tcpdump - 数据包进行截获的包分析工具
From:http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
30 分鐘掌握 tcpdump:http://zhuanlan.51cto.com/art/201701/527498.htm
Android?tcpdump?下載:https://www.androidtcpdump.com/android-tcpdump/downloads
tcpdump for Android 移動端抓包:https://blog.csdn.net/whatday/article/details/86493505
tcpdump -i wlan0 -p -s 0 -w 抓包結果.pcap ? ?
簡介
? ? ? ? 用簡單的話來定義 tcpdump 就是:dump the traffic on a network,即對網絡上的數據包進行截獲的包分析工具。 顧名思義,tcpdump 可以將網絡中傳送的數據包的 "頭"?完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的過濾,并提供and、or、not等邏輯語句來幫助你去掉無用的信息。
? ? ? ? tcpdump 是一個用于截取網絡分組,并輸出分組內容的工具。tcpdump 憑借強大的功能和靈活的截取策略,使其成為類UNIX系統下用于網絡分析和問題排查的首選工具。tcpdump 提供了源代碼,公開了接口,因此具備很強的可擴展性,對于網絡維護和入侵者都是非常有用的工具。
? ? ? ? tcpdump 需要將網絡界面設置為混雜模式,普通用戶不能正常執行,但具備 root 權限的用戶可以直接執行它來獲取網絡上的信息。因此系統中存在網絡分析工具主要不是對本機安全的威脅,而是對網絡上的其他計算機的安全存在威脅。
? ? ? ??tcpdump 是一個運行在命令行下的抓包工具( 其他的嗅探工具有 Wireshark、Ngrep等等)。
? ? ? ??不帶參數的 tcpdump 會收集網絡中所有的信息包頭,數據量巨大,必須過濾。
?
tcpdump 選項
? ? ? ? 如果你是第一次看 tcpdump 的 man page 時,肯定一個頭兩個大,因為 tcpdump 幾乎都是分析封包的表頭數據,用戶如果沒有簡易的網絡封包基礎,要看懂粉難吶! 所以,至少您得要回到網絡基礎里面去將?TCP 封包的表頭數據??理解理解才好!
tcpdump 不加參數時是捕獲所有的數據包(數據量巨大)。可以定義過濾規則,捕獲符合過濾條件的包。
tcpdump 對截獲的數據并沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網絡故障。通常的解決辦法:先使用帶 -w 參數的 tcpdump 截獲數據并保存到文件中,然后再使用其他程序( 保存為.pcap后綴的文件,可以使用 wireshark )進行解碼分析。
使用示例:
- 1. 針對特定網口抓包 ( -i 選項?)。
? ? ? ? 不加任何選項執行 tcpdump 時,tcpdump 將抓取通過所有網口的包;使用 -i 在指定的網口抓包:
? ? ? ? 示例:tcpdump 抓取所有通過 eth0 的包。命令:root@kali:~# tcpdump -i eth0 - 2. 抓取指定數目的包( -c 選項 )。
? ? ? ? 默認情況下 tcpdump 將一直抓包,直到按下 Ctrl + c?中止,使用 -c 選項我們可以指定抓包的數量:
? ? ? ??示例:只針對 eth0 網口抓 10?個包。命令:root@kali:~# tcpdump -i eth0 -c 10 - 3. 將抓到包寫入文件中( -w 選項 )。使用 -w 選項,將抓包記錄到一個指定文件中,保存為.pcap后綴的文件,可以使用 wireshark 等工具讀取分析。
? ? ? ? 命令:root@kali:~# tcpdump -i eth0 -c 10 -w 2017.pcap? ? ?? - 4. 讀取 tcpdump 保存文件( -r 選項 )。對于保存的抓包文件,我們可以使用 -r 選項進行讀取。命令:root@kali:~# tcpdump -r 2017.pcap
- 5. 抓包時不進行域名解析( -n選項 )。默認情況下,tcpdump 抓包結果中將進行域名解析,顯示的是域名地址而非 ip 地址,使用 -n 選項,可指定顯示 ip 地址。
- 6. 增加抓包時間戳(-tttt選項)。使用-tttt選項,抓包結果中將包含抓包日期:
- 7. 指定抓包的協議類型。我們可以只抓某種協議的包,tcpdump 支持指定以下協議:ip、ip6、arp、tcp、udp、wlan 等。
? ? ? ? 示例:只抓取 arp 協議的包:root@kali:~# tcpdump -i eth0 -tttt arp - 8. 指定抓包端口。如果想要對某個特定的端口抓包,可以通過以下命令:root@kali:~# tcpdump -i eth0 port 22
- 9. 抓取特定目標 ip和端口 的包。網絡包的內容中,包含了源ip地址、端口和目標ip、端口,我們可以根據目標ip和端口過濾tcpdump抓包結果,以下命令說明了此用法:
????????示例:root@kali:~# tcpdump -i eth0 dst 10.70.121.92 and port 22
????????示例:root@kali:~# tcpdump -i eth0 -c 10 ip -tttt -X
1、抓取回環網口的包:tcpdump -i lo
2、防止包截斷:tcpdump -s0
3、以數字顯示主機及端口:tcpdump -n
命令: tcpdump -i eth0 port 1111 -X -c 3
- -i ? 是 interface 的含義,是讓?tcpdump 監聽哪一個網卡
- port 1111? 我們只關心源端口或目的端口是 1111 的數據包.
- -X ?把協議頭和包內容都原原本本的顯示出來(tcpdump會以16進制和ASCII的形式顯示),這在進行協議分析時是絕對的利器。
- -c 是 Count 的含義,這設置了我們希望 tcpdump 幫我們抓幾個包。
- 其中還有另外一個比較重要的參數 -l??使得輸出變為行緩沖。-l ?選項就是將 tcpdump 的輸出變為“行緩沖”方式,這樣可以確保 tcpdump 遇到的內容一旦是換行符,就將緩沖的內容輸出到標準輸出,以便于利用管道或重定向方式來進行后續處理。Linux / UNIX 的標準 I/O 提供了 全緩沖、行緩沖和無緩沖 三種緩沖方式。標準錯誤是不帶緩沖的,終端設備常為行緩沖,而其他情況默認都是全緩沖的。
? ? ? ? 例如:我們只想提取包的每一行的第一個域(時間域),這種情況下我們就需要 ?-l ?將默認的全緩沖變為行緩沖了。
? ? ? ? tcpdump -i eth0 port 1111 -l | awk '{print $1}' - -w ?將?數據包?寫入文件中(即原始包,如果使用 重定向 > 則只是保存顯示的結果,而不是原始文件),即所謂的 "流量保存" --- 把抓到的網絡包存儲到磁盤上為后續使用。
- -r? ?從文件中讀取 數據包。即?"流量回放"?--- 就是把歷史上的某一時間段的流量,重新模擬回放出來,用于流量分析。
通過 -w 選項將流量都存儲在 cp.pcap (二進制格式)文件中。可以通過 -r 讀取 raw packets 文件 cp.pcap
示例:sudo tcpdump i- eth0 'port 1111' -c 3 -r cp.pcap 即可進行流量回放。
tcpdump 的表達式介紹
selects which packets will be dumped. If no expression is given, all packets on the net will be dumped. Otherwise, only packets for which expression is `true' will be dumped.
For the expression syntax, see pcap-filter(7).
The expression argument can be passed to tcpdump as either a single Shell argument, or as multiple Shell arguments, whichever is more convenient. Generally, if the expression contains Shell metacharacters, such as backslashes used to escape protocol names, it is easier to pass it as a single, quoted argument
rather than to escape the Shell metacharacters. Multiple arguments are concatenated with spaces before being parsed.
tcpdump規則命令大全:?tcpdump規則命令大全 - 百度文庫
BPF 過濾規則參考:BPF過濾規則參考 - 百度文庫
伯克利包過濾(Berkeley Packet Filter,BPF)語言:http://www.cnblogs.com/zhongxinWang/p/4303153.html
Wireshark-BPF過濾規則:Wireshark-BPF過濾規則 - John_ABC - 博客園
表達式是一個正則表達式,tcpdump 利用它作為過濾報文的條件,
- 如果一個報文滿足表達式的條件,則這個報文將會被捕獲。
- 如果沒有給出任何條件,則網絡上所有的信息包 將會被截獲。
表達式由一個或多個 "表達元"?組成。( "表達元" 可理解為組成表達式的基本元素 )
一個 表達元 通常由一個或多個 限定符(qualifiers) 后跟 一個名字或數字表示的 id 組成 ( 即?qualifiers id )。
有三種不同類型的 修飾符(即 限定符):
- type
- dir
- proto
在表達式中一般如下幾種類型的關鍵字:?
- 第一種是關于類型的關鍵字:主要包括 host,net,port。如果沒有指定類型,缺省的類型是host。?
? ? ? ? 例如:host 210.27.48.2, 指明 210.27.48.2是一臺主機,
? ? ? ? ? ? ? ? net 202.0.0.0指明202.0.0.0是一個網絡地址,
? ? ? ? ? ? ? ? port 23 指明端口號是23。 - 第二種是確定傳輸方向的關鍵字:主要包括 src、dst、dst or src、dst and src?。這些關鍵字指明了傳輸的方向。如果沒有指明方向關鍵字,則缺省是 src or dst 關鍵字。?
