Tcpdump BESKRYWING Tcpdump druk uit 'n beskrywing van die inhoud van die pakkies op 'n netwerk koppelvlak wat ooreenstem met die Boole-uitdrukking die beskrywing word voorafgegaan deur 'n tyd stempel, gedruk, by verstek, ure, minute, sekondes, en breuke van 'n sekonde sedert middernag. Dit kan ook uitgevoer word met die w vlag, wat veroorsaak dat dit die pakkie data red na 'n lêer vir latere analise, en / of met die r vlag, wat dit veroorsaak te lees van 'n gered pakkie lêer, eerder as om pakkies te lees uit 'n netwerk koppelvlak. Dit kan ook uitgevoer word met die - V vlag, wat dit veroorsaak 'n lys van gered pakkie lêers te lees. In alle gevalle, packets net daardie wedstryd uitdrukking sal geprosesseer word deur Tcpdump. Tcpdump sal, indien dit nie uit te voer met die - C vlag, voortgaan vaslegging pakkies totdat dit onderbreek deur 'n SIGINT sein (gegenereer, byvoorbeeld, deur te tik jou onderbreking karakter, tipies beheer-C) of 'n SIGTERM sein (gewoonlik gegenereer met die dood (1) opdrag) indien hardloop met die - C vlag, sal dit pakkies te vang totdat dit onderbreek deur 'n SIGINT of SIGTERM sein of die gespesifiseerde aantal pakkies verwerk. Wanneer Tcpdump afwerkings vaslegging pakkies, sal dit tel van verslag: pakkies gevang (dit is die getal van pakkies wat Tcpdump ontvang en verwerk) pakkies deur filter ontvang (die betekenis van hierdie hang af van die bedryfstelsel waarop jy loop Tcpdump en moontlik op. die manier waarop die bedryfstelsel is ingestel - as 'n filter is vermeld op die command line, op 'n paar bedryfstelsels dit tel pakkies, ongeag of hulle gepaard gaan met die filter uitdrukking en, selfs al het hulle is pas deur die filter uitdrukking, ongeag of tcpdump het lees en verwerk hulle nog op ander bedryfstelsels dit tel net pakkies wat gepaard gaan met die filter uitdrukking ongeag of tcpdump gelees en verwerk dit nog, en op ander bedryfstelsels dit tel net pakkies wat gepaard gaan met die filter uitdrukking en verwerk deur tcpdump) pakkies laat val deur kern (dit is die getal van pakkies wat val, as gevolg van 'n gebrek aan buffer spasie, deur die pakkie vang meganisme in die bedryfstelsel waarop tcpdump loop, indien die bedryfstelsel berig dat inligting aan programme indien nie, dit sal gerapporteer word as 0). Op platforms wat die SIGINFO sein ondersteun, soos die meeste BSDs (insluitend Mac OS X) en digitale / Tru64 Unix, dit sal die tellings rapporteer wanneer dit 'n SIGINFO sein (gegenereer ontvang, byvoorbeeld, deur te tik jou status karakter, tipies beheer - T, hoewel op 'n paar platforms, soos Mac OS X, die status karakter nie by verstek stel, sodat jy moet dit stel met stty (1) ten einde dit te gebruik) en sal voortgaan om die opneem van pakkies. Op platforms wat nie die SIGINFO sein nie ondersteun, kan dieselfde gedoen word deur die gebruik van die SIGUSR1 sein. Lees pakkies van 'n netwerk koppelvlak kan vereis dat jy 'n spesiale voorregte sien die PCAP (3PCAP) man bladsy vir meer inligting. Lees 'n gered pakkie lêer nie die geval vereis spesiale voorregte. OPTIONS - A Druk elke pakkie (minus die skakel vlak kop) in ASCII. Handig vir die opneem van webblaaie. - b Druk die AS nommer in BGP pakkies in ASDOT notasie eerder as ASPLAIN notasie. - B Buffersize --buffer-grootte buffersize Stel die bedryfstelsel vang buffer grootte buffersize. in eenhede van Kb (1024 bytes). - c telling afrit na ontvangs telling pakkies. - C Filesize Voordat skryf van 'n rou pakkie 'n Save File, kyk of die lêer is tans groter as filesize en, indien wel, sluit die huidige Save File en maak 'n nuwe een. Savefiles ná die eerste Save File sal die naam vermeld met die w vlag het, met 'n aantal nadat dit begin by 1 en voortgesette opwaartse. Die eenhede van filesize is miljoene grepe (1000000 bytes, nie 1048576 bytes). d Dump die saamgestel pakkie-bypassende kode in 'n leesbare vorm op standaard uitset en stop. - dd Dump pakkie-bypassende kode as 'n C program fragment. - ddd Dump pakkie-bypassende kode as desimale getalle (voorafgegaan met 'n telling). - D List-koppelvlakke Druk die lys van die