایس او او ایس ټي کې دي . EG، 'src foo'، `dst net 128.3 '،` src یا dst port ft ft-data'. که چیرې د dir کیفیت لرونکي شتون ونه لري، src یا DST فرض کیږي. د 'نخل' د اړیکو لپاره (د مثال په توګه د پروتوکولونو په څیر نقشه) د انډون او بهر باندنۍ کیفیت لرونکي د غوښتل شوي لارښوونې لپاره کارول کیدی شي.

پراټو

کوالیفیران یو خاص پروتوکول ته محدودوي. ممکنه چاپونه عبارت دي له: ether ، fddi ، tr ، ip ، ip6 ، arp ، rarp ، decnet ، tcp او udp . EG، `et src src '،` arp net 128.3'، 'tcp port 21'. که د پروټو وړتیا شتون نلري، ټول ډول پروتوکولونه د ډول سره سم کیږي. EG، `src foo 'معنی` (ip یا arp یا rarp) سرچینه فیو (پرته له دې چې وروستنۍ قانوني نحایت نه وي)،' خالص بار 'معنی ((IP یا ARP یا rarp) خالص بار او `بندر 53' معنی `(tcp or udp) port 53 '.

[fddi '] په حقیقت کې د "ایتھر" لپاره یو نوم دی. پارسري دوی ورته په معنی ډول معرفي کوي لکه د ډاټا لینک کچه د مشخص شبکې د انټرنیټ په کارولو کې کارول کیږي. '' FDDI سرپرست ایترنیټ لکه سرچینې او ګورتپاڼې پتې لري، او ډیری وختونه ایتھرنیټ لکه پیکټ ډولونه لري، نو تاسو کولی شئ د FDDI په فیلډونو فلټر کړئ لکه څنګه چې د انټرنېټ ایترنیټ ساحو سره. د FDDI سرپرست په نورو ساحو کې هم شامل دی، مګر تاسو د فلټر په بیان کې په واضح توګه نوم نه شي کولی.

په ورته ډول، 'tr' د «ایتھر 'لپاره یو نوم دی. د FDDI سرلیکونو په اړه د پخوانیو پیراګراف بیانونه د توکن رنگ په سر کې هم کارول کیږي.]

د پورته سربېره، ځینې ځانګړي »ابتدايي 'کلیدي دي چې د نمونو تعقیب نه کوي: دروازې ، خپرونې ، لږ ، لوی او ریاضي توضیحات. دا ټول لاندې تشریح شوي دي.

د پیچلو فلټر توضیحات د کلمو په کارولو سره جوړ شوي دي، او یا د لومړني شیانو سره یوځای کولو لپاره ندي . ايګ، `کوربه foo او د بندر ايف ايف پي نه او د ايف ايف پي ډاټا نه پورټ '. د ټایپ کولو خوندي کولو لپاره، ورته کوالیف لیستونه لغوه کیدی شي. EG، 'tcp dst port ftp یا ftp- ډاټا یا ډومین' پھ مستقیمھ توګھ د `tcp dst port ft ftp یا tcp dst port ft ft-data یا tcp dst port domain 'پھ توګھ دي.

د منلو وړ وړ لومړیتوبونه په لاندې ډول دي:

د ډسټ کوربه کوربه

سمه ده که د IPP4 / v6 د ساحې ساحه د کوربه وي ، کوم چې شاید یو پته یا نوم وي.

د سرچینه کوربه کوربه

سمه ده که د IPv4 / v6 سرچینه ساحه د پاکټ کوربه وي .

کوربه کوربه

سمه ده که د IPv4 / v6 سرچینه یا د پاکۍ ځای کوربه وي . د پورته کوربه توضیحاتو هر یو کیدای شي د کلیدي کلماتو، ip ، arp ، rarp ، یا ip6 سره لکه څنګه چې په:

د کور کوربه کوربه

کوم چې مساوي وي:

اییر پراټو \ ip او کوربه کوربه

که کوربه د څو IP پتې سره یو نوم وي، هر پته به د یوې میچ لپاره چک شي.

د ایستورسټ ایسټس

سمه ده که چیرې د ایتھرټ ځای ځای پتې وي. ايستسټ يا هم د / etc / ethers څخه يو نوم يا يو شمېر وي ( اخالقي (3N) د شميري بڼه لپاره وګورئ).

د تل متن شفر

رښتیا که چیرې د ایتھرنی سرچینه ایستنه وي .

لوی کوربه کوربه

ریښتیا که چیرې د ایتھرنی سرچینه یا د ځای پتې ایستنه وي .

د ګيټی کوربه

سمه ده که چیرې پاکټ د ګیٹو په توګه کوربه وکاروي. Ie، د ایتھرنی سرچینه یا د ځای پتې کوربه کوربه وه ، مګر نه د IP سرچینې او نه IP IP کوربه کوربه وه . کوربه باید یو نوم وي او باید دواړه د ماشین د کور-نوم-IP-address حل میکانیزمونو (د کور نوم فایل، DNS، NIS، او نور) لخوا ومومي او د ماشین د کور-نوم څخه تر ایتالیت پته ریزروشن لخوا باید وموندل شي. میکانیزم (/ / نور / ایتالز، او نور). (یو مساوي بیان دی

اتومات کوربه او نه کوربه کوربه

کوم چې د نومونو یا شمېره لپاره د نومونو یا شمېرو سره کارول کیدی شي.) دا نخشه په دې وخت کې د IPv6-فعال کنټرول کې کار نه کوي.

dst خالص خال

سمه ده که د Packet د IPv4 / v6 منزل پته د شبکې شمیره د شبکې شمېره وي. نیټ کیدای شي د / etc / شبکې نوم یا د شبکې شمیره وي (د جزیاتو لپاره شبکې (4) وګورئ).

د شبکې خالص خالص

سمه ده که د IPv4 / v6 سرچینه پته د شبکې شمېره ولري.

خالص خالص

سمه ده که د IPv4 / v6 سرچینه یا د پیټ سایټ پتې د شبکې شبکه ولري.

د خالص ماسک نقشه نقشه

سم که چیری د IP پته خالص ماډل سره یوځای شی . د ایس ایس ایس یا ډسټ سره وړتیا کیدی شي. په یاد ولرئ چې دا نخښه د IPv6 نیٹ لپاره اعتبار نلري.

خالص خالص / لین

سمه ده که د IPv4 / v6 پته خالص د ماسټ ماسک لین بټ پراخه وي. د ایس ایس ایس یا ډسټ سره وړتیا کیدی شي.

د ډیټا بندر بندر

سمه ده چې پیکټ ip / tcp، ip / udp، ip6 / tcp یا ip6 / udp او د ګورت بندر د بندر ارزښت لري. بندر کېدای شي یو شمیر یا نوم وي چې په / etc / خدماتو کې کارول کیږي) TCP (4P) او udp (4P) وګورئ. که یو نوم کارول کیږي، د بندر شمېره او پروتوکول دواړه چک شوي. که یو شمیر یا نامتو نوم کارول کیږي، یواځې د پورتنۍ شمیره نښه شوې ده (د مثال په توګه، DST port 513 به دواړه TCP / د ننوتلو ټرافيک او udp / څوک چې ټرافيک، او د بندر ډومین به د Tcp / Domain او udp / domain ټرافیک چاپ کوي) چاپ کړي.

د ایسټر پورت بندر

سمه ده که چېرې پاکۍ د بندر بندر سرچینه لري.

پورت بندر

سمه که چیرې د پیټی سرچینه یا ګورت بندرټ بندر وي د پورته پورته بندر څرګندونو څخه هر یو د کلیدونو، TCP یا udp سره وړاندې کیدی شي، په داسې حال کې چې:

د سي ایس ایس ټيټر بندر

کوم چې یوازې TCP پیټونو سره سمون لري د سرچینې بندر بندر بندر دی.

لږ اوږدوالی

سمه ده که چیری پاکه اندازه د طلا په پرتله یا مساوی وی. دا د دې سره برابر دی:

لین <= اوږدوالی .

اوږده اوږدوالی

سمه ده که چیری پاکه اندازه د طریقی څخه ډیر یا مساوی وی. دا د دې سره برابر دی:

لین> = اوږدوالی .