? ? ? ? 示例:src 210.27.48.2? ? ?指明ip包中源地址是 210.27.48.2
? ? ? ? ? ? ? dst net 202.0.0.0? ?指明目的網絡地址是202.0.0.0。 - 第三種是協議的關鍵字:主要包括 fddi,ip,arp,rarp,tcp,udp 等類型。如果沒有指定任何協議,則 tcpdump 將會 監聽所有協議的信息包。
Fddi 指明是在FDDI (分布式光纖數據接口網絡)上的特定的網絡協議,實際上它是 "ether"?的別名,fddi 和 ether 具有類似的源地址和目的地址,所以可以將 fddi協議 包當作 ether 的包進行處理和分析。 其他的幾個關鍵字就是指明了監聽的包的協議內容。
除了這三種類型的關鍵字之外,其他重要的關鍵字如下:
- gateway
- broadcast
- less
- greater
- 還有三種邏輯運算
? ? ? ? 與? 運算:and、&&
? ? ? ? 或? 運算:or、||
? ? ? ? 非? 運算( 否 運算 ):?not、!
否定操作?的優先級別最高,與操作 和 或操作 優先級別相同,并且二者的結合順序是從左到右。
要注意的是,表達 '與操作' 時,需要顯式寫出 'and' 操作符,而不只是把前后表達元并列放置 (即?二者中間的 'and' 操作符不可省略)。
注意:如果一個標識符前沒有關鍵字,則表達式的解析過程中,最近用過的關鍵字( 往往也是從左往右距離標識符最近的關鍵字 )將被使用。
比如??not host vs and ace??是以下表達的精簡??not host vs and host ace?????//??所需數據包不是來自或發往host vs, 而是來自或發往ace
而不是 not (host vs or ace)??????//?表示數據包只要不是來自或發往vs或ac都符合要求
借助 括號以及相應操作符,可把表達元組合在一起使用 ( 由于括號是 shell 的特殊字符,所以在 shell腳本 或 終端 中使用時必須對括號進行轉義, 即 '(' 與 ')' 需要分別表達成 '\(' 與 '\)')
整個條件表達式可以被當作一個單獨的字符串參數,也可以被當作空格分割的多個參數傳入tcpdump,后者更方便些。
示例:tcpdump 'gateway snup and (port ftp or ftp-data)'???// 打印所有通過網關snup的ftp數據包
注意:表達式被單引號括起來了, 這可以防止 shell 對其中的括號進行錯誤解析
通常, 如果表達式中包含元字符(nt: 如正則表達式中的 '*', '.' 以及 shell中 的 '(' 等字符 ')' 最好還是使用單獨字符串的方式傳入。這時,整個表達式需要被單引號括起來。多參數的傳入方式中,所有參數最終還是被空格串聯在一起,作為一個字符串被解析。
示例:host foo and not port ftp and not port ftp-data
解釋:其過濾條件可理解為, 數據包的主機為 foo,并且端口不是ftp(端口21) 和 ftp-data(端口20,常用端口和名字的對應可在 linux 系統中的 /etc/service 文件中找到)
為了表示方便, 同樣的修飾符可以被省略。。。
示例:tcp dst port ftp or ftp-data or domain? 等價于?tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain
解釋:其過濾條件可理解為 包的協議為tcp, 目的端口為ftp 或 ftp-data 或 domain(端口53)
tcpdump?輸出結果介紹
(參閱:?tcpdump抓包分析詳解_不用此欄-CSDN博客_tcpdump抓包分析詳解?? ?tcpdump參數解析及使用詳解_風葉-CSDN博客_tcpdump)
首先我們注意一下,基本上 tcpdump 總的的輸出格式為:系統時間 來源主機.端口 > 目標主機.端口 數據包參數
tcpdump 的輸出格式與協議有關。以下簡要描述了大部分常用的格式及相關例子。
(1) 數據鏈路層 的 頭信息
環境:ice 是一臺裝有 linux 的主機,它的 MAC 地址是? 0:90:27:58:AF:1A。H219 是一臺裝有 SOLARIC 的 SUN 工作站,它的 MAC 地址是? 8:0:20:79:5B:46
使用命令:#tcpdump -e host ice
命令輸出結果:21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telnet 0:0(0) ack 22535 win 8760 (DF)
分析:
- 21:50:12??是顯示的時間,?
- 847509??是ID號,
- eth0?<? ? 表示從網絡接口?eth0?接受 該數據包,
- eth0?>? ??表示從網絡接口設備 發送 數據包,?
- 8:0:20:79:5b:46??是主機 H219 的 MAC 地址,它表明是從源地址 H219 發來的數據包
- 0:90:27:58:af:1a??是主機 ICE 的 MAC地址,表示該數據包的目的地址是 ICE 。
- ip? 是表明該數據包是IP數據包,
- 60? 是數據包的長度,
- h219.33357 > ice.telnet? 表明該數據包是從主機 H219 的 33357 端口 發往 主機ICE的TELNET(23)端口。
- ack 22535? 表明對序列號是 222535 的包進行響應。
- win 8760??表明發送窗口的大小是8760。
鏈路層頭
對于FDDI網絡, '-e' 使tcpdump打印出指定數據包的'frame control' 域, 源和目的地址, 以及包的長度.(frame control域
控制對包中其他域的解析). 一般的包(比如那些IP datagrams)都是帶有'async'(異步標志)的數據包,并且有取值0到7的優先級;
比如 'async4'就代表此包為異步數據包,并且優先級別為4. 通常認為,這些包們會內含一個 LLC包(邏輯鏈路控制包); 這時,如果此包
不是一個ISO datagram或所謂的SNAP包,其LLC頭部將會被打印(nt:應該是指此包內含的 LLC包的包頭).
對于Token Ring網絡(令牌環網絡), '-e' 使tcpdump打印出指定數據包的'frame control'和'access control'域, 以及源和目的地址,
外加包的長度. 與FDDI網絡類似, 此數據包通常內含LLC數據包. 不管 是否有'-e'選項.對于此網絡上的'source-routed'類型數據包(nt:
意譯為:源地址被追蹤的數據包,具體含義未知,需補充), 其包的源路由信息總會被打印.
對于802.11網絡(WLAN,即wireless local area network), '-e' 使tcpdump打印出指定數據包的'frame control域,
包頭中包含的所有地址, 以及包的長度.與FDDI網絡類似, 此數據包通常內含LLC數據包.
(注意: 以下的描述會假設你熟悉SLIP壓縮算法 (nt:SLIP為Serial Line Internet Protocol.), 這個算法可以在
RFC-1144中找到相關的蛛絲馬跡.)
對于SLIP網絡(nt:SLIP links, 可理解為一個網絡, 即通過串行線路建立的連接, 而一個簡單的連接也可看成一個網絡),
數據包的'direction indicator'('方向指示標志')("I"表示入, "O"表示出), 類型以及壓縮信息將會被打印. 包類型會被首先打印.
類型分為ip, utcp以及ctcp(nt:未知, 需補充). 對于ip包,連接信息將不被打印(nt:SLIP連接上,ip包的連接信息可能無用或沒有定義.
reconfirm).對于TCP數據包, 連接標識緊接著類型表示被打印. 如果此包被壓縮, 其被編碼過的頭部將被打印.
此時對于特殊的壓縮包,會如下顯示:
*S+n 或者 *SA+n, 其中n代表包的(順序號或(順序號和應答號))增加或減少的數目(nt | rt:S,SA拗口, 需再譯).
對于非特殊的壓縮包,0個或更多的'改變'將會被打印.'改變'被打印時格式如下:
'標志'+/-/=n 包數據的長度 壓縮的頭部長度.
其中'標志'可以取以下值:
U(代表緊急指針), W(指緩沖窗口), A(應答), S(序列號), I(包ID),而增量表達'=n'表示被賦予新的值, +/-表示增加或減少.
比如, 以下顯示了對一個外發壓縮TCP數據包的打印, 這個數據包隱含一個連接標識(connection identifier); 應答號增加了6,
順序號增加了49, 包ID號增加了6; 包數據長度為3字節(octect), 壓縮頭部為6字節.(nt:如此看來這應該不是一個特殊的壓縮數據包).
(2) ARP包?的 tcpdump 輸出信息
使用命令:#tcpdump arp?
輸出結果:
? ? ? ? 22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
? ? ? ? 22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析:?
- 22:32:42??是 時間戳,
- 802509??是 ID號
- eth0?>? ? 表明從主機 發出 該數據包
- arp??表明是ARP請求包
- ?who-has route tell ice??表明是主機ICE請求主機 ROUTE 的 MAC 地址。?
- 0:90:27:58:af:1a??是主機 ICE 的 MAC 地址。
ARP/RARP 數據包
tcpdump對Arp/rarp包的輸出信息中會包含請求類型及該請求對應的參數. 顯示格式簡潔明了. 以下是從主機rtsg到主機csam的'rlogin'
(遠程登錄)過程開始階段的數據包樣例:
arp who-has csam tell rtsg
arp reply csam is-at CSAM
第一行表示:rtsg發送了一個arp數據包(nt:向全網段發送,arp數據包)以詢問csam的以太網地址
Csam(nt:可從下文看出來, 是Csam)以她自己的以太網地址做了回應(在這個例子中, 以太網地址以大寫的名字標識, 而internet
地址(即ip地址)以全部的小寫名字標識).