netwerk interfaces beskikbaar op die stelsel en waarop Tcpdump pakkies kan vang. Vir elke netwerk koppelvlak, 'n nommer en 'n koppelvlak naam, moontlik gevolg deur 'n teks beskrywing van die koppelvlak, gedruk. Die naam koppelvlak of die nommer kan voorsien word aan die - i vlag om 'n koppelvlak op te vang spesifiseer. Dit kan nuttig wees op stelsels wat dus nie 'n opdrag om 'n lys van hulle (bv Windows-stelsels, of UNIX stelsels ontbreek ifconfig - a) die nommer kan nuttig op Windows 2000 en later stelsels, waar die naam koppelvlak is 'n ietwat ingewikkelde string wees. Die - D vlag sal nie ondersteun as Tcpdump is gebou met 'n ouer weergawe van libpcap dat die pcapfindalldevs () funksie ontbreek. - e Druk op die skakel-vlak kop op elke stortingsterrein reël. Dit kan gebruik word, byvoorbeeld, om MAC laag adresse druk vir protokolle soos Ethernet en 802.11. - E Gebruik spiipaddr algo: geheim vir decrypten IPsec ESP pakkies wat gerig word aan addr en bevat Veiligheidsraad Parameter indeks waarde SPI. Hierdie kombinasie kan herhaal word met komma of NEWLINE skeiding. Let daarop dat die oprigting van die geheime vir IPv4 ESP pakkies word ondersteun in hierdie tyd. Algoritmes kan des-CBC wees. 3DES-CBC. Blowfish-CBC. RC3-CBC. cast128-CBC. of geen. Die verstek is des-CBC. Die vermoë om pakkies decrypt is alleen teenwoordig wanneer Tcpdump is saamgestel met kriptografie aangeskakel. geheim is die ASCII-teks vir ESP geheime sleutel. As voorafgegaan deur 0x, dan sal 'n blok waarde gelees. Die opsie aanvaar RFC2406 ESP, nie RFC1827 ESP. Die opsie is slegs vir ontfouting doeleindes, en die gebruik van hierdie opsie met 'n ware geheime sleutel word ontmoedig. Deur die aanbieding van IPsec geheime sleutel op command line jy dit sigbaar is vir ander te maak, via PS (1) en ander geleenthede. In bykomend tot die bogenoemde sintaksis, kan die naam sintaksis lêer gebruik word om Tcpdump het gelees die voorwaarde lêer in. Die lêer word oopgemaak op die ontvangs van die eerste ESP pakkie, so enige spesiale regte wat Tcpdump mag gewees het gegee moes reeds opgegee . f Druk buitelandse IPv4 adresse numeries eerder as simbolies (hierdie opsie is bedoel om rond ernstige breinskade in Suns NIS bediener kry --- gewoonlik dit hang vir ewig vertaal nie-plaaslike internet getalle). Die toets vir buitelandse IPv4 adresse word gedoen met behulp van die IPv4-adres en netmask van die koppelvlak waarop vang gedoen. As daardie adres of netmask nie beskikbaar is nie, beskikbaar, óf omdat die koppelvlak waarop vang gedoen het geen adres of netmask of omdat die opname gedoen oor die Linux quotanyquot koppelvlak, wat kan vang op meer as een koppelvlak, hierdie opsie sal nie korrek werk nie. - F Lêer lêer as toevoer vir die filter uitdrukking. 'N Bykomende uitdrukking gegee aan die command line is geïgnoreer. G rotateseconds As gespesifiseerde, roteer die stortingsterrein lêer gespesifiseer met die w opsie elke rotateseconds sekondes. Savefiles sal die naam wat deur - W wat 'n tyd formaat moet insluit, soos gedefinieer deur strftime (3) het. Indien geen tyd formaat gespesifiseer, sal elke nuwe lêer die vorige oorskryf. Indien dit gebruik word in samewerking met die - C opsie, sal lêername die vorm van lêer ltcountgt neem. h help uit te voer Druk die Tcpdump en libpcap weergawe snare, 'n gebruik boodskap, en uitgang te druk. --version Druk die Tcpdump en libpcap weergawe snare en uitgang. - H Poging om 802.11s konsep maas kop op te spoor. - i koppelvlak --interface koppelvlak Luister op koppelvlak. As ongespesifiseerde, Tcpdump soek die stelsel interface lys vir die laagste genommerde, ingestel op koppelvlak (uitgesluit teruglus), wat kan draai uit tot wees, byvoorbeeld, eth0. Op Linux stelsels met 2.2 of later pitte, kan 'n koppelvlak argument van enige gebruik word om pakkies van alle koppelvlakke te vang. Let daarop dat vang op die enige toestel sal nie gedoen word in losbandige af. As die - D vlag word ondersteun, kan 'n koppelvlak aantal gedrukte deur daardie vlag word gebruik as die koppelvlak argument, indien geen koppelvlak op die stelsel