د پوټوټ پروټوکول

رښتیا که چیری پاکټ IP IP پیکٹ (د IP پروتوکول پروپیک ( IP (4P) وګورئ. پروتوکول کیدای شي د شمیرو نومونو څخه یو یا د Impmp ، icmp6 ، igmp ، igrp ، pim ، ah ، esp ، vrrp ، udp ، یا tcp کېدی شي . په یاد ولرئ چې پیژندل شوي TCP ، udp ، او icmp هم کلیدي دي او باید د ملاتړ پاڼې (\) له لارې وتښتول شي، کوم چې \ C په shell کې \ \ \. په یاد ولرئ چې دا ابتدايي د پروتوکول سرلیک زنځیر نه پیژني.

ip6 پراټو پروټوکول

رښتیا که چیری پاکټ IPv6 پاکټ د پروتوکول ډول پروتوکول دی . په یاد ولرئ چې دا ابتدايي د پروتوکول سرلیک زنځیر نه پیژني.

ip6 پروټوچین پروټوکول

سمه ده چې پاکټ IPv6 پاکټ وي، او د پروتوکول سرلیک لري د پروټوکول سره د پروتوکول سرلیک چینل کې. د مثال په توګه،

ip6 پروټوچین 6

د IPv6 پیکټ سره د TCP پروتوکول سرلیک سره د پروتوکول سرلیک کې موازنه کوي. د پیټټ کیدای شي د بیلګې په توګه، د تصدیق سرلیک، د سرکونو لارښوونه، یا د هاپ-هایپ اختیار سرلیک، د IPv6 سرلیک او TCP سرلیک ترمنځ وي. د BPF کوډ د دې ابتکار لخوا پیچلي دی او د TPPDump کې د BPF د اصلاح کونکي کوډ لخوا په ښه توګه نشي کیدی، نو دا ممکن یو څه سست وي.

د پرو پروټوین پروتوکول

د پروټوچین پروتوکول ip6 سره برابر دی، مګر دا د IPv4 لپاره دی.

اتوار نشر کړئ

سمه ده که چیرې پاکټ د ایتھرینټ نشراتي پیکټ وي. ایتھ کلیدي اختیاري ده.

ip خپرونې

سمه ده که چیری پاکټ IP پته وی دا د ټولو زرو او د ټولو خپرونو کنوانسیونونو لپاره چک کوي، او محلي سبټ ماسک ګوري.

اتوزیټیک

رښتیا که چیری پاکټ د ایتھرنیټ ملیکسټ پیکټ وي. ایتھ کلیدي اختیاري ده. دا د [0] او 1 = = 0 'لپاره منل شوې ده.

ip multicast

ریښتیا که چیری د پیټ پی آی آی کثیرست پیکټ وي.

ip6 multicast

رښتیا که چیری پاکټ IPv6 د څو سایټ پیکټ دی.

د اتو پرتو پروتوکول

رښتیا که چیری پاکټ د تل ډول ډول پروتوکول دی . پروتوکول کیدای شي د یو نوم یا یو نوم وي، ip6 ، arp ، rarp ، atalk ، aarp ، decnet ، sca ، lat ، mopdl ، moprc ، iso ، stp ، ipx ، or netbeui . یادونه وکړه چې دا پیژندونکي هم کلیدي دي او باید د ملاتړ پاڼې (\) له لارې وتښتول شي.

[د FDDI په څیر (د مثال په توګه، `FDDI پروتوکول آرپی ') او د توین رنګ (د مثال په توګه،' tr پروتوکول آرپی ')، د ډیری پروتوکولونو لپاره، د پروتوکول پیژندنه د 802.2 څخه منطقي اړیکو کنټرول (LLC) سرلیک دی، کوم چې عموما د FDDI یا د توکن رنگ سرلیک په سر کې پرتې وي.

کله چې د FDDI یا Token Ring په ډیری پروتوکول پیژندلو لپاره فلټر کول، tcpdump یواځې د SNAP بڼه په یو LLC سرلیک کې د پروتوکول ID ساحه ګوري چې د 0x000000 د تنظیمي واحد واحد پیژندونکي (OUI) سره، د انټرنېټ لپاره لپاره؛ دا معلومه نه ده چې آیا پیټینټ د SNAP شکل کې دی د OUI سره د 0x000000.

استثناوې ایو دي ، د دې لپاره چې دا د LLC لپاره د DSAP (د ګومارنې خدمت لاس رسی) او SSAP (د سرچینې خدمت لاسرسي) ​​برخې سرلیک ګوري، چیرته چې دا د LLC سرلیک DSAP چک کوي، او په کوم ځای کې، د SNO-format فارمټټ لپاره د OUI سره د 0x080007 او Appletalk etype سره چک کوي.

د ایتټرنی په حالت کې، tcpdump د ډیری پروتوکولونو لپاره د ایتالټ ډول ډګر چیک کوي؛ استثناوې Ao ، SAP ، او Netbeui دي ، د دې لپاره چې دا د 802.3 چوکاټ لپاره معاینه کوي او بیا د LLC سرلیک چک کوي لکه څنګه چې دا د FDDI او Token Ring لپاره، ATC ، چیرته چې دا په ایتالټ چوکاټ کې د Appletalk etype لپاره دواړه معاینه کوي او د لکه څنګه چې دا د FDDI او Token Ring لپاره، AARP لپاره کار کوي، چیرته چې دا په Ethernet Frame یا 802.2 SNAP فریم کې د 0x000000 او OIP سره OPP کې چیرته چې دا د IPX ډوله لپاره چک کوي د ایتھرنیټ چوکاټ، په LLC LLC کې د IPX DSAP، 802.3 د ایل پی ایل سرپرست د ایل پی ایل سرغړونه او د SNAP په چوکاټ کې د IPX ډولونه.

داکټټک ایسټر کوربه

سمه ده که د DECNET سرچینې پتې کوربه وي ، کوم چې کیدای شي د `` 10.123 '' فورمه وي، یا د DECNET کوربه نوم. [د DECNET کور نوم نوم یوازې د الټرکس سیسټمونو کې شتون لري چې د DECNET چلولو لپاره ترتیب شوی دی.]

decnet dst host

سمه ده که د DECNET منزل پتې کوربه وي .

د ډیکټ کوربه کوربه

سمه ده که د DECNET سرچینه یا د ځای پتې کوربه وي

ip ، ip6 ، arp ، rarp ، atalk ، تور ، ډبنیټ ، ایونو ، STP ، ipx ، netbeui

د لنډیز لپاره:

اتری پراټو

چیرته چې د پورته پورته پروتوکولونو څخه یو دی.

مایټ ، Moprc ، Mopdl

د لنډیز لپاره:

اتری پراټو

چیرته چې د پورته پورته پروتوکولونو څخه یو دی. يادونه وکړه چې ټي سي ډيمپ دا مهال نه پوهېږي چې څنګه د دې پروتوکولونو تشريح کول.

vlan [vlan_id]

سمه ده که پاکټ یو IEEE 802.1Q VLAN پاکټ وي. که [vlan_id] مشخص شوی، یواځې ریښتیا وي دا پیټی مشخص vlan_id لري . په یاد ولرئ چې لومړی بیان د کلیدي کلمې سره چې په بیان کې ورسره مخامخ شوي د بیان نور پاتې کیدو لپاره د ډیزاین کولو بدلونونه په دې انګیرنه چې پیکټ یو VLAN پاکټ دی بدلوي.

tcp ، udp ، icmp

د لنډیز لپاره:

ip پراټو پی یا ip6 پراټوپ

چیرته چې د پورته پورته پروتوکولونو څخه یو دی.

د آو پرتو پروتوکول

سمه ده چې پاکټ د پروتوکول ډول د OSI پاکټ دی. پروتوکول کېدای شي د یو شمیر نومونو یا clnp ، esis یا isis نومونه وي.

clnp ، esis ، isis

د لنډیز لپاره:

ایو پراټو پاڼه

چیرته چې د پورته پورته پروتوکولونو څخه یو دی. په یاد ولرئ چې tcpdump د دې پروتوکولونو د جلا کولو ناباوره دنده لري.