如果使用tcpdump -n, 可以清晰看到以太網以及ip地址而不是名字標識:
arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4
如果我們使用tcpdump -e, 則可以清晰的看到第一個數據包是全網廣播的, 而第二個數據包是點對點的:
RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM
第一個數據包表明:以arp包的源以太地址是RTSG, 目標地址是全以太網段, type域的值為16進制0806(表示ETHER_ARP(nt:arp包的類型標識)),
包的總長度為64字節.
(3) TCP包 的輸出信息
用 tcpdump 捕獲的 TCP包的一般輸出信息是:src > dst: flags data-seqno ack window urgent options
- src > dst:??表明從源地址到目的地址
- flags??是TCP包中的標志信息, S 是SYN標志, F (FIN), P (PUSH) , R (RST) "." (沒有標記)
- data-seqno??是數據包中的數據的順序號
- ack??是下次期望的順序號,
- window??是接收緩存的窗口大小,
- urgent??表明數據包中是否有緊急指針
- Options??是選項
TCP 數據包
(注意:以下將會假定你對 RFC-793所描述的TCP熟悉. 如果不熟, 以下描述以及tcpdump程序可能對你幫助不大.(nt:警告可忽略,
只需繼續看, 不熟悉的地方可回頭再看.).
通常tcpdump對tcp數據包的顯示格式如下:
src > dst: flags data-seqno ack window urgent options
src 和 dst 是源和目的IP地址以及相應的端口. flags 標志由S(SYN), F(FIN), P(PUSH, R(RST),
W(ECN CWT(nt | rep:未知, 需補充))或者 E(ECN-Echo(nt | rep:未知, 需補充))組成,
單獨一個'.'表示沒有flags標識. 數據段順序號(Data-seqno)描述了此包中數據所對應序列號空間中的一個位置(nt:整個數據被分段,
每段有一個順序號, 所有的順序號構成一個序列號空間)(可參考以下例子). Ack 描述的是同一個連接,同一個方向,下一個本端應該接收的
(對方應該發送的)數據片段的順序號. Window是本端可用的數據接收緩沖區的大小(也是對方發送數據時需根據這個大小來組織數據).
Urg(urgent) 表示數據包中有緊急的數據. options 描述了tcp的一些選項, 這些選項都用尖括號來表示(如 <mss 1024>).
src, dst 和 flags 這三個域總是會被顯示. 其他域的顯示與否依賴于tcp協議頭里的信息.
這是一個從trsg到csam的一個rlogin應用登錄的開始階段.
rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1
第一行表示有一個數據包從rtsg主機的tcp端口1023發送到了csam主機的tcp端口login上(nt:udp協議的端口和tcp協議的端
口是分別的兩個空間, 雖然取值范圍一致). S表示設置了SYN標志. 包的順序號是768512, 并且沒有包含數據.(表示格式
為:'first:last(nbytes)', 其含義是'此包中數據的順序號從first開始直到last結束,不包括last. 并且總共包含nbytes的
用戶數據'.) 沒有捎帶應答(nt:從下文來看,第二行才是有捎帶應答的數據包), 可用的接受窗口的大小為4096bytes, 并且請求端(rtsg)
的最大可接受的數據段大小是1024字節(nt:這個信息作為請求發向應答端csam, 以便雙方進一步的協商).
Csam 向rtsg 回復了基本相同的SYN數據包, 其區別只是多了一個' piggy-backed ack'(nt:捎帶回的ack應答, 針對rtsg的SYN數據包).
rtsg 同樣針對csam的SYN數據包回復了一ACK數據包作為應答. '.'的含義就是此包中沒有標志被設置. 由于此應答包中不含有數據, 所以
包中也沒有數據段序列號. 提醒! 此ACK數據包的順序號只是一個小整數1. 有如下解釋:tcpdump對于一個tcp連接上的會話, 只打印會話兩端的
初始數據包的序列號,其后相應數據包只打印出與初始包序列號的差異.即初始序列號之后的序列號, 可被看作此會話上當前所傳數據片段在整個
要傳輸的數據中的'相對字節'位置(nt:雙方的第一個位置都是1, 即'相對字節'的開始編號). '-S'將覆蓋這個功能,
使數據包的原始順序號被打印出來.
第六行的含義為:rtsg 向 csam發送了19字節的數據(字節的編號為2到20,傳送方向為rtsg到csam). 包中設置了PUSH標志. 在第7行,
csam 喊到, 她已經從rtsg中收到了21以下的字節, 但不包括21編號的字節. 這些字節存放在csam的socket的接收緩沖中, 相應地,
csam的接收緩沖窗口大小會減少19字節(nt:可以從第5行和第7行win屬性值的變化看出來). csam在第7行這個包中也向rtsg發送了一個
字節. 在第8行和第9行, csam 繼續向rtsg 分別發送了兩個只包含一個字節的數據包, 并且這個數據包帶PUSH標志.
如果所抓到的tcp包(nt:即這里的snapshot)太小了,以至tcpdump無法完整得到其頭部數據, 這時, tcpdump會盡量解析這個不完整的頭,
并把剩下不能解析的部分顯示為'[|tcp]'. 如果頭部含有虛假的屬性信息(比如其長度屬性其實比頭部實際長度長或短), tcpdump會為該頭部
顯示'[bad opt]'. 如果頭部的長度告訴我們某些選項(nt | rt:從下文來看, 指tcp包的頭部中針對ip包的一些選項, 回頭再翻)會在此包中,
而真正的IP(數據包的長度又不夠容納這些選項, tcpdump會顯示'[bad hdr length]'.
抓取帶有特殊標志的的TCP包(如SYN-ACK標志, URG-ACK標志等).
在TCP的頭部中, 有8比特(bit)用作控制位區域, 其取值為:
CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
(nt | rt:從表達方式上可推斷:這8個位是用或的方式來組合的, 可回頭再翻)
現假設我們想要監控建立一個TCP連接整個過程中所產生的數據包. 可回憶如下:TCP使用3次握手協議來建立一個新的連接; 其與此三次握手
連接順序對應,并帶有相應TCP控制標志的數據包如下:
1) 連接發起方(nt:Caller)發送SYN標志的數據包
2) 接收方(nt:Recipient)用帶有SYN和ACK標志的數據包進行回應
3) 發起方收到接收方回應后再發送帶有ACK標志的數據包進行回應
0 15 31
-----------------------------------------------------------------
| source port | destination port |
-----------------------------------------------------------------
| sequence number |
-----------------------------------------------------------------
| acknowledgment number |
-----------------------------------------------------------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
-----------------------------------------------------------------
| TCP checksum | urgent pointer |
-----------------------------------------------------------------
一個TCP頭部,在不包含選項數據的情況下通常占用20個字節(nt | rt:options 理解為選項數據,需回譯). 第一行包含0到3編號的字節,
第二行包含編號4-7的字節.
如果編號從0開始算, TCP控制標志位于13字節(nt:第四行左半部分).
0 7| 15| 23| 31
----------------|---------------|---------------|----------------
| HL | rsvd |C|E|U|A|P|R|S|F| window size |
----------------|---------------|---------------|----------------
| | 13th octet | | |
讓我們仔細看看編號13的字節:
| |
|---------------|
|C|E|U|A|P|R|S|F|
|---------------|
|7 5 3 0|
這里有我們感興趣的控制標志位. 從右往左這些位被依次編號為0到7, 從而 PSH位在3號, 而URG位在5號.
提醒一下自己, 我們只是要得到包含SYN標志的數據包. 讓我們看看在一個包的包頭中, 如果SYN位被設置, 到底
在13號字節發生了什么:
|C|E|U|A|P|R|S|F|
|---------------|
|0 0 0 0 0 0 1 0|
|---------------|
|7 6 5 4 3 2 1 0|
在控制段的數據中, 只有比特1(bit number 1)被置位.
假設編號為13的字節是一個8位的無符號字符型,并且按照網絡字節號排序(nt:對于一個字節來說,網絡字節序等同于主機字節序), 其二進制值
如下所示:
00000010
并且其10進制值為:
0*2^7 + 0*2^6 + 0*2^5 + 0*2^4 + 0*2^3 + 0*2^2 + 1*2^1 + 0*2^0 = 2(nt: 1 * 2^6 表示1乘以2的6次方, 也許這樣更
清楚些, 即把原來表達中的指數7 6 ... 0挪到了下面來表達)
接近目標了, 因為我們已經知道, 如果數據包頭部中的SYN被置位, 那么頭部中的第13個字節的值為2(nt: 按照網絡序, 即大頭方式, 最重要的字節
在前面(在前面,即該字節實際內存地址比較小, 最重要的字節,指數學表示中數的高位, 如356中的3) ).
表達為tcpdump能理解的關系式就是:
tcp[13] 2
從而我們可以把此關系式當作tcpdump的過濾條件, 目標就是監控只含有SYN標志的數據包:
tcpdump -i xl0 tcp[13] 2 (nt: xl0 指網絡接口, 如eth0)
這個表達式是說"讓TCP數據包的第13個字節擁有值2吧", 這也是我們想要的結果.
現在, 假設我們需要抓取帶SYN標志的數據包, 而忽略它是否包含其他標志.(nt:只要帶SYN就是我們想要的). 讓我們來看看當一個含有
SYN-ACK的數據包(nt:SYN 和 ACK 標志都有), 來到時發生了什么:
|C|E|U|A|P|R|S|F|
|---------------|
|0 0 0 1 0 0 1 0|
|---------------|
|7 6 5 4 3 2 1 0|
13號字節的1號和4號位被置位, 其二進制的值為:
00010010
轉換成十進制就是:
0*2^7 + 0*2^6 + 0*2^5 + 1*2^4 + 0*2^3 + 0*2^2 + 1*2^1 + 0*2 = 18(nt: 1 * 2^6 表示1乘以2的6次方, 也許這樣更
清楚些, 即把原來表達中的指數7 6 ... 0挪到了下面來表達)
現在, 卻不能只用'tcp[13] 18'作為tcpdump的過濾表達式, 因為這將導致只選擇含有SYN-ACK標志的數據包, 其他的都被丟棄.