dat die getal as 'n naam. - Ek --monitor-Modus Sit die koppelvlak in quotmonitor modequot hierdie word alleen ondersteun op 802.11 Wi-Fi koppelvlakke, en slegs ondersteun op 'n paar bedryfstelsels. Let daarop dat in monitor af die adapter kan dissosieer van die netwerk waarmee sy verwante, sodat jy nie in staat sal wees om 'n draadlose netwerke te gebruik met daardie adapter. Dit kan verhoed dat toegang tot lêers op 'n netwerk bediener, of die oplossing van host name of netwerk adresse, as jy vas te lê in monitor af en is nie gekoppel aan 'n ander netwerk met 'n ander adapter. Hierdie vlag sal die opbrengs van die - L vlag beïnvloed. As - Ek isnt gespesifiseerde, sal slegs daardie skakel-laag tipes beskikbaar wanneer dit nie in monitor af gewys as - Ek is gespesifiseer, slegs diegene tipes skakel-laag beskikbaar wanneer in monitor af sal getoon word. --immediate-mode-aanjaer in quotimmediate modequot. In hierdie modus, word pakkies afgelewer word by so gou Tcpdump as hulle aankom, eerder as om gebuffer vir doeltreffendheid. Hierdie is die verstek wanneer die druk van pakkies eerder as die redding van pakkies aan 'n Save File indien die pakkies word gedruk om 'n terminale eerder as om 'n lêer of pyp. - J tstamptype --time-stempel-tipe tstamptype Stel die tyd stempel tipe vir die opname te tstamptype. Die name te gebruik vir die tyd tipes stempel word in PCAP-tstamp (7) nie al die tipes gelys sal daar noodwendig geldig wees vir enige gegewe koppelvlak. - J List-time-stempel-tipes Lys die ondersteuning tyd stempel tipes vir die koppelvlak en uitgang. As die tyd stempel tipe nie kan ingestel word vir die koppelvlak, daar is geen tipes tyd stempel gelys. --time-stempel-presisie tstampprecision Wanneer die vaslê, stel die tyd stempel noukeurigheid te gebruik vir die opname te tstampprecision. Let daarop dat die beskikbaarheid van 'n hoë presisie tyd seëls (nano sekondes) en hul werklike akkuraatheid is platform en hardeware afhanklik. Let ook daarop dat tydens die skryf van vang met akkuraatheid nano sekonde na 'Save File, die tyd tempel geskryf met nano sekonde resolusie, en die lêer is geskrywe met 'n ander magiese getal, om aan te dui dat die tyd tempel is in sekondes en nano sekondes nie alle programme wat lees PCAP savefiles sal in staat wees om die vang lees. Lees 'n Save File, omskep tyd tempel op die akkuraatheid wat deur timestampprecision. en vertoon dit met daardie besluit. As die akkuraatheid gespesifiseerde minder as die akkuraatheid van tyd tempel in die lêer is, sal die omskakeling presisie verloor. Die ondersteun waardes vir timestampprecision is mikro vir micro resolusie en nano vir nano sekonde resolusie. Die verstek is micro resolusie. - K --dont-Verifieer-checksums Moenie probeer om IP, TCP, of UDP checksums verifieer. Dit is nuttig vir die koppelvlakke dat sommige of al daardie checksum berekening uit te voer in hardeware anders, sal alle uitgaande TCP checksums gemerk as slegte. l Die Maak stdout lyn gebuffer. Nuttig as jy die data te sien tydens die opneem nie. Bv of nota wat op Windows, lyn gebuffer beteken gebufferd, sodat WinDump elke karakter individueel sal skryf as - l gespesifiseer. - U Is soortgelyk aan - l in sy gedrag, maar dit sal veroorsaak dat uitvoer na-pakkie gebuffer word, sodat die uitset is geskryf om stdout aan die einde van elke pakkie eerder as aan die einde van elke lyn dit gebuffer op alle platforms , insluitend Windows. - L List-data-skakel-tipes Lys die bekende data skakel tipes vir die koppelvlak, in die gespesifiseerde af, en uitgang. Die lys van bekende data skakel tipes kan afhang van die bepaalde modus byvoorbeeld, op 'n paar platforms, 'n Wi-Fi-koppelvlak kan een stel data skakel tipes ondersteun wanneer dit nie in monitor af (byvoorbeeld, is dit dalk net vals Ethernet kop ondersteun , of dalk ondersteun 802.11 kop, maar nie ondersteun 802.11 kop met radio inligting) en 'n ander stel data skakel tipes wanneer in monitor af (byvoorbeeld, dit kan ondersteun 802.11 kop, of 802,11 kop met radio inligting, net in monitor af). - m module load SMI MIB module