Expr relop expr

ریښتینې که اړیکه ساتل کیږي، په هغه ځای کې چې تاوان یو له دې، <،> =، <=، = ،! =، او Expr یو ریاضي بیان دی چې د انټرنټر محدودېتونو څخه جوړ شوی (د C د معیاري په بڼه کې ښودل شوی)، د بائنر نورمال چلونکي [+ ، -، *، /، &، |]، یو اوږد چلونکي، او د ځانګړو پیټرو ډاټا لاسرسی. د سایټ دننه ډاټا ته لاسرسي لپاره، لاندې نخشه کاروئ:

پراټو [ expr : اندازه ]

پروټو یو له Ethern، Fddi، tr، Ppp، Slip، Link، IP، ARP، rarp، TCP، ipp، icmp یا ip6 څخه دی ، او د لیږد د عملیاتو لپاره پروتوکول پرت ښیي. ( Ethern، fddi، tr، PPP، slip او ټول د لین پرت ته مراجعه وکړئ.) یادونه وکړئ چې د TCP، udp او د بل لوړ پرت پروتوکول ډولونه یوازې IPv4 ته وړل کیږي، نه IPv6 (دا به په راتلونکي کې ثابت شي). د نښه کولو ټایټ، د اشاره شوي پروتوکول پرت سره، د Expr لخوا ورکول کیږي. اندازه اختیاري ده او د ګټو په برخه کې د بڼونو شمیره ښيي. دا کولی شي یو، دوه، یا څلور وي، او یو یې رد کړي. د اوږدې مودې چلونکي، چې د کلیدي لین لخوا اشاره شوي، د پیکټ اوږدوالی ورکوي.

د مثال په توګه، ` ether [0] & 1! = 0 'ټولې ملیسټ ټرافيکي پټوي. د بیان ` IP [0] او 0xf! = 5 'ټول IP پیکټونه د غوره کولو سره نیسي. د بیان ` ip [6: 2] او 0x1fff = 0 'یوازې د نا نښه شوي ډاټا ګرامونه نیسي او د ټوټه شوي ډاټا ګرام صفر ماتوي. دا چک په مستقیم ډول د TCP او udp index index کې تطبیق کیږي. د مثال په توګه، TCP [0] تل د TCP سرلیک لومړنۍ بڼې معنی لري، او هیڅکله د مداخلې ټوټې لومړنۍ بڼې نه معنی لري.

ځینې ​​کرایټونه او ساحې ارزښتونه کیدای شي د شمیرې په توګه د شمیرو ارزښتونو په توګه وشمیرل شي. د لاندې پروتوکول سرپرست ساحه د لاسرسي وړ دي: د ایمپوپټائپ (ICMP ډول ډګر)، آئپmpcode (ICMP code field)، او Tcpflags (د TCP پرچم میدان).

لاندې ICMP ډوله ساحې ارزښتونه شتون لري: icmp-echoreply ، icmp-unreach ، icmp-sourcequench ، icmp-redirect ، icmp-echo ، icmp-routersolicit ، icmp-routersolicit ، icmp-timxolid ، icmp-paramprob ، icmp-paramprob ، icmp -tstamp ، icmp -ټسټمپریټ ، آئی ایم پی ایم- ارقق ، ایپیپمپ-ایرقریپ ، آمپپپ-ماسکریق ، آمپپمپ-ماسکریټ .

لاندې TCP بیرغونه ساحې ارزښتونه شتون لري: tcp-fin ، tcp-syn ، tcp-rst ، tcp-push ، tcp-push ، tcp-ack ، tcp-urg .

لومړني توکي کولی شي په کارولو سره ګډ شي:

د قابلیت او عاملینو یو قاموس شوی ګروپ (پلارونه د شیل لپاره ځانګړي دي او باید فرار شي).

منفي (` ! 'یا' نه ').

ضمیمه (` && ' یا` او ').

بدیل (` || 'یا` یا ').

منفي تر ټولو غوره دی. بدیل او موافقت مساوي لومړیتوب لري او ښي خوا ته ښي اړخ سره شریکیږي. یادونه وکړئ چې واضح او ټیکان، د جکسپټینټ نه شتون، اوس د موافقت لپاره اړین دي.

که چیرته یو پیژندونکی پرته له کومې کلمې پرته ورکړل شي، وروستنی کلیدي کلمه فرض کیږي. د مثال په توګه،

کوربه جوړونه او اکس نه لري

لنډ دی

کوربه کوربه او کوربه کوربه نه ده

کوم چې باید ناڅاپي نه وي

نه (کوربه یا اکس)

د بیان استدلالونه د TCPPump ته د یو واحد دلیل په توګه یا د ډیرو دلیلونو په توګه، هر هغه څوک چې اسانه وي. عموما، که چیرې په شیل کې د شیل میتودونه شامل وي، دا د یو واحد، حواله شوي مسایل په توګه دا د لیږدولو اسانه ده. ګڼ شمیر استدلالونه د قضاوت دمخه د ځایونو سره موافقت شوي دي.

نمونې

د ټولو پاکټونو د چاپولو لپاره یا د سوډان څخه راوتلو لپاره:

د tcpdump کوربه سوډان

د هیلویا او یا تودوخه یا اککا ترمنځ ټرافيک چاپولو لپاره:

tcpdump کوربه هیلو او \ (ګرم یا اک)

د ټولو IP پیټونو چاپولو لپاره د ایو او هر کور پرته د هیلیوس پرته:

tcpdump ip کوربه ایټ او نه هیلوس

په برکلي کې د ځایی میزبانونو او میزبانانو ترمنځ ټول ټرافیک چاپولو لپاره:

ټیکپمپپ ټیک ایکب

د انټرنیټي ګيټ وین سټپ په واسطه د ټولو فایل ټرافيک چاپولو لپاره: (یادونه وکړئ چې بیان څرګندوي چې د پوټکي مخنیوي (غلط-) د پیرسونو تشریح کولو مخه ونیسي):

tcpdump 'دروازې سایپ او) بندر ftp یا ftp-data ('

د ټرافیک چاپ کولو لپاره نه د نه ځای اخیستل شوي او نه د محلي میزبانانو لپاره) که چیرته تاسو یو بل خال دروازه، دا توکي باید هیڅکله ستاسو په محلي شبکې کې نه وي (.

tcpdump ip او ځایی سیمه ایزه ننه

د هرې TCP خبرو اترو پیل او پای پایپ پاڼې (د SYN او FIN پاکټونو) چاپولو لپاره چې غیر غیر محلي کوربه پکې شامل وي.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! 0 = او نه یواځې د سیمیټ شبکې او ایس ایس ایس او ډسټ

د IP76 پیټونو چاپولو لپاره د 576 بټونو څخه زیات د ګيټ وین سنا لخوا لیږل کیږي:

tcpdump 'دروازې سپپ او IP [2: 2]> 576'

د آی ډبليو خپرونې یا د ملیسټ پیټونو چاپولو لپاره چې د ایتھرنیټ نشر یا multicast له لارې ندي لیږل شوي:

tcpdump 'ether [0] & 1 = 0 او ip [16]> = 224'

د ICMP ټول پیکټونه چې د غوښتنو یا ځوابونو ګوندې نه دي چاپ کړئ (د مثال په توګه، د پنگ پیکو نه):

tcpdump 'icmp [icmptype]! = icmp-echo او icmp [icmptype]! = icmp-echoreply'

د وتلو فورمه

د Tcpdump تولید پروتوکول پورې تړلی دی. لاندې لاندیني شکلونو لنډ بیان او مثالونه وړاندې کوي.

د لینک کچې سرلیکونه

که 'ای' اختیار ورکړل شي، د لینک کچه سرلیک چاپ شوی. په ایتالنیټونو کې، د سرچینو او منزلونو پته، پروتوکول، او د بسته بندي اوږدوالی چاپ شوی.