提醒一下自己, 我們的目標是: 只要包的SYN標志被設置就行, 其他的標志我們不理會.
為了達到我們的目標, 我們需要把13號字節的二進制值與其他的一個數做AND操作(nt:邏輯與)來得到SYN比特位的值. 目標是:只要SYN 被設置
就行, 于是我們就把她與上13號字節的SYN值(nt: 00000010).
00010010 SYN-ACK 00000010 SYN
AND 00000010 (we want SYN) AND 00000010 (we want SYN)
-------- --------
= 00000010 = 00000010
我們可以發現, 不管包的ACK或其他標志是否被設置, 以上的AND操作都會給我們相同的值, 其10進制表達就是2(2進制表達就是00000010).
從而我們知道, 對于帶有SYN標志的數據包, 以下的表達式的結果總是真(true):
( ( value of octet 13 ) AND ( 2 ) ) ( 2 ) (nt: value of octet 13, 即13號字節的值)
靈感隨之而來, 我們于是得到了如下的tcpdump 的過濾表達式
tcpdump -i xl0 'tcp[13] & 2 2'
注意, 單引號或反斜桿(nt: 這里用的是單引號)不能省略, 這可以防止shell對&的解釋或替換.
(4) UDP包 的輸出信息
用 tcpdump 捕獲的 UDP包 的一般輸出信息是:route.port1 > ice.port2: udp lenth
UDP 十分簡單,上面的輸出行表明:
- 從主機 ROUTE 的 port1 端口發出的一個 UDP數據包 到 主機 ICE 的port2端口,
- 類型是? UDP,
- 包的長度是? lenth
UDP 數據包
UDP 數據包的顯示格式,可通過rwho這個具體應用所產生的數據包來說明:
actinide.who > broadcast.who: udp 84
其含義為:actinide主機上的端口who向broadcast主機上的端口who發送了一個udp數據包(nt: actinide和broadcast都是指Internet地址).
這個數據包承載的用戶數據為84個字節.
一些UDP服務可從數據包的源或目的端口來識別,也可從所顯示的更高層協議信息來識別. 比如, Domain Name service requests(DNS 請求,
在RFC-1034/1035中), 和Sun RPC calls to NFS(對NFS服務器所發起的遠程調用(nt: 即Sun RPC),在RFC-1050中有對遠程調用的描述).
UDP 名稱服務請求
(注意:以下的描述假設你對Domain Service protoco(nt:在RFC-103中有所描述), 否則你會發現以下描述就是天書(nt:希臘文天書,
不必理會, 嚇嚇你的, 接著看就行))
名稱服務請求有如下的格式:
src > dst: id op? flags qtype qclass name (len)
(nt: 從下文來看, 格式應該是src > dst: id op flags qtype qclass? name (len))
比如有一個實際顯示為:
h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)
主機h2opolo 向helios 上運行的名稱服務器查詢ucbvax.berkeley.edu 的地址記錄(nt: qtype等于A). 此查詢本身的id號為'3'. 符號
'+'意味著遞歸查詢標志被設置(nt: dns服務器可向更高層dns服務器查詢本服務器不包含的地址記錄). 這個最終通過IP包發送的查詢請求
數據長度為37字節, 其中不包括UDP和IP協議的頭數據. 因為此查詢操作為默認值(nt | rt: normal one的理解), op字段被省略.
如果op字段沒被省略, 會被顯示在'3' 和'+'之間. 同樣, qclass也是默認值, C_IN, 從而也沒被顯示, 如果沒被忽略, 她會被顯示在'A'之后.
異常檢查會在方括中顯示出附加的域: 如果一個查詢同時包含一個回應(nt: 可理解為, 對之前其他一個請求的回應), 并且此回應包含權威或附加記錄段,
ancount, nscout, arcount(nt: 具體字段含義需補充) 將被顯示為'[na]', '[nn]', '[nau]', 其中n代表合適的計數. 如果包中以下
回應位(比如AA位, RA位, rcode位), 或者字節2或3中任何一個'必須為0'的位被置位(nt: 設置為1), '[b2&3]=x' 將被顯示, 其中x表示
頭部字節2與字節3進行與操作后的值.
UDP 名稱服務應答
對名稱服務應答的數據包,tcpdump會有如下的顯示格式
src > dst: id op rcode flags a/n/au type class data (len)
比如具體顯示如下:
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)
第一行表示: helios 對h2opolo 所發送的3號查詢請求回應了3條回答記錄(nt | rt: answer records), 3條名稱服務器記錄,
以及7條附加的記錄. 第一個回答記錄(nt: 3個回答記錄中的第一個)類型為A(nt: 表示地址), 其數據為internet地址128.32.137.3.
此回應UDP數據包, 包含273字節的數據(不包含UPD和IP的頭部數據). op字段和rcode字段被忽略(nt: op的實際值為Query, rcode, 即
response code的實際值為NoError), 同樣被忽略的字段還有class 字段(nt | rt: 其值為C_IN, 這也是A類型記錄默認取值)
第二行表示: helios 對h2opolo 所發送的2號查詢請求做了回應. 回應中, rcode編碼為NXDomain(nt: 表示不存在的域)), 沒有回答記錄,
但包含一個名稱服務器記錄, 不包含權威服務器記錄(nt | ck: 從上文來看, 此處的authority records 就是上文中對應的additional
records). '*'表示權威服務器回答標志被設置(nt: 從而additional records就表示的是authority records).
由于沒有回答記錄, type, class, data字段都被忽略.
flag字段還有可能出現其他一些字符, 比如'-'(nt: 表示可遞歸地查詢, 即RA 標志沒有被設置), '|'(nt: 表示被截斷的消息, 即TC 標志
被置位). 如果應答(nt | ct: 可理解為, 包含名稱服務應答的UDP數據包, tcpdump知道這類數據包該怎樣解析其數據)的'question'段一個條
目(entry)都不包含(nt: 每個條目的含義, 需補充),'[nq]' 會被打印出來.
要注意的是:名稱服務器的請求和應答數據量比較大, 而默認的68字節的抓取長度(nt: snaplen, 可理解為tcpdump的一個設置選項)可能不足以抓取
數據包的全部內容. 如果你真的需要仔細查看名稱服務器的負載, 可以通過tcpdump 的-s 選項來擴大snaplen值.
SMB/CIFS 解碼
tcpdump 已可以對SMB/CIFS/NBT相關應用的數據包內容進行解碼(nt: 分別為'Server Message Block Common', 'Internet File System'
'在TCP/IP上實現的網絡協議NETBIOS的簡稱'. 這幾個服務通常使用UDP的137/138以及TCP的139端口). 原來的對IPX和NetBEUI SMB數據包的
解碼能力依然可以被使用(nt: NetBEUI為NETBIOS的增強版本).
tcpdump默認只按照最簡約模式對相應數據包進行解碼, 如果我們想要詳盡的解碼信息可以使用其-v 啟動選現. 要注意的是, -v 會產生非常詳細的信息,
比如對單一的一個SMB數據包, 將產生一屏幕或更多的信息, 所以此選項, 確有需要才使用.
關于SMB數據包格式的信息, 以及每個域的含義可以參看www.cifs.org 或者samba.org 鏡像站點的pub/samba/specs/ 目錄. linux 上的SMB 補丁
(nt | rt: patch)由 Andrew Tridgell (tridge@samba.org)提供.
NFS 請求和回應
tcpdump對Sun NFS(網絡文件系統)請求和回應的UDP數據包有如下格式的打印輸出:
src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
以下是一組具體的輸出數據
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150
第一行輸出表明: 主機sushi向主機wrl發送了一個'交換請求'(nt: transaction), 此請求的id為6709(注意, 主機名字后是交換
請求id號, 而不是源端口號). 此請求數據為112字節, 其中不包括UDP和IP頭部的長度. 操作類型為readlink(nt: 即此操作為讀符號鏈接操作),
操作參數為fh 21,24/10.73165(nt: 可按實際運行環境, 解析如下, fd 表示描述的為文件句柄, 21,24 表示此句柄所對應設
備的主/從設備號對, 10表示此句柄所對應的i節點編號(nt:每個文件都會在操作系統中對應一個i節點, 限于unix類系統中),
73165是一個編號(nt: 可理解為標識此請求的一個隨機數, 具體含義需補充)).
第二行中, wrl 做了'ok'的回應, 并且在results 字段中返回了sushi想要讀的符號連接的真實目錄(nt: 即sushi要求讀的符號連接其實是一個目錄).
第三行表明: sushi 再次請求 wrl 在'fh 9,74/4096.6878'所描述的目錄中查找'xcolors'文件. 需要注意的是, 每行所顯示的數據含義依賴于其中op字段的
類型(nt: 不同op 所對應args 含義不相同), 其格式遵循NFS 協議, 追求簡潔明了.