definisies van lêer module. Hierdie opsie kan 'n paar keer gebruik word om 'n paar MIB modules in Tcpdump laai. - M Geheime Gebruik geheim as 'n gedeelde geheim vir bekragtiging van die verteer gevind in TCP segmente met die opsie TCP-MD5 (RFC 2385), indien teenwoordig. - n Dont omskep adresse (bv gasheer adresse, Port nommers, ens) om name. - N Dont druk domein naam kwalifikasie van host name. Bv As jy hierdie vlag gee dan sal Tcpdump druk Nic plaas van nic. ddn. mil. - --number Druk 'n opsionele pakkie getal aan die begin van die lyn. - O --no-Optimaliseer Moenie die pakkie-bypassende kode Optimizer nie hardloop. Dit is net nuttig as jy 'n fout vermoed in die optimizer. p --no-promisku-modus Dont sit die koppelvlak in losbandige af. Let daarop dat die koppelvlak kan wees in losbandige af vir 'n ander rede dus, kan p nie gebruik word as 'n afkorting vir eter gasheer of eter uitgesaai. - Q Rigting --direction rigting Kies stuur / ontvang rigting rigting waarvoor pakkies moet vasgelê word. Moontlike waardes is in, uit en InOut. Nie beskikbaar op alle platforms. - q Quick (stil) uitset. Druk minder protokol inligting so uitset lyne is korter. r lêer Lees pakkies van lêer (wat geskep is met die w opsie of deur ander instrumente wat PCAP of-PCAP ng lêers te skryf). Standard insette gebruik word as lêer is -. - S --absolute-TCP-volgorde-nommers Print absolute, eerder as relatiewe, TCP volgorde nommers. s snaplen --snapshot-lengte snaplen Snarf snaplen grepe van data van elke pakkie eerder as die standaard van 262144 bytes. Pakkies kapt as gevolg van 'n beperkte momentopname in die uitset met proto, waar proto is die naam van die protokol vlak waarop die afkorting plaasgevind het aangedui word. Let daarop dat die neem van groter foto beide verhoog die bedrag van die tyd wat dit neem om pakkies te verwerk en effektief, verminder die bedrag van pakkie buffer. Dit kan veroorsaak dat pakkies te verloor. Jy moet beperk snaplen om die kleinste getal wat die protokol inligting jy belangstel in sal vang. Kader snaplen tot 0 stelle aan die standaard van 262144, vir backwards compatibility met onlangse ouer weergawes van Tcpdump. - T Tipe Force pakkies gekies deur quot uitdrukking quot te vertolk die gespesifiseerde tipe. Tans bekend tipes is aodv (ad hoc-on-demand Afstand Vector protokol), karp (Common adres Oortolligheid protokol), cnfp (Cisco NetFlow protokol), LMP (Link Management Protocol), PGM (Pragmatic General Multicast), pgmzmtp1 (ZMTP / 1.0 binnekant PGM / EPGM), resp (REdis serialisasie protokol), radius (radius), RPC (Remote Procedure Call), RTP (Real-Time Aansoeke protokol), RTCP (Real-Time Aansoeke beheer protokol), SNMP (Simple Network Management protokol), TFTP (Trivial File Transfer Protocol), BTW (Visuele Audio Tool), WB (versprei White Board), zmtp1 (ZeroMQ Boodskap Vervoer protokol 1.0) en vxlan (virtuele eXtensible lokale area netwerk). Let daarop dat die PGM tipe bo raak UDP interpretasie net, is die inheemse PGM altyd erken as IP-protokol 113 ongeag. UDP-vervat PGM word dikwels genoem quotEPGMquot of quotPGM / UDPquot. Let daarop dat die pgmzmtp1 tik bo raak interpretasie van beide moedertaal PGM en UDP gelyktydig. Gedurende die inheemse PGM ontsyfer die aansoek data van 'n ODATA / RDATA pakkie sou ontsyfer as ZeroMQ datagram met ZMTP / 1.0 rame. Gedurende die UDP dekodering bykomend tot dat enige UDP pakkie sal beskou word as 'n vasgevang PGM pakkie. t Dont druk 'n tyd stempel op elke stortingsterrein reël. - tt Druk die tyd stempel, soos sekondes sedert 1 Januarie 1970, 00:00:00, UTC, en breuke van 'n sekonde sedert daardie tyd, op elke stortingsterrein reël. - ttt Druk 'n delta (mikro-tweede resolusie) tussen die huidige en vorige lyn op elke stortingsterrein reël. - tttt Druk 'n tyd stempel, soos ure, minute, sekondes, en breuke van 'n sekonde sedert middernag, voorafgegaan deur die datum, op elke stortingsterrein reël. - ttttt Druk 'n delta (mikro-tweede resolusie) tussen huidige en eerste reël van elke stortingsterrein reël. - U Print undecoded NFS hanteer. - U --packet-Gebuffer As die w opsie