د FDDI شبکو په اړه، 'A' اختیار Tcpdump د 'فریم کنترول' فیلم، د سرچینې او منزل پته پته او د پیکټ اوږدوالی چاپولو المل ګرځوي. (د فریم کنترول ساحه د پاتې پاکټ تفسیر اداره کوي. عمومي عمومي پیکټونه) لکه د IP ډاټا ګرام (د 'async' پاکټونه دي، د لومړیتوب ارزښت سره د 0 او 7؛ د مثال په توګه، ` async4 '. پیټرونه فرض شوي چې د 802.2 منطقی لنک کنټرول) LLC (پیکټ ولري؛ د LLC سرلیک چاپ شوی که چیرې دا د ISO ډاټاګ نه وي یا په بل نامه د SNAP پاکټ.

د ٹوکن رینګ شبکې کې، 'A' اختیار Tcpdump د `لاسرسی کنترول 'او` فریم کنترول' ساحې، د سرچینې او منزل پته پته او د پیکټ اوږدوالی چاپولو المل ګرځوي. د FDDI شبکې په څیر، پیټسونه د LLC پیکټ په اړه فرض شوي دي. له دې پرته چې آیا د "ال" اختیار مشخص شوی یا نه وي، د سرچینې روټ معلومات د سرچینې - لیست شوي پاکټونو لپاره چاپ شوي.

(NB: لاندې وضاحت د SLIP کمپریشن الګوریتم سره پېژندل کیږي چې RFC-1144 کې بیان شوي.)

د SLIP لینکونو کې، د الرښو شاخص (`` I 'د انباؤن لپاره، `` O' 'د بډې لپاره لپاره)، د پیکٹ ډول ډول، او د کمپریشن معلومات چاپ شوي. د پاکټ ډول لومړی چاپ شوی. دا ډول ډولونه ip ، utcp ، او ctc دي . د پوټونو لپاره د لا ډیرو اړیکو معلومات چاپ شوی ندي. د TCP پیکٹونو لپاره، د کنټرول پیژندونکی د ډول څخه وروسته چاپ شوی. که چېرې پاکټ کمپونډ شوی وي، د هغې انډډ شوي سرونکی چاپ شوی. ځانګړي قضیې د * S + n او * SA + n چاپ شوي، چیرې n هغه اندازه ده چې د هغې د ترتیب نمبر (یا د تسلسل شمیره اوک) بدل شوی. که دا ځانګړې قضیه نده، صفر یا ډیر بدلونونه چاپ شوي. یو بدلون د U (عین پوستر)، W (کړکۍ)، A (Ack)، S (ترتیب نمبر)، او I (Packet ID)، وروسته د ډیلټا (+ n nn-n)، یا نوې ارزښت (= n). په پاى کې، د پټبل او د کمپيوټر سرليک اندازه په ډاګه شوې ده.

د بیلګې په توګه، لاندې لینډ د یو بل سره تړل شوی TCP Packet ښیي، د منفي اړیکو پیژندونکی سره؛ ډک د 6 لخوا بدلون موندلی، د ترتیب ترتیب 49، او د پیکټ ID لخوا 6؛ د معلوماتو 3 بڼونه شتون لري او د کمپونډ شوي سرلیک 6 بڼونه شتون لري:

O ctp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP پاکټونه

د Arp / rarp output د غوښتنې ډول او د هغې دلیلونه ښیي. بڼه د ځان تشریح کولو موخه ده. دلته یو لنډ نمونه د کورم رسټس څخه د «Rlogin» له پیل څخه اخیستل کیږي چې د سیمیز کوربه کوي :

ARP څوک چې CSS د CSAM په اړه د RTSG ARP ځواب سیمی ته وايي

لومړنۍ کرښه وایي چې Rtsg یو آر آر پی پیکیک واستاوه چې غوښتنه یې د انټرنیټ کوربه سي ایسم ایتھرټ پتې لپاره غوښتنه کوله. سیمس د خپل ایتھرنی پته سره ځوابونه کوي) په دې مثال کې، د ایتالنی پتې په ټیټ قضیه کې کیپ او انټرنیټ پتې کې دي (.

که چیرې موږ د Tcpdump -n ترسره کړي که چیرې دا کار نور هم بې پروا وګرځوي ،

ARP څوک - 128.3.254.6 128.3.254.68 ته د ARP ځواب 128.3.254.6 دی په 02: 07: 01: 00: 01: 01: 01:

که موږ Tcpdump -e ترسره کړی، دا حقیقت چې لومړی پیکټ یې خپور کړی او دویم یې د ټکی څخه لیدل کیږي:

د RTSG خپرونه 0806 64: ARP څوک څوک لري RTSG ته CSAM RTSG 0806 64: د ARAM ځواب CSAM په CSAM کې

د لومړي پیکټ لپاره دا وایي چې د ایتھرنیټ سرچینه پته RTSG ده، منزلت د ایتھرینټ خپرونې پته ده، د هغه ساحه چې hex 0806 (ETHER_ARP ډوله) وي او ټول اوږدوالی 64 بیتونه وو.

د TCP پاکټونه

(NB: لاندې وضاحت د TCP پروتوکول سره پیژندل کیږي چې RFC-793 کې بیان شوي. که تاسو د پروتوکول سره واقف نه یاست، او نه هم دا تشریح یا نه TCPPump به ستاسو لپاره ډیره ګټه وکاروي.)

د TCP پروتوکول لیک عمومي بڼه:

src> dst: د بکسونو ډاټا - دقیقه کک کړکۍ بیړنۍ اختیارونه

Src او dst د سرچینو او نقشه IP پته او بندرونه دي. پرچم د S (SYN)، F (FIN)، P (PUSH) یا R (RST) یا یو واحد. (جغرافیایی نه). Data-seqno د دې ترتیب په اړه د ارقامو پوښښ د هغه برخې برخه بیانوي (لاندې مثال وګورئ). Ack د راتلونکي معلوماتو ډاټا شمیرل کیږي چې په دې تړاو نور لارښود. کړکۍ د لاسته راوړونکي بسته کولو د بڼونو شمیر دی چې په دې پیوستون کې بل لارښود شتون لري. Urg ښیي چې هلته په ساکټ کې 'بیړنۍ' ډاټا شتون لري. اختیارونه د TCP انتخابونه دي چې د زاویې په برکونو کې تړل شوي دي (د بیلګې په توګه، ).

SCR، DST او بيرغونه تل موجود دي. نورې ساحې د پیکټ د TCP پروتوکول سرلیک په محتوياتو پورې اړه لري او یوازې د مناسبو محصولاتو تولید دي.

دلته د کورم RTSG څخه د رایلین افتتاحه برخه ده چې د سیم سیسټم لري .

rtsg.1023> csam.login: S 768512: 768512) 0 (4096 بریالیتوب> csam.login> rtsg.1023: S 947648: 947648 (0) ټک 768513 د 4096 بریالیتوب rtsg.1023> csam. د ننه کیدل: . Ack 1 ګټونکی 4096 rtsg.1023> سیمی. لوګن: P 1: 2 (1) ډک 1 ګټونکی 4096 csam.login> rtsg.1023:. Ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 ګټونکی 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: P 2: 3 (1) ډک 21 Win 4077 وړاندیز 1 csam.login> rtsg.1023: P 3: 4 (1) ډک 21 بری 4077

لومړنۍ کرښه وايي چې د Tcp بندر 1023 د Rtsg په اړه د سي ایس ایس په بندر کې د ننوتلو لپاره یو پیکټ واستول. S ته اشاره کوي چې د SYN پرچم ټاکل شوی. د پیکټ ترتیب نمبر 768512 و او پدې کې هیڅ معلومات نشته. (یادښت لومړی دی: وروستی (نبیټس) 'دا معنی ده چې د ترتیب ترتیب شمیره مخکې تر هغې پورې نه وي مګر د وروستۍ په شمول چې د کارن ډاټا مالومات نبیټس بټ دی' '.) د سور رنګ ملاتړ شوی ډک شتون نه درلود، موجود لاس رسی یې کړکۍ 4096 بټس وو. د 1024 بټونو د ایم ایس ایس غوښتنه غوښتنه شوې وه.