如果tcpdump 的-v選項(詳細打印選項) 被設置, 附加的信息將被顯示. 比如:
sushi.1372a > wrl.nfs:
148 read fh 21,11/12.195 8192 bytes @ 24576
wrl.nfs > sushi.1372a:
reply ok 1472 read REG 100664 ids 417/0 sz 29388
(-v 選項一般還會打印出IP頭部的TTL, ID, length, 以及fragmentation 域, 但在此例中, 都略過了(nt: 可理解為,簡潔起見, 做了刪減))
在第一行, sushi 請求wrl 從文件 21,11/12.195(nt: 格式在上面有描述)中, 自偏移24576字節處開始, 讀取8192字節數據.
Wrl 回應讀取成功; 由于第二行只是回應請求的開頭片段, 所以只包含1472字節(其他的數據將在接著的reply片段中到來, 但這些數據包不會再有NFS
頭, 甚至UDP頭信息也為空(nt: 源和目的應該要有), 這將導致這些片段不能滿足過濾條件, 從而沒有被打印). -v 選項除了顯示文件數據信息, 還會顯示
附加顯示文件屬性信息: file type(文件類型, ''REG'' 表示普通文件), file mode(文件存取模式, 8進制表示的), uid 和gid(nt: 文件屬主和
組屬主), file size (文件大小).
如果-v 標志被多次重復給出(nt: 如-vv), tcpdump會顯示更加詳細的信息.
必須要注意的是, NFS 請求包中數據比較多, 如果tcpdump 的snaplen(nt: 抓取長度) 取太短將不能顯示其詳細信息. 可使用
'-s 192'來增加snaplen, 這可用以監測NFS應用的網絡負載(nt: traffic).
NFS 的回應包并不嚴格的緊隨之前相應的請求包(nt: RPC operation). 從而, tcpdump 會跟蹤最近收到的一系列請求包, 再通過其
交換序號(nt: transaction ID)與相應請求包相匹配. 這可能產生一個問題, 如果回應包來得太遲, 超出tcpdump 對相應請求包的跟蹤范圍,
該回應包將不能被分析.
AFS 請求和回應
AFS(nt: Andrew 文件系統, Transarc , 未知, 需補充)請求和回應有如下的答應
src.sport > dst.dport: rx packet-type
src.sport > dst.dport: rx packet-type service call call-name args
src.sport > dst.dport: rx packet-type service reply call-name args
elvis.7001 > pike.afsfs:
rx data fs call rename old fid 536876964/1/1 ".newsrc.new"
new fid 536876964/1/1 ".newsrc"
pike.afsfs > elvis.7001: rx data fs reply rename
在第一行, 主機elvis 向pike 發送了一個RX數據包.
這是一個對于文件服務的請求數據包(nt: RX data packet, 發送數據包 , 可理解為發送包過去, 從而請求對方的服務), 這也是一個RPC
調用的開始(nt: RPC, remote procedure call). 此RPC 請求pike 執行rename(nt: 重命名) 操作, 并指定了相關的參數:
原目錄描述符為536876964/1/1, 原文件名為 '.newsrc.new', 新目錄描述符為536876964/1/1, 新文件名為 '.newsrc'.
主機pike 對此rename操作的RPC請求作了回應(回應表示rename操作成功, 因為回應的是包含數據內容的包而不是異常包).
一般來說, 所有的'AFS RPC'請求被顯示時, 會被冠以一個名字(nt: 即decode, 解碼), 這個名字往往就是RPC請求的操作名.
并且, 這些RPC請求的部分參數在顯示時, 也會被冠以一個名字(nt | rt: 即decode, 解碼, 一般來說也是取名也很直接, 比如,
一個interesting 參數, 顯示的時候就會直接是'interesting', 含義拗口, 需再翻).
這種顯示格式的設計初衷為'一看就懂', 但對于不熟悉AFS 和 RX 工作原理的人可能不是很
有用(nt: 還是不用管, 書面嚇嚇你的, 往下看就行).
如果 -v(詳細)標志被重復給出(nt: 如-vv), tcpdump 會打印出確認包(nt: 可理解為, 與應答包有區別的包)以及附加頭部信息
(nt: 可理解為, 所有包, 而不僅僅是確認包的附加頭部信息), 比如, RX call ID(請求包中'請求調用'的ID),
call number('請求調用'的編號), sequence number(nt: 包順序號),
serial number(nt | rt: 可理解為與包中數據相關的另一個順信號, 具體含義需補充), 請求包的標識. (nt: 接下來一段為重復描述,
所以略去了), 此外確認包中的MTU協商信息也會被打印出來(nt: 確認包為相對于請求包的確認包, Maximum Transmission Unit, 最大傳輸單元).
如果 -v 選項被重復了三次(nt: 如-vvv), 那么AFS應用類型數據包的'安全索引'('security index')以及'服務索引'('service id')將會
被打印.
對于表示異常的數據包(nt: abort packet, 可理解為, 此包就是用來通知接受者某種異常已發生), tcpdump 會打印出錯誤號(error codes).
但對于Ubik beacon packets(nt: Ubik 燈塔指示包, Ubik可理解為特殊的通信協議, beacon packets, 燈塔數據包, 可理解為指明通信中
關鍵信息的一些數據包), 錯誤號不會被打印, 因為對于Ubik 協議, 異常數據包不是表示錯誤, 相反卻是表示一種肯定應答(nt: 即, yes vote).
AFS 請求數據量大, 參數也多, 所以要求tcpdump的 snaplen 比較大, 一般可通過啟動tcpdump時設置選項'-s 256' 來增大snaplen, 以
監測AFS 應用通信負載.
AFS 回應包并不顯示標識RPC 屬于何種遠程調用. 從而, tcpdump 會跟蹤最近一段時間內的請求包, 并通過call number(調用編號), service ID
(服務索引) 來匹配收到的回應包. 如果回應包不是針對最近一段時間內的請求包, tcpdump將無法解析該包.
KIP AppleTalk協議
(nt | rt: DDP in UDP可理解為, DDP, The AppleTalk Data Delivery Protocol,
相當于支持KIP AppleTalk協議棧的網絡層協議, 而DDP 本身又是通過UDP來傳輸的,
即在UDP 上實現的用于其他網絡的網絡層,KIP AppleTalk是蘋果公司開發的整套網絡協議棧).
AppleTalk DDP 數據包被封裝在UDP數據包中, 其解封裝(nt: 相當于解碼)和相應信息的轉儲也遵循DDP 包規則.
(nt:encapsulate, 封裝, 相當于編碼, de-encapsulate, 解封裝, 相當于解碼, dump, 轉儲, 通常就是指對其信息進行打印).
/etc/atalk.names 文件中包含了AppleTalk 網絡和節點的數字標識到名稱的對應關系. 其文件格式通常如下所示:
number name
1.254 ether
16.1 icsd-net
1.254.110 ace
頭兩行表示有兩個AppleTalk 網絡. 第三行給出了特定網絡上的主機(一個主機會用3個字節來標識,
而一個網絡的標識通常只有兩個字節, 這也是兩者標識的主要區別)(nt: 1.254.110 可理解為ether網絡上的ace主機).
標識與其對應的名字之間必須要用空白分開. 除了以上內容, /etc/atalk.names中還包含空行以及注釋行(以'#'開始的行).
AppleTalk 完整網絡地址將以如下格式顯示:
net.host.port
以下為一段具體顯示:
144.1.209.2 > icsd-net.112.220
office.2 > icsd-net.112.220
jssmag.149.235 > icsd-net.2
(如果/etc/atalk.names 文件不存在, 或者沒有相應AppleTalk 主機/網絡的條目, 數據包的網絡地址將以數字形式顯示).
在第一行中, 網絡144.1上的節點209通過2端口,向網絡icsd-net上監聽在220端口的112節點發送了一個NBP應用數據包
(nt | rt: NBP, name binding protocol, 名稱綁定協議, 從數據來看, NBP服務器會在端口2提供此服務.
'DDP port 2' 可理解為'DDP 對應傳輸層的端口2', DDP本身沒有端口的概念, 這點未確定, 需補充).
第二行與第一行類似, 只是源的全部地址可用'office'進行標識.
第三行表示: jssmag網絡上的149節點通過235向icsd-net網絡上的所有節點的2端口(NBP端口)發送了數據包.(需要注意的是,
在AppleTalk 網絡中如果地址中沒有節點, 則表示廣播地址, 從而節點標識和網絡標識最好在/etc/atalk.names有所區別.
nt: 否則一個標識x.port 無法確定x是指一個網絡上所有主機的port口還是指定主機x的port口).
tcpdump 可解析NBP (名稱綁定協議) and ATP (AppleTalk傳輸協議)數據包, 對于其他應用層的協議, 只會打印出相應協議名字(
如果此協議沒有注冊一個通用名字, 只會打印其協議號)以及數據包的大小.
NBP 數據包會按照如下格式顯示:
icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186
第一行表示: 網絡icsd-net 中的節點112 通過220端口向網絡jssmag 中所有節點的端口2發送了對'LaserWriter'的名稱查詢請求(nt:
此處名稱可理解為一個資源的名稱, 比如打印機). 此查詢請求的序列號為190.
第二行表示: 網絡jssmag 中的節點209 通過2端口向icsd-net.112節點的端口220進行了回應: 我有'LaserWriter'資源, 其資源名稱
為'RM1140', 并且在端口250上提供改資源的服務. 此回應的序列號為190, 對應之前查詢的序列號.