nie gespesifiseer word nie, maak die gedrukte pakket uitset-pakkie gebuffer dws as die beskrywing van die inhoud van elke pakkie gedruk, dit sal geskryf word om die standaard uitset, eerder as om, wanneer nie skryf na 'n terminale, wat net geskryf wanneer die uitset buffer vul. As die w opsie gespesifiseer, maak die gered rou pakkie uitset-pakkie gebuffer maw as elke pakkie is gered, dit sal geskryf word om die uitvoer lêer, eerder as om net geskryf wanneer die uitset buffer vul. Die - U vlag sal nie ondersteun as Tcpdump is gebou met 'n ouer weergawe van libpcap dat die funksie pcapdumpflush () ontbreek. v Wanneer die ontleding van en druk, te produseer (effens meer) verbose uitset. Byvoorbeeld, die tyd om te lewe, identifikasie, totale lengte en opsies in 'n IP-pakket gedruk. in staat stel om ook addisionele pakkie integriteit tjeks soos die verifikasie van die IP en ICMP kop checksum. By die skryf van 'n lêer met die w opsie, verslag, elke 10 sekondes, die aantal pakkies gevang. vv Selfs meer uitgebreide produksie. Byvoorbeeld, is bykomende velde gedruk NFS antwoord pakkies, en SMB pakkies is ten volle ontsyfer. - vvv Selfs meer uitgebreide produksie. Byvoorbeeld, telnet SB. SE opsies gedruk ten volle. Met - X Telnet opsies gedruk in hex sowel. - V Lêer Lees 'n lys van lêername van lêer. Standard insette gebruik word as lêer is -. w lêer Skryf die rou pakkies om eerder in te dien as die ontleding van en druk dit uit. Hulle kan later gedruk met die r opsie. Standard uitset word gebruik as lêer is -. Dit uitset sal gebuffer as geskryf om 'n lêer of pyp, so 'n program te lees van die lêer of pyp kan nie pakkies sien vir 'n arbitrêre bedrag van die tyd ná hulle ontvang. Gebruik die - U vlag te laat pakkies sodra dit ontvang word geskryf. Die MIME-tipe aansoek / vnd. tcpdump. pcap is geregistreer by IANA vir PCAP lêers. Die uitbreiding lêernaam. pcap blyk te wees, die mees gebruikte saam met CAP en Dmp. Tcpdump self nie die geval die uitbreiding kyk vir lees vang lêers en nie die geval by 'n uitbreiding wanneer hulle skryf (dit gebruik magie nommers in die lêer kop plaas). Dit sal egter baie bedryfstelsels en programme die uitbreiding te gebruik as dit teenwoordig is en die toevoeging van een (bv PCAP) word aanbeveel. Sien PCAP-Save File (5) 'n beskrywing van die lêer formaat. - W Gebruik word saam met die - C opsie, sal dit die aantal lêers geskep om die gespesifiseerde aantal beperk, en begin te vervang lêers van die begin af, dus die skep van 'n roterende buffer. Daarbenewens sal dit die lêers met genoeg leidende 0'e te noem om die maksimum aantal lêers ondersteun, wat hulle toelaat om korrek te sorteer. Gebruik word in samewerking met die G opsie, sal dit die aantal geroteerde dump lêers wat geskep word, verlaat met status 0 wanneer die bereik van die limiet te beperk. Indien dit gebruik word met - C sowel, sal die gedrag lei tot sikliese lêers per timeslice. - x Wanneer die ontleding van en druk, bykomend tot die druk van die kop van elke pakkie, druk die data van elke pakkie (minus die skakel vlak kop) in blok. Die kleinste van die hele pakkie of snaplen grepe gedruk sal word. Let daarop dat dit die hele skakel-laag pakkie, so vir skakel lae wat pad (bv Ethernet), die padding grepe sal ook gedruk word wanneer die hoër laag pakkie is korter as die verlangde padding. xx lees Wanneer die ontleding van en druk, bykomend tot die druk van die kop van elke pakkie, druk die data van elke pakkie, insluitend die skakel vlak kop, in blok. - X Wanneer die ontleding van en druk, bykomend tot die druk van die kop van elke pakkie, die data van elke pakkie (minus die skakel vlak kop) druk in Hex en ASCII. Dit is baie handig vir die ontleding van nuwe protokolle. Xx lees Wanneer die ontleding van en druk, bykomend tot die druk van die kop van elke pakkie, druk die data van elke pakkie, insluitend die skakel vlak kop, in blok en ASCII. - y datalinktype --linktype datalinktype Stel die data skakel tipe om te gebruik tydens die opneem van pakkies aan datalinktype. - z postrotate-bevel wat gebruik word in samewerking met