سیمس د ورته پیکټ سره ځوابونه لري پرته له دې چې د RTSG SYN لپاره د سورګی مالتړ شوي کک شامل دي. بیا RTSG د سي ایس ايس SYN ګړندي کوي. `. ' پدې معنی چې هیڅ جغرافیایی ندی ټاکل شوی. پیټیټ هیڅ ډاټا نلري نو د معلوماتو د ترتیب شمیرې شتون نلري. په یاد ولرئ چې د حساب ترتیب شمیر یو کوچنی انټرنټر دی (1). لومړی ځل Tcpdump د TCPP خبرې اترې ویني، دا د ترتیب نمبر د پیکټ څخه چاپ کوي. د خبرو اترو په پای پاکۍ کې، د اوسني سایټ د تسلسل نمبر او د دې لمړني ترتیب شمیره کې توپیر چاپ شوی. دا پدې معنی ده چې د لومړي ځل لپاره د خبرو اترو د معلوماتو سټیټ کې د بایټ پوست په توګه تفسیر کیدلی شي) د لومړني معلوماتو سره چې هر لور یې `1 'وي `-S 'به د دې خصوصیت تکرار کړي، چې د اصلي ترتیب شمېره یې د تولید لپاره وي.

په شپږم کرښه کې، Rtsg د معلوماتو 19 19 بټونه) د بټ 2 څخه تر 20 پورې په Rtsg کې - د خبرو اترو اړخ. (. د PUSH پرچم په ساکټ کې ځای شوی دی. د اوومین لائن په اړه، سیمام وايي چې دا د Rtsg لخوا لیږل شوي معلومات راټول شوي مګر 21 بټۍ پکې شامل ندي. دا ډیټا په ښکاره توګه په ساکټ بفر کې ناست دي ځکه چې د سیم ترلاسه شوي کړکۍ 19 بټټونه وړل شوي. سي ایسام همدا رنګه د دې پیکټ کې RTSG ته د معلوماتو یو بټ لیږي. د اتم او نهمه لینځیو کې، سیمسم د Rtsg ته د بیړنیو، ډاټا شوي ډاټا دوه بټونه لیږلي.

که سایپ شاټ خورا کوچنی و، tcpdump بشپړ TCP سرلیک نه و اخیستی، دا د هر څومره سرلیک سرته رسوي لکه څنګه چې کولی شي او بیا راپور ورکوي `` [| tcp ] '' د پاتې کیدو نښه کولو لپاره کیدای شي تفسیر نشي. که چیرې سرپرست د بایوګز اختیار ولري (یو د هغه حد ډیر یا کوچنۍ وي چې د سر په پای کې وي یا د هغې په پایله کې وي)، Tcpdump د `` [ بد نظری ] '' په توګه راپور ورکوي او نور انتخابونه یې ندي تفسیروي (ځکه چې دا ناممکن دي چې ووایی چیرې چې دوی پیل کوي). که چیرې د سرلیک اندازه د انتخاب نښه وي مګر د آی ډی ډاټاام اوږدوالی په ریښتیا سره د انتخاب لپاره دومره کافی نه وي، tcpdump د `` [ bad hdr length ] '' په توګه راپور ورکوي.

د TCP پیکټونه نیول د پرچون د ځانګړو ترکیبونو سره (SYN-ACK، URG-ACK، او نور)

د TCP سرپرست کنترول بټ برخه کې 8 بټونه شتون لري:

CWR | ECE | URG | ACK | PSH | RST | سایټ | FIN

راځئ داسې فکر وکړو چې موږ غواړو چې د TCP کنټرول په جوړولو کې د پیټرو کارولو څارنه وکړو. یادونه وکړه چې TCP د درې-لاسي لاسلیک پروتوکول کاروي کله چې دا یو نوی ارتباط پېل کوي؛ د TCP کنترول بټونو په تړاو د تړاو ترتیب

1) کالر SYN ته استوي

2) د SYN، ACK سره د اخیستونکي ځواب

3) کالر ACK لیږي

اوس موږ د پاکټونو په نیولو کې لیوالتیا لرو چې یوازې د SYN بټ سیٹ (مرحله 1) لري. په ياد ولرئ چې موږ نه غواړو د دويم پړاو څخه (د سي اين اين اي سي) څخه پاکټونه، يو ساده ابتدايي سيسټم. موږ د Tcpdump لپاره د درست فلټر بیان غوښتنه کوو .

د TCP سرلیک جوړښت پرته له اختیارونو څخه یادونه وکړئ:

0 15 31 ----------------------------------------------- ------------------ | سرچینه بندر | د منزل بندر | -------------------------------------------------- --------------- | د ترتیب شمېره | -------------------------------------------------- --------------- | د منلو شمیره -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | د کړکۍ کچه -------------------------------------------------- --------------- | د TCP چکونه | بېړنۍ شاخص -------------------------------------------------- ---------------

د TCP سرپرست عموما د معلوماتو 20 افقی لري، مګر که چېرې اختیارونه موجود وي. د ګراف لومړنی کرښه مشتملټیکونه 0 - 3، دوهم دویم لیکیکټونه 4 - 7 نور ښودل شوي.

د 0 سره حساب کولو پیل کول، د TCP کنټرول بټونه په اتکت 13 کې شامل دي:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | د کړکۍ کچه ---------------- | --------------- | --------------- | - --------------- | | 13 اوونټ | | |

راځئ چې د آکتټ نمبر ته نږدې نږدې نظر ولرئ. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

دا د TCP کنټرول بټ دي چې موږ یې لیوالتیا لرو. موږ دا ټیکټ کې له 0 څخه تر 7 پورې، د ښي خوا ته ښیې، نو PSH bit لږ شمیر 3 دی، پداسې حال کې چې یو آر جی سایټ 5 شمیر دی.

یادونه وکړئ چې موږ غواړو یوازې د سایټ سایټ سره د پیټرو نیولو لپاره. راځئ چې د اکتوبر 13 ته څه پیښ شي که چیرې د TCP ډاټاگرام د سیسټم په سیسټم کې د سیسټم سره یوځای شي سره راشي:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 0 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

د کنټرول بټس برخې ته ګورئ موږ وګورو چې یوازې یو څه شمیره (SYN) ټاکل شوی.

دا په ډاګه کوي چې د اکتوبر شمیره 13 د شبکې د ترتیب حکم کې 8-bit غیر منظم شوي انټرنټ دی، د دې سکټور بائنری ارزښت دی.

00000010

او د هغې د ډیزاین استازیتوب دی

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

موږ تقريبا تر سره شوي، ځکه چې موږ پوهیږو چې یواځې د SYN ټاکل کیږي، د TCP سرلیک کې د 13 octet ارزښت، کله چې د جال د شبکې کې د 8-bit غیر ناجائز شوي انټرنټ په توګه تشریح شوی، باید په سمه توګه وي.

دا اړیکه کیدای شی لکه څنګه

tcp [13] == 2

موږ کولی شو د دې بیان څخه د Tcpdump لپاره فلټر وګورو ترڅو د پیټونو لیدلو لپاره یوازې د SYN مقررات ولرئ:

tcpdump -i xl0 tcp [13] == 2

بیان وایي چې "اجازه ورکړئ چې د TCP ډاټاگرام 13th اوقیټ د ډیزاین ارزښت 2" وي، دا هغه څه دي چې موږ یې غواړو.

اوس، راځئ چې موږ د SYN پاکټونو نیولو ته اړتیا لرو، مګر موږ پاملرنه نه کوو که ACK یا کوم بل TCP کنترول یو څه وخت کې جوړ شي. راځئ چې د اکټیک 13 ته څه پیښ شي کله چې د TCP ډاټا ګان د SYN-ACK سیټ سره راځي:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

اوس بٹس 1 او 4 په دیارلسم اکتوبر کې مقرر شوي دي. د اکتوبر 13 بائنری ارزښت دی

00010010

کوم چې ډیزاین ته ژباړئ

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

اوس موږ نشو کولی یوازې 'tcp [13] == 18' د Tcpdump فلټر بیان کې، ځکه چې دا به یوازې هغه هغه پیکټونه غوره کړي چې د SYN-ACK سیٹ لري، مګر هغه کسان چې یوازې د SYN مقررات نلري. په یاد ولرئ چې موږ پاملرنه نه کوو که ACK یا کوم بل کنترول بیت یې د سي ايس این د جوړولو لپاره تر هغه وخته جوړ شي.