第三行也是對第一行請求的回應: 節點techpit 通過2端口向icsd-net.112節點的端口220進行了回應:我有'LaserWriter'資源, 其資源名稱
為'techpit', 并且在端口186上提供改資源的服務. 此回應的序列號為190, 對應之前查詢的序列號.
ATP 數據包的顯示格式如下:
jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002
第一行表示節點 Jssmag.209 向節點helios 發送了一個會話編號為12266的請求包, 請求helios
回應8個數據包(這8個數據包的順序號為0-7(nt: 順序號與會話編號不同, 后者為一次完整傳輸的編號,
前者為該傳輸中每個數據包的編號. transaction, 會話, 通常也被叫做傳輸)). 行尾的16進制數字表示
該請求包中'userdata'域的值(nt: 從下文來看, 這并沒有把所有用戶數據都打印出來 ).
Helios 回應了8個512字節的數據包. 跟在會話編號(nt: 12266)后的數字表示該數據包在該會話中的順序號.
括號中的數字表示該數據包中數據的大小, 這不包括atp 的頭部. 在順序號為7數據包(第8行)外帶了一個'*'號,
表示該數據包的EOM 標志被設置了.(nt: EOM, End Of Media, 可理解為, 表示一次會話的數據回應完畢).
接下來的第9行表示, Jssmag.209 又向helios 提出了請求: 順序號為3以及5的數據包請重新傳送. Helios 收到這個
請求后重新發送了這個兩個數據包, jssmag.209 再次收到這兩個數據包之后, 主動結束(release)了此會話.
在最后一行, jssmag.209 向helios 發送了開始下一次會話的請求包. 請求包中的'*'表示該包的XO 標志沒有被設置.
(nt: XO, exactly once, 可理解為在該會話中, 數據包在接受方只被精確地處理一次, 就算對方重復傳送了該數據包,
接收方也只會處理一次, 這需要用到特別設計的數據包接收和處理機制).
IP 數據包破碎
(nt: 指把一個IP數據包分成多個IP數據包)
碎片IP數據包(nt: 即一個大的IP數據包破碎后生成的小IP數據包)有如下兩種顯示格式.
(frag id:size@offset+)
(frag id:size@offset)
(第一種格式表示, 此碎片之后還有后續碎片. 第二種格式表示, 此碎片為最后一個碎片.)
id 表示破碎編號(nt: 從下文來看, 會為每個要破碎的大IP包分配一個破碎編號, 以便區分每個小碎片是否由同一數據包破碎而來).
size 表示此碎片的大小 , 不包含碎片頭部數據. offset表示此碎片所含數據在原始整個IP包中的偏移((nt: 從下文來看,
一個IP數據包是作為一個整體被破碎的, 包括頭和數據, 而不只是數據被分割).
每個碎片都會使tcpdump產生相應的輸出打印. 第一個碎片包含了高層協議的頭數據(nt:從下文來看, 被破碎IP數據包中相應tcp頭以及
IP頭都放在了第一個碎片中 ), 從而tcpdump會針對第一個碎片顯示這些信息, 并接著顯示此碎片本身的信息. 其后的一些碎片并不包含
高層協議頭信息, 從而只會在顯示源和目的之后顯示碎片本身的信息. 以下有一個例子: 這是一個從arizona.edu 到lbl-rtsg.arpa
途經CSNET網絡(nt: CSNET connection 可理解為建立在CSNET 網絡上的連接)的ftp應用通信片段:
arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
arizona > rtsg: (frag 595a:204@328)
rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560
有幾點值得注意:
第一, 第二行的打印中, 地址后面沒有端口號.
這是因為TCP協議信息都放到了第一個碎片中, 當顯示第二個碎片時, 我們無法知道此碎片所對應TCP包的順序號.
第二, 從第一行的信息中, 可以發現arizona需要向rtsg發送308字節的用戶數據, 而事實是, 相應IP包經破碎后會總共產生512字節
數據(第一個碎片包含308字節的數據, 第二個碎片包含204個字節的數據, 這超過了308字節). 如果你在查找數據包的順序號空間中的
一些空洞(nt: hole,空洞, 指數據包之間的順序號沒有上下銜接上), 512這個數據就足夠使你迷茫一陣(nt: 其實只要關注308就行,
不必關注破碎后的數據總量).
一個數據包(nt | rt: 指IP數據包)如果帶有非IP破碎標志, 則顯示時會在最后顯示'(DF)'.(nt: 意味著此IP包沒有被破碎過).
實用命令實例
參考:http://www.itshouce.com.cn/linux/linux-tcpdump.html
參考:調試利器之tcpdump詳解 - 博學無憂
示例:
協議的關鍵字,主要包括 fddi, ip, arp, rarp, tcp, udp 等類型 其他重要的關鍵字如下:gateway, broadcast, less, greater, 三種邏輯運算, 與運算是:and、&&或運算是:or、||非運算是:not、! 傳輸方向的關鍵字,主要包括 src, dst, dst or src, dst and src,發送到 80端口 的 數據包,用 dst port; #tcpdump –i eth0 host hostname and dst port 80 //目的端口是80 從80端口 返回 的 數據包,用 src port。#tcpdump –i eth0 host hostname and src port 80 // 源端口是80 一般是提供http的服務的主機 如果條件很多的話 要在條件之前加 and 或 or 或 not#tcpdump -i eth0 host ! 211.161.223.70 and ! 211.161.223.71 and dst port 80 如果在 ethernet 使用混雜模式 系統的日志將會記錄May 7 20:03:46 localhost kernel: eth0: Promiscuous mode enabled.May 7 20:03:46 localhost kernel: device eth0 entered promiscuous modeMay 7 20:03:57 localhost kernel: device eth0 left promiscuous modetcpdump //普通情況下,直接啟動 tcpdump 將監視第一個網絡接口上所有流過的數據包。 tcpdump -i eth1 //監聽網卡eth1上面的數據包。如果不指定網卡,默認tcpdump只會監視第一個網絡接口,一般是eth0。tcpdump -i eth0 tcpdump -i eth0 -v -n -v 顯示包含有TTL,TOS值等等更詳細的信息-n不要做IP解析為主機名-nn不做名字解析和端口解析 更有針對性的抓包: 針對IP,網段,端口,協議 [root@ ftp]# tcpdump -i eth0 -vnn host 192.168.0.154 [root@ ftp]# tcpdump -i eth0 -vnn net 192.168.0.0/24 [root@ ftp]# tcpdump -i eth0 -vnn port 22 [root@ ftp]# tcpdump -i eth0 -vnn udp [root@ ftp]# tcpdump -i eth0 -vnn icmp [root@ ftp]# tcpdump -i eth0 -vnn arp [root@ ftp]# tcpdump -i eth0 -vnn ip [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 [root@ ftp]# tcpdump -i eth0 -vnn dst host 192.168.0.154 [root@ ftp]# tcpdump -i eth0 -vnn src port 22 [root@ ftp]# tcpdump -i eth0 -vnn src host 202.106.0.254 and dst port 22 [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22 [root@ ftp]# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22 [root@ ftp]# tcpdump -i eth0 -vnn srchost192.168.0.2anddstport22 or srchost192.168.0.65anddstport80 [root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 tcp [root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 host 202.106.0.258 [root@ ~]# tcpdump -ieth0 -vnn -r /tmp/fil1 tcp [root@ ~]# tcpdump -ieth0 -vnn -w /tmp/fil1 -c 100tcpdump -i eth0 -w /tmp/eth0.cap // 抓eth0的包 tcpdump -i etho host 192.168.1.20 -w /tmp/temp.cap // 抓192.168.1.20的包 tcpdump -i etho host 192.168.1.20 and icmp -w /tmp/icmp.cap // 抓192.168.1.20的ICMP包// 抓192.168.1.20的除端口10000,10001,10002以外的其它包 tcpdump -i etho host 192.168.1.20 and ! port 10000 and ! port 10001 and ! port 10002 -w /tmp/port.cap tcpdump -i eth0 port 80 and vlan 1 -w /tmp/vlan.cap // 抓vlan 1的包 tcpdump -i eht0 pppoes -w /tmp/pppoe.cap // 抓pppoe的密碼 tcpdump -i eth0 -c 10000 -w /tmp/temp.cap // 抓eth0的包,抓到10000個包后退出 nohup tcpdump -i eth0 port 80 -w /tmp/temp.cap & // 在后臺抓eth0在80端口的包注意: 括號前的 反斜杠(即轉義符) 是必須的。如果不想使用 反斜杠(即轉義符),則可以使用 單引號 把 表達式 括起來, 就可以防止 shell 對其中的括號進行錯誤解析示例:tcpdump 'gateway snup and (port ftp or ftp-data)' // 打印所有通過網關snup的ftp數據包 監視指定主機的數據包tcpdump host sundown // 打印所有進入或離開sundown的數據包. tcpdump host 210.27.48.1 // 截獲所有210.27.48.1 的主機收到的和發出的所有的數據包 tcpdump host 210.27.48.1 and \(210.27.48.2 or 210.27.48.3 \) // 截獲主機210.27.48.1 和主機210.27.48.2或210.27.48.3的通信 tcpdump host helios and \( hot or ace \) // 打印helios 與 hot 或者與 ace 之間通信的數據包 tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) // 截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信 tcpdump ip host ace and not helios // 打印ace與任何其他主機之間通信的IP 數據包, 但不包括與helios之間的數據包. tcpdump ip host 210.27.48.1 and ! 