die - C of G opsies, sal hierdie Tcpdump run quot postrotate-opdrag lêer quot waar lêer die Save File na elke rotasie gesluit maak. Byvoorbeeld, spesifiseer - z gzip of - z bzip2 sal elke compress Save File met gzip of bzip2. Let daarop dat Tcpdump sal die opdrag uit te voer in parallel met die opname, met behulp van die laagste prioriteit sodat dit nie die geval is versteur die opname proses. En in die geval wat jy wil om 'n opdrag te gebruik wat self neem vlae of verskillende argumente, kan jy altyd skryf 'n dop script wat die Save File naam as die enigste argument sal neem, maak die vlae amp argumente reëlings en uit te voer die opdrag wat jy wil. - Z Gebruiker --relinquish-voorregte gebruiker As Tcpdump wel soos wortel, na die opening van die opname toestel of insette Save File, maar voor die opening van 'n savefiles vir uitvoer, verander die gebruiker ID vir gebruikers en die groep ID vir die primêre groep gebruikers. Hierdie gedrag kan ook aangeskakel is by verstek tydens kompilering. uitdrukking kies wat pakkies sal gestort word. Indien geen uitdrukking gegee, sal alle pakkies op die netto gestort. Anders, packets net waarvoor uitdrukking waar sal gestort word. Die uitdrukking argument kan oorgedra word na Tcpdump as óf 'n enkele Shell argument, of as verskeie Shell argumente, wat ook al meer gerieflik is. Oor die algemeen, as die uitdrukking bevat Shell meta karakters, soos skuinsstrepe gebruik om protokol name ontsnap, is dit makliker om dit te slaag as 'n enkele, aangehaal argument eerder as om die Shell meta karakters ontsnap. Veelvuldige argumente saamgevoeg met spasies voordat dit ontleed. Voorbeelde om alle pakkies wat by of vertrek vanaf sononder druk. Verkeer druk tussen Helios en óf warm of kampioen. Aan al IP pakkies tussen kampioen en 'n gasheer behalwe Helios druk. Om al die verkeer tussen plaaslike gashere en gashere druk op Berkeley: Aan al FTP verkeer druk via die internet gateway snup. (Let op dat die uitdrukking aangehaal om die dop van (mis - voorkom) interpretasie van die hakies): Om die verkeer druk nie afkomstig van of bestem vir plaaslike gashere (as jy gateway na een ander netto, moet hierdie dinge is dit nooit maak op jou plaaslike netto). Om die begin en einde pakkies (die SYN en FIN pakkies) van elke TCP gesprek wat 'n nie-plaaslike gasheer behels druk. Aan al IPv4 HTTP pakkies na en van die hawe 80 druk, maw druk net pakkies wat data bevat, nie, byvoorbeeld, SYN en FIN pakkies en ACK-net pakkies. (IPv6 het oorgebly soos 'n oefening vir die leser.) Om IP pakkies langer as 576 grepe gestuur deur Gateway snup druk. Aan al ICMP pakkies wat nie eggo versoeke / antwoorde (dit wil sê nie ping pakkies) druk:: Om IP uitsending of multicast pakkies wat nie via Ethernet uitsending of multicast gestuur druk uitvoer formaat Die uitset van Tcpdump is protokol afhanklik. Die volgende gee 'n kort beskrywing en voorbeelde van die meeste van die formate. Link Vlak Headers As die - e opsie gegee word op die skakel vlak kop gedruk. Op Ethernets, is die bron en bestemming adresse, protokol, en pakkie lengte gedruk. Op FDDI netwerke, die - e opsie veroorsaak Tcpdump die veld raam beheer, die bron en bestemming adresse, en die pakkie lengte druk. (Die raam beheer veld regeer die interpretasie van die res van die pakkie. Normale pakkies (soos dié wat IP datagramme) is asinkroniseer pakkies, met 'n prioriteit waarde tussen 0 en 7 word byvoorbeeld async4. Sulke pakkies veronderstel om 'n 802,2 bevat logiese Link Control (LLC) pakkie die LLC kop gedruk indien dit nie 'n ISO datagram of 'n sogenaamde SNAP pakkie. op Token Ring netwerke, die - e opsie veroorsaak tcpdump om die toegangsbeheer en raam beheer velde druk, die bron en bestemming adresse, en die pakkie lengte. Soos op FDDI netwerke, pakkies word aanvaar dat 'n LLC pakkie bevat. Ongeag of die - e opsie gespesifiseer of nie, die bron routing inligting vir-bron aangestuur pakkies gedruk. op 802.11 netwerke die - e opsie veroorsaak tcpdump om die raam beheer velde, al die adresse in die 802.11 kop, en die pakkie lengte te druk. As op FDDI