زموږ هدف ته د رسیدو لپاره، موږ باید منطقي او د اکتوبر 13 بائنري ارزښت د یو بل نور ارزښت سره د SYN بټ ساتلو ته اړتیا ولرو. موږ پوهیږو چې موږ غواړو چې SYN باید په هره قضیه کې وټاکل شي، نو موږ به په منطقي ډول د 13 او اکتوبر په ارزښت به د SYN د بائنری ارزښت سره ارزښت ولرو:

00010010 SYN-ACK 00000010 SYN او 00000010) موږ SYN غواړو او 00000010 (موږ SYN غواړو) ------------ 00000010 = 00000010

موږ ګورو چې دا او د عملیاتو عملیات پایلې وړاندې کوي مګر دا چې آیا ACK یا د TCP کنټرول یو څه تنظیم شوی که نه. د AND ارزښت ډیزاین او همداراز د دې عملیاتو نتیجه 2 (بائنری 00000010) ده، نو موږ پدې پوهیږو چې د SYN سره د پیټرو لپاره لاندې لینونه تنظیموي باید سم واقع وي:

((د اکتوبر 13 ارزښت) AND (2)) == (2)

دا موږ د Tcpdump فلټر بیان ته اشاره کوو

tcpdump -i xl0 'tcp [13] & 2 == 2'

په یاد ولرئ چې تاسو باید د شیل د AND ('&') ځانګړلو حرف پټولو لپاره په بیان کې یو واحد کوټونه یا بیکسلاش استعمال کړئ.

د UDP پاکټونه

د UDP بڼه د دې رنګه پیکټ لخوا څرګند شوې ده:

اډیډ

دا پدې معنی لري چې هغه بندر چې میزبان اکینډینډ کې یې د اډاپ ډاټاګام ته د کوربه خپرولو لپاره لیږلی و، د انټرنټ خپور شوی پته. په پیکټ کې د 84 بیتونو کاروونکي مالومات شامل دي.

د UDP ځینې خدمتونه پیژندل شوي) د منبع یا ګورت بندر څخه (او د لوړ کچې پروتوکول معلومات چاپ شوي. په ځانګړې توګه، د ډومین نوم خدمت غوښتنې) RFC-1034/1035 (او د Sun RPC کالونه) RFC-1050 (NFS ته لیږي.

د UDP نوم سرور غوښتنلیکونه

(NB: لاندني وضاحت د RFC-1035 کې بیان شوي د ډومینټ سروس خدمت پروتوکول سره پیژندګلوي احساسوي. که تاسو د پروتوکول سره واقف نه وي، لاندې وضاحت به په ګرین کې لیکل کیږي.)

د نوم د غوښتنلیک غوښتنې د شکل په بڼه بڼه شوې

src> dst: id op؟ جغرافیه qtype qclass نوم (لین) h2opolo.1538> helios.domain: 3+ a؟ ucbvax.berkeley.edu. (37)

میزبان H2opolo د ډومین سرور څخه د هاییوس په اړه د آدرس ریکارډ (qtype = A) غوښتنه وکړه چې د ucbvax.berkeley.edu نوم سره تړلې وي. د پوښتنې id `3 'و. `+ 'د هغه بیرته تکرار نښه کوي چې غوښتل یې د پرچم وټاکل شي. د پوښتنو اوږدوالی 37 بټس وو، نه د UDP او IP پروتوکول سرلیکونه. د پوښتنو عملیات عادي یو وو، پوښتنو ، نو د ساحې ساحه حذفه شوه. که چېرې اختیاری بل څه وي، نو دا به د 3 'او' + 'تر منځ چاپ شوی وای. په ورته ډول، qclass د عادي یو، C_IN او لیږل شوی و. کوم بل قیلاس به د `A 'وروسته سمدستی چاپ شوی وای.

ځینې ​​اندیښنې ګوري شوي او ممکن د اضافي ساحو کې په مربع برکونو کې تړل شوي نتیجه: که په یوه پوښتنه کې ځواب وي، د واکسین ریکارډونه یا اضافي ریکارډ برخې، پیسې ، نیسانس ، یا آریکون د `[a] 'په توګه چاپ شوي،` [n ] 'یا `[au]' چیرته چې مناسب شمېر دی. که چیرې د ځواب بټونو څخه ډډه وشي) AA، RA یا Rcode (یا د 'صفر باید وي' بټونه په بټسونو کې دوه او درې مقرر شوي، `[b2 & 3 = x ] 'چاپ شوی، چیرته چې x د هکس ارزښت دی سرې دوه بڼې او درې.

د UDP نوم سرور ځوابونه

د نوم سرور ځوابونه د شکل په شکل شکل شوي دي

src> dst: id op rcode flagged a / n / a ډول ډول ډول معلومات) لین ( helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

په لومړي مثال کې، هیلوس د H2opolo څخه د 3 ځواب ریکارډونو، 3 د نوم ثبت ریکارډونه او 7 اضافي ریکارډونو سره د ID3 پوښتنو ته ځواب ورکړ. لومړی ځواب ریکارډ A ډول دی (پته) او د هغې ډاټا انټرنیټ پته ده 128.32.137.3. د ځواب ټولیز 273 بیتونه وو، د UDP او IP سرپرست پرته. د (پوښتنې) او ځواب کوډ (NoError) لرې شوي، لکه څنګه چې د A ریکارډ کلاس (C_IN) وو.

په دویم مثال کې، هیلوس د ځواب نه ورکړې ډومین (NXDomain) د غبرګون کوډ سره پوښتنو ته ځواب ووایه، د نوم نوم سرور او نه د واک ریکارډ. `* 'په ګوته کوي چې مستند ځواب بکس وټاکل شو. ځکه چې هیڅ ځواب نه وو، هیڅ ډول ډول، ټولګی یا ډاټا چاپ شوی نه و.

نورې پرچم کونکي چې ښکاره کېدی شي `- '(بیاکتنه شتون لري، RA، نه ټاکل کیږي) او` |' (لنډ شوي پیغام، TC، سیٹ). که چیرې `پوښتنه 'برخه په سمه توګه یو انټرنیټ ونلري،` [ n q]' چاپ شوی.

په یاد ولرئ چې د نوم سرور غوښتنلیکونه او ځوابونه لوی وي او د 68 بټونو اصلي سایډن ممکن ممکن د چاپ لپاره د پیکټ پوره اندازه ونلري. که تاسو باید په جدي توګه د نوم سرور ټرافيک په اړه تحقیقاتو ته اړتیا لرئ د snaplen زیاتولو لپاره د -S پرچم کاروئ. ` 128 'زما لپاره ښه کار کړی دی.

د SMB / CIFS ډیزاین کول

tcpdump اوس مهال د UMB / 138، UDP / 138 او TCP / 139 په اړه د معلوماتو لپاره د SMB / CIFS / NBT پراخه کولو ډیزاین شامل دي. د IPX ځینې ابتدايي ډیزاین او د NetBEUI SMB ډاټا هم ترسره شوی.

د ډیزاین په اساس یو خورا لږ ډیزاین ترسره کیږي، سره د کارول شوي ډیزاین ډایډډ سره. خبرداری ورکړئ چې د SMB یو واحد سایټ کېدای شي یو مخ یا نور پورته کړي، نو یوازې د کارولو لپاره کارول کیږي - v که تاسو واقعا د ګوري تفصیلات غواړئ.

که تاسو د SMB سیشنونه کنډول کوئ چې د یونییکوډ ډیزاین پکې شامل وي نو بیا تاسو غواړئ د چاپیریال بدلون بدل کړئ USE_UNICODE 1. د یونیکوډ سایټونو د موندلو لپاره A خوند به خوشحاله وي.

د SMB پیټټ فارمټټونو او د ټولو ټیو ساحو په اړه د معلوماتو لپاره www.cifs.org یا ستاسو د غوره samba.org عکس عکس په اړه / پبا / سومبا / specs / directory وګورئ. د SMB پیچونه اندریو ټریګیل (tridge@samba.org) لخوا لیکل شوي.