210.27.48.2 // 獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包。 tcpdump -nn -n src host 192.168.228.246 and port 22 and tcp // 獲取主機192.168.228.246接收或發出的ssh包,并且不轉換主機名.// 獲取主機192.168.228.246接收或發出的ssh包,并把mac地址也一同顯示 tcpdump -e src host 192.168.228.246 and port 22 and tcp -n -nn// 過濾的是源主機為192.168.0.1與目的網絡為192.168.0.0的報頭 tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24 // 過濾源主機物理地址為XXX的報頭。(為什么ether src后面沒有host或者net?物理地址當然不可能有網絡嘍)。 tcpdump ether src 00:50:04:BA:9B and dst...... // 過濾源主機192.168.0.1和目的端口不是telnet的報頭,并導入到tes.t.txt文件中 Tcpdump src host 192.168.0.1 and dst port not telnet -l > test.txt tcpdump -i eth0 src host hostname // 截獲主機hostname發送的所有數據 tcpdump -i eth0 dst host hostname // 監視所有送到主機hostname的數據包監視指定主機和端口的數據包 tcpdump tcp port 23 and host 210.27.48.1 // 獲取主機210.27.48.1接收或發出的telnet包 tcpdump udp port 123 // 對本機的udp 123 端口進行監視 123 為ntp的服務端口監視指定網絡的數據包 tcpdump net ucb-ether // 打印本地主機與 Berkeley 網絡上的主機之間的所有通信數據包 解釋:ucb-ether, 此處可理解為'Berkeley網絡'的網絡地址,此表達式最原始的含義可表達為: 打印網絡地址為ucb-ether的所有數據包注意:ip icmp arp rarp 和 tcp、udp、icmp 這些選項等都要放到第一個參數的位置,用來過濾數據報的類型。打印所有源地址或目標地址是本地主機的IP數據包(如果本地網絡通過網關連到了另一網絡, 則另一網絡并不能算作本地網絡. (nt: 此句翻譯曲折,需補充).localnet 實際使用時要真正替換成本地網絡的名字) tcpdump ip and not net localnet監視指定協議的數據包打印TCP會話中的的開始和結束數據包, 并且數據包的源或目的不是本地網絡上的主機. (nt: localnet, 實際使用時要真正替換成本地網絡的名字)) tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'打印所有源或目的端口是80, 網絡層協議為IPv4, 并且含有數據, 而不是SYN, FIN以及ACK-only 等不含數據的數據包. (ipv6 的版本的表達式可做練習) tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' (nt: 可理解為, ip[2:2]表示整個ip數據包的長度, (ip[0]&0xf)<<2)表示ip數據包包頭的長度 (ip[0]&0xf代表包中的IHL域, 而此域的單位為32bit, 要換算成字節數需要乘以4, 即左移2. (tcp[12]&0xf0)>>4 表示tcp頭的長度, 此域的單位也是32bit, 換算成比特數為 ((tcp[12]&0xf0) >> 4) << 2,即 ((tcp[12]&0xf0)>>2). ((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0 表示: 整個ip數據包的長度減去ip頭的長度,再減去tcp頭的長度不為0, 這就意味著, ip數據包中確實是有數據.對于ipv6版本只需考慮ipv6頭中的'Payload Length' 與 'tcp頭的長度'的差值, 并且其中表達方式'ip[]'需換成'ip6[]'.)打印長度超過576字節, 并且網關地址是snup的IP數據包 tcpdump 'gateway snup and ip[2:2] > 576'打印所有IP層廣播或多播的數據包, 但不是物理以太網層的廣播或多播數據報 tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'打印除'echo request'或者'echo reply'類型以外的ICMP數據包( 比如,需要打印所有非ping 程序產生的數據包時可用到此表達式 . (nt: 'echo reuqest' 與 'echo reply' 這兩種類型的ICMP數據包通常由ping程序產生)) tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'######################################################################################### 1. 想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包:命令:#tcpdump host 210.27.48.12. 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中使用括號時,一定要 在括號前加 反斜杠)#tcpdump host 210.27.48.1 and /(210.27.48.2 or 210.27.48.3 /)3. 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:#tcpdump ip host 210.27.48.1 and ! 210.27.48.24. 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:#tcpdump tcp port 23 host 210.27.48.15. 對本機的udp 123 端口進行監視 123 為ntp的服務端口# tcpdump udp port 1236. 系統將只對名為hostname的主機的通信數據包進行監視。主機名可以是本地主機,也可以是網絡上的任何一臺計算機。下面的命令可以讀取主機hostname發送的所有數據: #tcpdump -i eth0 src host hostname7. 下面的命令可以監視所有送到主機hostname的數據包: #tcpdump -i eth0 dst host hostname8. 我們還可以監視通過指定網關的數據包: #tcpdump -i eth0 gateway Gatewayname9. 如果你還想監視編址到指定端口的TCP或UDP數據包,那么執行以下命令: #tcpdump -i eth0 host hostname and port 8010. 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:#tcpdump ip host 210.27.48.1 and ! 210.27.48.211. 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信,使用命令:(在命令行中適用 括號時,一定要#tcpdump host 210.27.48.1 and / (210.27.48.2 or 210.27.48.3 /)12. 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包,使用命令:#tcpdump ip host 210.27.48.1 and ! 210.27.48.213. 如果想要獲取主機210.27.48.1接收或發出的telnet包,使用如下命令:#tcpdump tcp port 23 host 210.27.48.1 #########################################################################################示例:
過濾主機 # tcpdump -i eth1 host 192.168.1.1 抓取所有經過 eth1,目的或源地址是 192.168.1.1 的網絡數據 # tcpdump -i eth1 src host 192.168.1.1 源地址 # tcpdump -i eth1 dst host 192.168.1.1 目的地址過濾端口 # tcpdump -i eth1 port 25 抓取所有經過 eth1,目的或源端口是 25 的網絡數據 # tcpdump -i eth1 src port 25 源端口 # tcpdump -i eth1 dst port 25 目的端口網絡過濾 # tcpdump -i eth1 net 192.168 # tcpdump -i eth1 src net 192.168 # tcpdump -i eth1 dst net 192.168協議過濾 # tcpdump -i eth1 arp # tcpdump -i eth1 ip # tcpdump -i eth1 tcp # tcpdump -i eth1 udp # tcpdump -i eth1 icmp常用表達式與 : &&、and或 : ||、or非 : !、not抓取所有經過 eth1,目的地址是 192.168.1.254 或 192.168.1.200 端口是 80 的 TCP 數據# tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'抓取所有經過 eth1,目標 MAC 地址是 00:01:02:03:04:05 的 ICMP 數據# tcpdump -i eth1 '((icmp) and ((ether dst host 00:01:02:03:04:05)))'抓取所有經過 eth1,目的網絡是 192.168,但目的主機不是 192.168.1.200 的 TCP 數據# tcpdump -i eth1 '((tcp) and ((dst net 192.168) and (not dst host 192.168.1.200)))'只抓 SYN 包# tcpdump -i eth1 'tcp[tcpflags] = tcp-syn'抓 SYN, ACK# tcpdump -i eth1 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0'抓 SMTP 數據# tcpdump -i eth1 '((port 25) and (tcp[(tcp[12]>>2):4] = 0x4d41494c))'抓取數據區開始為"MAIL"的包,"MAIL"的十六進制為 0x4d41494c。抓 HTTP GET 數據# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x47455420'"GET "的十六進制是 47455420抓 SSH 返回# tcpdump -i eth1 'tcp[(tcp[12]>>2):4] = 0x5353482D'"SSH-"的十六進制是 0x5353482D抓老版本的 SSH 返回信息,如"SSH-1.99.."# tcpdump -i eth1 '(tcp[(tcp[12]>>2):4] = 0x5353482D) and (tcp[((tcp[12]>>2)+4):2] = 0x312E)'抓 DNS 請求數據# tcpdump -i eth1 udp dst port 53其他-c 指定抓多少個包。當流量比較大的服務器,使用這個比較有用。# time tcpdump -nn -i eth0 'tcp[tcpflags] = tcp-syn' -c 10000 > /dev/null上面的命令計算抓 10000 個 SYN 包花費多少時間,可以判斷訪問量大概是多少。實時抓取端口號 8000 的 GET 包,然后寫入 GET.log tcpdump -i eth0 '((port 8000) and (tcp[(tcp[12]>>2):4]=0x47455420))' -nnAl -w /tmp/GET.log高級過濾技巧