netwerke, is pakkies veronderstel om 'n LLC pakkie bevat. (NB die volgende beskrywing veronderstel vertroudheid met die strokie kompressie-algoritme in RFC-1144 beskryf.) op SLIP skakels, 'n rigtingwyser (Ek vir inkomende, o vir uitgaande), tipe pakkie, en kompressie inligting is gedruk. Die tipe pakkie is eerste gedruk. Die drie tipes is IP. utcp. en KSP. Geen verdere skakel inligting vir IP pakkies gedruk. Vir TCP pakkies, is die verband identifiseerder gedruk na aanleiding van die tipe. As die pakkie saamgepers, is sy geënkodeerde header uitgedruk. Die spesiale gevalle word uitgedruk as S N en SA N. waar n die bedrag waarmee die volgnommer (of volgnommer en ACK) verander het. As dit nie 'n spesiale geval, is nul of meer veranderings gedruk. 'N Verandering word deur U (dringende wyser), W (venster), A (ACK), S (volgorde nommer), en ek (pakkie ID), gevolg deur 'n delta (N of - n), of 'n nuwe waarde ( N). Ten slotte, die bedrag van die data in die pakkie en saamgeperste kop lengte gedruk. Byvoorbeeld, die volgende lyn toon 'n uitgaande saamgeperste TCP pakkie, met 'n implisiete verband identifiseerder die ACK verander deur 6, die volgnommer met 49, en die pakkie ID deur 6 is daar 3 grepe van data en 6 grepe van saamgeperste kop: Arp / rarp uitset toon die tipe versoek en sy argumente. Die formaat is bedoel om selfverduidelikend wees. Hier is 'n kort voorbeeld geneem vanaf die begin van 'n rlogin van gasheer rtsg om CSAM aan te bied. Die eerste reël sê dat rtsg stuur 'n ARP pakkie vra vir die Ethernet adres van die internet host CSAM. CSAM antwoord met sy Ethernet adres (in hierdie voorbeeld, Ethernet adresse in pette en internet adresse in kleinletters). Dit sou minder onnodige kyk as ons Tcpdump - n gedoen het. As ons Tcpdump - e gedoen het. die feit dat die eerste pakkie uitgesaai en die tweede is punt-tot-punt sal sigbaar wees: Vir die eerste pakkie hierdie sê die Ethernet bron adres is RTSG, die bestemming is die Ethernet uitsending adres, die tipe veld vervat Hex 0806 (tipe ETHERARP) en die totale lengte was 64 grepe. (NB: Die volgende beskrywing veronderstel kennis van die TCP-protokol in RFC-793 beskryf As jy nie vertroud is met die protokol, nie hierdie beskrywing nie Tcpdump sal van veel nut wees vir julle..) Die algemene vorm van 'n TCP-protokol lyn is : SR en dst is die bron en bestemming IP-adresse en hawens. Vlae is 'n kombinasie van S (SYN), F (FIN), P (DRUK), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) of. (ACK), of geeneen indien geen vlae gestel. Data-seqno beskryf die gedeelte van volgorde ruimte wat deur die data in hierdie pakkie (sien voorbeeld hieronder). Ack is volgnommer van die volgende data verwag die ander rigting op hierdie verband. Venster is die aantal grepe van ontvang buffer spasie die ander rigting op hierdie verband. Urg dui daar is dringende data in die pakkie. Opsies is TCP opsies ingesluit in die hoek tussen hakies (bv ltmss 1024gt). Src, dst en vlae is altyd teenwoordig. Die ander velde afhang van die inhoud van die pakkies TCP-protokol kop en is uitset slegs indien toepaslik. Hier is die opening gedeelte van 'n rlogin van gasheer rtsg om CSAM aan te bied. Die eerste reël sê dat TCP-poort 1023 op rtsg het 'n pakkie na die hawe aanteken op CSAM. Die S dui daarop dat die vlag SYN is gestig. Die pakkie volgnommer was 768512 en dit bevat geen data. (Die notasie vir die eerste keer: laaste (Nbytes) wat beteken ry getalle eerste tot maar nie insluitend verlede wat Nbytes grepe van gebruiker data.) Daar was geen-piggy back ACK, die beskikbare ontvang venster was 4096 grepe en daar was 'n maksimum - segment-grootte opsie versoek om 'n mss van 1024 grepe. CSAM antwoord met 'n soortgelyke pakkie behalwe dit sluit 'n piggy back ACK vir rtsgs SYN. Rtsg dan acks csams SYN. Die . beteken die vlag ACK is gestig. Die pakkie bevat geen data so daar is geen data volgnommer. Let daarop dat die ACK volgnommer is 'n klein heelgetal (1). Die eerste keer Tcpdump sien 'n TCP gesprek, dit druk die volgnommer van die pakkie. Op die daaropvolgende pakkies van die gesprek, is die verskil