د NFS غوښتنې او ځوابونه

د Sun NFS (د شبکې فایل سیستم) غوښتنې او ځوابونه چاپ شوي دي:

src.xid> dc.nfs> dst.nfs: lane op args src.nfs> dst.xid: ځواب لیک د پایلو پایلې سوشي .6709> wrl.nfs: 112 readlink fh 21،24 / 10.73165 wrl.nfs> sushi.6709: ځواب ok 40 readlink "../var" sushi.201b> wrl.nfs: 144 وګورئ fh 9،74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: ځواب ولیکئ 128 وګورئ 9،74 / 4134.3150

په لومړۍ کرښه کې، میزبان سوشي د 6709 سره غضب کولو لپاره لیږد لیږدوي (یادونه وکړئ چې د src د میزبان لاندې شمیره د لیږد پریکړه ده، د سرچینې بندر نه دی). غوښتنه 112 بیټس وه، د UDP او IP سرپرست پرته. عملیات د فایل لاسوند ( fh ) 21،24 / 10.731657119 کې یو لوستل لنک (د سمبولیک لینک ولولئ ولولئ). (که یو څوک خوشحاله وي، لکه څنګه چې په دې حالت کې، د فایل هارډ د لوی، وړو تجهیزاتو شمیره جوړه جوړه شوې، په تعقیب د انډیډ شمیرې او د نسل شمېره یې تعبیر کیدلی شي.) ځوابونه `ok 'د لینک محتوا سره.

په دریمه کرښه کې، سشی د wrl څخه پوښتنه کوي چې د « xcolors » نوم په ډایرکټر کې 974 / 4096.6878 فایل وګورئ. په ياد ولرئ چې چاپ شوي معلومات د عملياتو ډول پورې اړه لري. بڼه د ځان سپړنه ده که چیرې د NFS پروتوکول ځانګړتیا سره یو ځای لوستل شي.

که -v (verbose) پرچم ورکړل شي، اضافي معلومات چاپ شوي. د مثال په توګه:

sushi.1372a> wrl.nfs: 148 ولولئ fh 21،11 / 12.195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: ځواب سم 1472 د REG 100664 درمل 417/0z 29388 ولولئ

(- د IP سرلیک TTL، ID، اوږدوالی او ټوټه کولو ساحې، چې د دې مثال څخه لیرې شوي دي. پرنټ په لومړي نمبر کې ، 8192 بټونه له قانع څخه غوښتنه کوي چې د 2111 / 12.195 فایل څخه 21،11 / 12.195، 24576. غلط ځوابونه 'ok'؛ د دویم قطار کې ښودل شوي پیکټ د لومړۍ برخې ټوټه ده، او له همدې کبله یوازې 1472 بټ اوږد دی) بل بل باطبات به په راتلونکو ټوټو کې تعقیب شي، مګر دا ټوټې NFS یا حتی د UDP سرتیري نلري او داسې چې ممکن یې چاپ نشي، د فلټر د بیان په اساس کارول کیږي). ځکه چې د -v پرچم ورکول کیږي، د فايل ځینې ځانګړتیاوې (چې د دوتنې ډاټا سره بیرته راستانه شوي دي) چاپ شوي دي: د دوتنې ډول (`` REG ''، د دوامداره دوتنې لپاره،)، د فایل موډل (په معتبر) کې، د امیډ او بند، او د فایل اندازه.

که د F-Flag بیرته یو ځل زیات ورکړ شي، حتی نور جزییات چاپ شوي.

په یاد ولرئ چې د NFS غوښتنې خورا لوی دي او ډیر تفصیل به چاپ نشي چاپولئ مګر د انځورونو زیاتوالی به نه وي. د NFS ټرافیک لیدلو لپاره د ` -19 192 'کارولو هڅه وکړئ.

د NFS ځواب پیکټونه په واضح ډول د RPC عملیات ندي پیژني. پرځای یې، Tcpdump د "وروستي" غوښتنو تعقیب ساتي، او د هغوی د ځوابونو ID په کارولو سره ځوابونو سره سمون کوي. که یو ځواب د ورته غوښتنلیک سره سم تعقیب نکړي، دا ممکن د احتمال وړ نه وي.

د AFS غوښتنې او ځوابونه

د Transarc AFS (د اندریو فايل سیسټم) غوښتنې او ځوابونه چاپ شوي دي:

src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx packet-type service ټلیفون نوم src.sport> dst.dport: rx packet-type service reply call-call args . 7001> pike.afsfs: rx ډاټا fs کال زاړه فید 536876964/1/1 ".newsrc.new" نوی فد 536876964/1/1 ".newsrc" pike.afsfs> elvis7001: د RX ډاټا ځواب ځواب بدلول

په لومړي کرښه کې، میزبان ایلیس د پیکس لپاره RX پیکټ لیږلی. دا د FS (فایلرورور) خدمت ته د RX ډاټا پیکټ وه، او د RPC کال غوښتنه ده. د RPC کال نوم بدل شو، د پخوانی ډایرکټر 536876964/1/1 د پخوانۍ ډاټا او د 'newsnewsc.new' یو پخوانۍ فایل نوم، او د 536876964/1/1 یو نوی ډایریک ډاټا او د نویو فیلم نوم. خبرتیاوی. د کوربه پیک د RPC ځواب سره د نوم د لیږد لپاره ځواب ورکوي (کوم بریالی و، ځکه چې دا د ډاټا بسته وه او نه د وتلو پیکټ).

په عمومي توګه، د AFS ټول RPCs لږترلږه د RPC کال نوم لخوا ډډه ​​شوي. د AFS ډیرې لږترلږه لږترلږه ځینې دلیلونه لري) په عموما یوازې د «دلچسپ» دلیلونه، د زړه د تعریف لپاره.

بڼه د ځان په اړه تشریح کولو موخه ده، مګر دا به هغه خلک لپاره ګټور نه وي چې د AFS او RX د کارونو سره خبر نه وي.

که چېرې د (verbose) پرچم دوه ځلې ورکړ شي، د منلو پیکټونه او د اضافي سرلیک معلومات چاپ شوي، لکه د RX کال ID، د تلیفون شمیره، د ترتیب نمبر، سیریل نمبر، او د RX پیکټ بیرغونه.

که د F-Flag بیرته دوه ځله ورکړ شي، اضافي معلومات چاپ شوي، لکه د RX کال ID، سیریل نمبر، او د RX پیکټ بیرغونه. د MTU خبرې اترې معلومات د RX اکاک پیکټونو څخه هم چاپ شوي.

که د F-Flag بیرته درې ځله ورکړل شي، امنیتي لیست او د خدماتو ایډ چاپ شوی.

د تېروتنو د پاکولو لپاره چاپیریالونه چاپ شوي، د اوبی بیک بیکون پیکیکونو استثنا پرته (ځکه چې د بندې پاکټ د یوبی پروتوکول لپاره د هو رایې لاسلیک کولو لپاره کارول کیږي).

په یاد ولرئ چې د AFS غوښتنې ډیر لوی دي او ډیری بحثونه به چاپ نشي تر څو چې د انځورونو زیاتوالی نه وي. د AFS ټرافیک لیدلو لپاره د ` 256 'کارولو هڅه وکړئ.

د AFS ځواب پیکټونه په روښانه توګه د RPC عملیات ندي پیژني. پرځای یې، Tcpdump د "وروستي" غوښتنې غوښتنې تعقیبوي، او د ټیلیفون او خدماتو ID په کارولو سره د ځوابونو سره سمون خوري. که یو ځواب د ورته غوښتنلیک سره سم تعقیب نکړي، دا ممکن د احتمال وړ نه وي.