tussen die huidige pakkies volgnommer en hierdie aanvanklike volgnommer gedruk. Dit beteken dat die volgorde getalle na die eerste kan geïnterpreteer word as relatiewe byte posisies in die gesprekke datastroom (met die eerste data byte elke rigting wat 1). - S Sal hierdie funksie te ignoreer, wat veroorsaak dat die oorspronklike volgorde nommers om uitset wees. Op die 6de lyn, rtsg stuur CSAM 19 grepe van data (grepe 2 deur middel van 20 in die rtsg → Prestaties CSAM kant van die gesprek). Die DRUK vlag is ingestel in die pakkie. Op die 7de lyn, CSAM sê sy ontvang data gestuur deur rtsg tot maar nie insluitend byte 21. Die meeste van hierdie data is blykbaar sit in die socket buffer sedert csams ontvang venster het 19 grepe kleiner geword. CSAM stuur ook 'n greep van data om rtsg in hierdie pakkie. Op die 8ste en 9de lyne, CSAM stuur twee grepe van dringende, gestoot data te rtsg. As die foto klein genoeg dat Tcpdump didnt vang die volle TCP kop was, dit interpreteer soveel van die kop as wat dit kan en dan rapporteer TCP om aan te dui die res kan nie geïnterpreteer word. As die kop 'n valse keuse (een met 'n lengte dis óf te klein of buite die einde van die kop) bevat, Tcpdump verslae dit so erg opt en geen verdere opsies interpreteer (sedert sy onmoontlik om te sê waar hulle begin). As die kop lengte dui opsies is teenwoordig maar die datagram lengte IP is nie lank genoeg vir die opsies om werklik daar, Tcpdump verslae dit so erg HDR lengte. Vaslegging TCP pakkies met besondere vlag kombinasies (SYN-ACK, URG-ACK, ens) Daar is 8 bisse in die afdeling beheer stukkies van die TCP kop: CWR ECE URG ACK PSH RST SYN FIN Kom neem aan dat ons wil pakkies gebruik te kyk in die vestiging van 'n TCP-verbinding. Onthou dat TCP gebruik 'n 3-way handdruk protokol wanneer dit initialisatie n nuwe verband die verband volgorde ten opsigte van die TCP beheer stukkies is 1) Caller stuur SYN 2) Ontvanger reageer met SYN, ACK 3) Caller stuur ACK Nou was geïnteresseerd in die vaslegging pakkies dat slegs die SYN het bit stel (Stap 1). Let daarop dat ons nie wil pakkies van stap 2 (SYN-ACK), net 'n plain aanvanklike SYN. Wat ons nodig het is 'n korrekte weergawe uitdrukking vir Tcpdump. Onthou die struktuur van 'n TCP kop sonder opsies: 'n TCP kop hou gewoonlik 20 octets van data, tensy opsies teenwoordig is. Die eerste reël van die grafiek bevat octets 0-3, die tweede lyn toon octets 4-7 ens Begin om te tel met 0, is die betrokke TCP beheer stukkies in octet 13: Kom ons nader kyk na octet no. 13: Dit is die TCP beheer stukkies ons is geïnteresseerd in Ons het die stukkies getel in hierdie octet 0-7, regs na links, sodat die PSH bietjie is bietjie nommer 3, terwyl die URG bietjie is nommer 5. Onthou dat ons. wil pakkies te vang met net SYN stel. Kom ons kyk wat gebeur met octet 13 as 'n TCP datagram kom met die SYN bit stel in sy kop: As ons kyk na die artikel beheer stukkies ons sien dat net bietjie nommer 1 (SYN) is ingestel. Hierdie jongeman weet ons produkte al 'n bietjie baie suksesvol in te sit en die verlede volmaakte binne ons span. Ons begeer hom alvast baie sukses en u sal daar seker en vas nog baie van hoor Ga here na sy page Lees meer raquo Direkte na my vakansie was dit sover De sessie waar Michiel en ek al solank na uitkeken. Weke van vooraf fantaseerden ons oor hierdie sessie op die super het water dat ons gingen bevissen. Omdat Michiel er al enkele kere gewees het wisten ons Wat vir lêer er teenwoordig was. Hierdie soort waters vind jy byna nêrens, dus jy kan jou wel voorstellen hoeveel sin ek het in hierdie sessie Toe ek tuis kwam van vakansie Begon ek dadelik met rigs knopen, alles inladen en natuurlik ook die Noten kook. Tydens die kook van die tijgernootjes daad ek daar nog wat chili by om die vis nog meer aan te trek op die werf. Na dat alles klaar was kon ek eindelijk gaan Slapen. Ek het egter nie veel geslaap want ek het te veel sin om te gaan visse Vroeg in die oggend rede ons na die water en. Lees meer raquo Webwinkel Die laaste nieuwberichten af artikels 4 Februarie 2014
No comments:
Post a Comment