د KIP ایپلټاک (په UDP کې DDP)

Appletalk د DDP پیټس چې د UDP ډیټا ګرام کې اختصاص شوي دي د ڈی ډی پی پیټونو په توګه خارج شوي او ډډه شوي) د بیلګې په توګه، د UDP سرپرست ټول معلومات بې برخې شوي (. فایل /etc/atalk.names د نومونو لپاره د اپپلټاک شبکې او نوډ شمیرې ژباړې لپاره کارول کیږي. په دې دوتنې کې لیکونه فورمه لري

د نوم نوم 1.254 ایتال 16.1 ixd-net 1.254.110 ace

لومړی دوه لینونه د appletalk شبکې نومونه ورکوي. دريم ليکه د يو ځانګړي کوربه نوم ورکوي (يو کوربه د نيټ څخه په شمېره کې د درييم دريځ له مخې توپير لري - خالصه شمېره بايد دوه octets ولري او د کوربه شمېره بايد درې اطاق ولري.) د شمېره او نوم بايد جلا شي د سپيټ اسپیس لخوا (خالي یا ټبونه). د /etc/atalk.names فايل کېدای شي خالي کرښې یا د تبصرې لینونه ولري (لینځونه د `# 'سره پیل شي).

د Appletalk پتې په فورمه کې چاپ شوي:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(که چېرې /etc/atalk.names شتون نلري یا د appletalk کوربه یا خالص شمیر لپاره انټرنیټ نلري، پتې د شمیرو شکل کې چاپ شوي.) په لومړي مثال کې، NBP (DDP Port 2) په 144.11 کې. نوډ 209 هر هغه څه ته لیږل کیږي چې په 220 بندر کې د Nix 112 نوډ 112 ته غوږ نیسي. دویمه کرښه ورته ده مګر د سرچینو نوډ بشپړ نوم نوم (دفتر) دی. دریم کرښه د Port 235 څخه د خالص jssmag نوډ 149 څخه لیږل کیږي ترڅو د ID-NBP بندرټیک خپرولو لپاره) د یادونې وړ وي چې د خپرونې پته (255) د خالص نوم لخوا د میزبان شمیر سره نښې نښانې شوي - د دې لپاره لپاره دا ښه نظر دی د نوټ نومونه او خالص نومونه په /etc/atalk.names کې توپیر لري).

NBP (د نوم پابند پروتوکول) او ATP (د Appletalk د لیږد پروتوکول) د دوی منځپانګې تشریح شوي دي. نور پروتوکولونه یوازې پروتوکول نوم (یا هغه شمیره که چیرې نوم د پروتوکول لپاره راجستر شوی نه وي) ډکه کړي او د پیټ اندازه.

د NBP پاکټونه د لاندې مثالونو په څیر شکلونه شوي دي:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: لیزر ویټرر @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -net.112.220: nbp-ځواب 190: "ټیکپټټ: لیزر ویټرر @ *" 186

لومړنۍ کرښه د لیزر ویټرونو لپاره د نوم لټوپ غوښتنه ده چې د net icsd کوربه 112 لخوا لیږل شوې او د خالص جیمم ویب په واسطه خپره شوې. د لینک اپ لپاره د NBP ID 190 دی. دویم لیک د دې غوښتنې لپاره یو ځواب ښیې) یادونه وکړئ چې دا د کوربه جاسمز میګاډ څخه له همدې ID څخه دی (یادونه کوي چې دا د لیزر لیکر سرچینه لري چې "RM1140" نومیږي په 250 بندر کې ثبت شوی. دریمه برخه لین یو بل ځواب دی چې ورته غوښتنه کیږي چې میزبان ټیکپټ په 186 186 کې ثبت شوي لیزر ویټر "ټیکپټ" لري.

د ATP پاکټ فارمټ کول د لاندې مثال لخوا ښودل کیږي:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.13> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.13> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.13> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 helios.13> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.13> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3،5> 0xae030001 helios.13> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

JSMmag.209 د اتو پیټټونو غوښتنه کوي) د `<0-7> 'غوښتنه کړې د میزبان هویوس سره د لیږد ای ID 12266 پېل کوي. د لیکې په پای کې د هکس شمیر د غوښتنې په وخت کې د 'userdata' فیلډ ارزښت دی.

Helios 8 512 -teet packets سره ځواب ورکوي. `: عدد 'د لیږد پریکړه وروسته د لیږد ترتیب نمبر په لیږد کې ورکوي او په پارس کې شمیره د پیکټ په ډاټا کې ده، د ATP سرلیک پرته. په پیکټ 7 کې `* 'دا ښیې چې د EOM بټ تنظیم شوی.

وروسته JSMMag.209 غوښتنه کوي چې د 3 او 5 پاکټونو لیږد بیرته انتقال شي. هیلیوس بیا دوی ته راجع کوي. د لیږد بهیر خپروي. په پای کې، jssmag.209 راتلونکی غوښتنه پیلوي. په درخواست کې `* 'دا ښیې چې XO (` په بشپړ ډول یو ځل' ټاکل شوی نه و.

د آی ډی ککړتیا

خپاره شوي انټرنټ ډاټاگرامونه د چاپ په ډول چاپ شوي

(بایل ID : د سائز اندازه = آف + +) خوشې ID : د سائز ټاپه )

(لومړی فورمه په ګوته کوي چې دلته نورې ټوټې دي. دویمه نښه دا وروستۍ وروستۍ ټوټه ده.)

Id د ټوټو ټوټه ده. اندازه د ټوټه ټوټه اندازه (د بټسونو) ده چې د IP سرلیک پرته. آفسیٹ د دې ټوټې ټیسټ دی (په بټس کې) په اصلي ډاټا کې.

د ټوټې ټوټې د هرې برخې لپاره محصول دی. په لومړي برخه کې د لوړې کچې پروتوکول سرلیک او د فلیټ معلومات د پروتوکول معلومات وروسته چاپ شوی. فرضيات د لومړي ځل لپاره د لوړ کچې پروتوکول سرلیک نه لري او د فوت معلومات د سرچینې او منزلت پته وروسته چاپ شوي. د بیلګې په توګه، دلته د یو فایټینټ کنټرول په اړه د arzona.edu څخه lbl -rtsg.arpa څخه د FTP برخه ده چې د 576 بټیت ډاټاګرمونه سمبال نه کوي:

arizona.ftp-data> rtsg.1170:. 1024: 1332) 308 (ټیک 4096 ګټلی) 595a: 328 @ 0 + (آرزوونا> rtsg:) (595a: 204 @ 328 پاڼه) rtsg.1170> آرزوونا.ftp ډاټا:. اکیک 1536 2560 وګټئ

دلته د یادولو لپاره یو څو شیان شتون لري: لومړی، په دویمه کرښه کې پته شامل دي په بندر کې شمیرې شامل ندي. دا ځکه چې د TCP پروتوکول معلومات په لومړي ټوکه کې دي او موږ نه پوهيږو چې د بندر یا د ترتیب شمیره څه ده کله چې موږ وروسته ټوټې چاپوو. دوهم، د TCP ترتیب معلومات په لومړي لیک کې چاپ شوي لکه څنګه چې د کاروونکو 308 بټونه وې کله چې په حقیقت کې 512 بیتونه) په لومړۍ پاڼه کې 308 او په دویمه برخه کې 204 (. که تاسو د ترتیب ساحې کې سوراخ لټوئ یا د پیټیو سره د ډکونو سره د سمون کولو هڅه کوئ، نو دا تاسو درک کولی شي.

د پی پی سره یو پیکټ نه ټوکه ټوکه نه د پیژندل شوي (DF) سره نښه شوې.

Timestamps

د ډیزاین په بڼه، ټول محصولات لینډونه د مهال ویش لخوا وړاندې کیږي. د مهال ویش وخت د ساعت ساعت دی

hh: mm: ss.frac

او د دقیق دقیقې په څیر سم دی. Timestamp هغه وخت منعکس کوي کله چې د کین لومړني پیکټ ولیدل. هیڅکله هڅه نه ده شوې چې د وخت په منځ کې حتی کله چې د ایتھرنیټ انٹرفیس د تار څخه تاریک لیرې کړي او کله چې کاڼي د نوي نوي پیکټ خدمت وکړي مداخله وکړي.

هم وګوره

ټرافیک (1C)، نیت (4P)، BPF (4)، Pcap (3)

مهم: د انسان قوماندې ( ٪ man ) کاروئ ترڅو وګورئ چې ستاسو په ځانګړی کمپیوټر کې کوم قوماندې کارول کیږي.