高級過濾技巧:tcpdump高級過濾技巧_tcpdump過濾ip,tcpdump過濾-其它工具類資源-CSDN下載
首先了解如何從包頭過濾信息
proto[x:y] : 過濾從 x字節 開始的 y字節數。 比如 ip[2:2] 過濾出 3、 4 字節( 第一字節從0開始排)。
proto[x:y] & z = 0 : proto[x:y]和 z的與操作為0 proto[x:y] & z !=0 : proto[x:y]和 z的與操作不為0 proto[x:y] & z = z : proto[x:y]和 z的與操作為z proto[x:y] = z : proto[x:y]等于z 操作符 : >, <, >=, <=, =, !=IPv4 報文格式
tcpdump 與 wireshark
Wireshark (以前是 ethereal ) 是 Windows 下非常簡單易用的抓包工具。但在 Linux 下很難找到一個好用的圖形化抓包工具。
還好有 tcpdump。我們可以用 tcpdump + Wireshark 的完美組合實現:在 Linux 里抓包,然后在 Windows 里分析包。
tcpdump 對截獲的數據并沒有進行徹底解碼,數據包內的大部分內容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網絡故障,通常的解決辦法是先使用帶 -w 參數的 tcpdump 截獲數據并保存到文件中,然后再使用其他程序 (如 Wireshark) 進行解碼分析。當然也應該定義過濾規則,以避免捕獲的數據包填滿整個硬盤。
tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap- (1)? ? ?tcp: ip icmp arp rarp 和 tcp、udp、icmp這些選項等都要放到第一個參數的位置,用來過濾數據報的類型
- (2)? ? -i eth1 : 只抓經過接口eth1的包
- (3)? ? -t : 不顯示時間戳
- (4)? ? -s 0 : 抓取數據包時默認抓取長度為68字節。加上-S 0 后可以抓到完整的數據包
- (5)? ? -c 100 : 只抓取100個數據包
- (6)? ? dst port ! 22 : 不抓取目標端口是22的數據包
- (7)? ? src net 192.168.1.0/24 : 數據包的源網絡地址為192.168.1.0/24
- (8)? ? -w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
使用 tcpdump 抓取 HTTP包
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x48540x4745 為 "GET" 前兩個字母 "GE"
0x4854 為 "HTTP" 前兩個字母 "HT"
附錄:tcpdump 的 表達元
(nt: True 在以下的描述中含義為: 相應條件表達式中只含有以下所列的一個特定表達元, 此時表達式為真, 即條件得到滿足)
- dst host host? ??如果 IPv4/v6 數據包的目的域是 host,則與此對應的條件表達式為真。host 可以是一個ip地址, 也可以是一個主機名。
- src host host? ??如果 IPv4/v6 數據包的源域是 host,則與此對應的條件表達式為真。host 可以是一個ip地址, 也可以是一個主機名。
- host host? ??如果 IPv4/v6 數據包的源或目的地址是 host, 則與此對應的條件表達式為真。以上的幾個 host 表達式之前可以添加以下關鍵字:ip、arp、rarp 以及 ip6。比如:ip host host 也可以表達為:
ether proto \ip and host host? (nt: 這種表達方式在下面有說明,其中 ip 之前需要有 \ 來轉義,因為 ip 對 tcpdump 來說已經是一個關鍵字了。)? 如果 host 是一個擁有多個IP 的主機,那么任何一個地址都會用于包的匹配 (nt: 即發向 host 的數據包的目的地址可以是這幾個IP中的任何一個,?從 host 接收的數據包的源地址也可以是這幾個IP中的任何一個)。 - ether dst ehost? ??如果數據包(nt: 指tcpdump 可抓取的數據包, 包括ip 數據包, tcp數據包)的以太網目標地址是ehost,則與此對應的條件表達式為真. Ehost 可以是/etc/ethers 文件中的名字或一個數字地址(nt: 可通過 man ethers 看到對/etc/ethers 文件的描述, 樣例中用的是數字地址)
- ether src ehost? ??如果數據包的以太網源地址是ehost, 則與此對應的條件表達式為真.
- ether host ehost? ??如果數據包的以太網源地址或目標地址是ehost, 則與此對應的條件表達式為真.
- gateway host? ??如果數據包的網關地址是host, 則與此對應的條件表達式為真. 需要注意的是, 這里的網關地址是指以太網地址, 而不是IP 地址(nt | rt: I.e., 例如, 可理解為'注意'.the Ethernet source or destination address, 以太網源和目標地址, 可理解為, 指代上句中的'網關地址'?).host 必須是名字而不是數字, 并且必須在機器的'主機名-ip地址'以及'主機名-以太地址'兩大映射關系中 有其條目(前一映射關系可通過/etc/hosts文件, DNS 或 NIS得到, 而后一映射關系可通過/etc/ethers 文件得到. nt: /etc/ethers并不一定存在 , 可通過man ethers 看到其數據格式, 如何創建該文件, 未知,需補充).也就是說host 的含義是 ether host ehost 而不是 host host, 并且ehost必須是名字而不是數字.
目前, 該選項在支持IPv6地址格式的配置環境中不起作用(nt: configuration, 配置環境, 可理解為,通信雙方的網絡配置). - dst net net? ? ?如果數據包的目標地址(IPv4或IPv6格式)的網絡號字段為 net, 則與此對應的條件表達式為真.
net 可以是從網絡數據庫文件/etc/networks 中的名字, 也可以是一個數字形式的網絡編號.
一個數字IPv4 網絡編號將以點分四元組(比如,?192.168.1.0), 或點分三元組(比如,?192.168.1?), 或點分二元組(比如,?172.16), 或單一單元組(比如,?10)來表達;
對應于這四種情況的網絡掩碼分別是:四元組:255.255.255.255(這也意味著對net 的匹配如同對主機地址(host)的匹配:地址的四個部分都用到了),三元組:255.255.255.0, 二元組:?255.255.0.0, 一元組:255.0.0.0.
對于IPv6 的地址格式, 網絡編號必須全部寫出來(8個部分必須全部寫出來); 相應網絡掩碼為:
ff:ff:ff:ff:ff:ff:ff:ff, 所以IPv6 的網絡匹配是真正的'host'方式的匹配(nt | rt | rc:地址的8個部分都會用到,是否不屬于網絡的字節填寫0, 需接下來補充), 但同時需要一個網絡掩碼長度參數來具體指定前面多少字節為網絡掩碼(nt: 可通過下面的net net/len 來指定) - src net net? ? 如果數據包的源地址(IPv4或IPv6格式)的網絡號字段為 net, 則與此對應的條件表達式為真.
- net net? ? 如果數據包的源或目的地址(IPv4或IPv6格式)的網絡號字段為 net, 則與此對應的條件表達式為真.
- net net mask netmask? ? 如果數據包的源或目的地址(IPv4或IPv6格式)的網絡掩碼與netmask 匹配, 則與此對應的條件表達式為真.此選項之前還可以配合src和dst來匹配源網絡地址或目標網絡地址(nt: 比如 src net net mask?255.255.255.0).該選項對于ipv6 網絡地址無效.
- net net/len? ? 如果數據包的源或目的地址(IPv4或IPv6格式)的網絡編號字段的比特數與len相同, 則與此對應的條件表達式為真.此選項之前還可以配合src和dst來匹配源網絡地址或目標網絡地址(nt | rt | tt: src net net/24, 表示需要匹配源地址的網絡編號有24位的數據包).
- dst port port? ? 如果數據包(包括ip/tcp, ip/udp, ip6/tcp or ip6/udp協議)的目的端口為port, 則與此對應的條件表達式為真.port 可以是一個數字也可以是一個名字(相應名字可以在/etc/services 中找到該名字, 也可以通過man tcp 和man udp來得到相關描述信息 ). 如果使用名字, 則該名字對應的端口號和相應使用的協議都會被檢查. 如果只是使用一個數字端口號,則只有相應端口號被檢查(比如, dst port?513?將會使tcpdump抓取tcp協議的login 服務和udp協議的who 服務數據包, 而port domain 將會使tcpdump 抓取tcp協議的domain 服務數據包, 以及udp 協議的domain 數據包)(nt | rt: ambiguous name?is?used 不可理解, 需補充).
- src port port? ? 如果數據包的源端口為port, 則與此對應的條件表達式為真.
- port port? ? 如果數據包的源或目的端口為port, 則與此對應的條件表達式為真.
- dst portrange port1-port2? ? 如果數據包(包括ip/tcp, ip/udp, ip6/tcp or ip6/udp協議)的目的端口屬于port1到port2這個端口范圍(包括port1, port2), 則與此對應的條件表達式為真. tcpdump 對port1 和port2 解析與對port 的解析一致(nt:在dst port port 選項的描述中有說明).
- src portrange port1-port2? ? 如果數據包的源端口屬于port1到port2這個端口范圍(包括 port1, port2), 則與此對應的條件表達式為真.
- portrange port1-port2? ? 如果數據包的源端口或目的端口屬于port1到port2這個端口范圍(包括 port1, port2), 則與此對應的條件表達式為真.
- 以上關于port 的選項都可以在其前面添加關鍵字:tcp 或者udp, 比如:tcp src port port? 這將使 tcpdump 只抓取源端口是 port 的 tcp 數據包.
- less length? ? 如果數據包的長度比length 小或等于length, 則與此對應的條件表達式為真. 這與'len <= length'?的含義一致.
- greater length? ? 如果數據包的長度比length 大或等于length, 則與此對應的條件表達式為真. 這與'len >= length'?的含義一致.
- ip proto protocol? ? 如果數據包為ipv4數據包并且其協議類型為protocol, 則與此對應的條件表達式為真. Protocol 可以是一個數字也可以是名字, 比如:icmp6, igmp, igrp(nt: Interior Gateway Routing Protocol,內部網關路由協議), pim(Protocol Independent Multicast, 獨立組播協議, 應用于組播路由器),ah, esp(nt: ah, 認證頭, esp 安全負載封裝, 這兩者會用在IP包的安全傳輸機制中 ), vrrp(Virtual Router Redundancy Protocol, 虛擬路由器冗余協議), udp, or tcp. 由于tcp , udp 以及icmp是tcpdump 的關鍵字,所以在這些協議名字之前必須要用\來進行轉義(如果在C-shell 中需要用\\來進行轉義). 注意此表達元不會把數據包中協議頭鏈中所有協議頭內容全部打印出來(nt: 實際上只會打印指定協議的一些頭部信息, 比如可以用tcpdump -i eth0?'ip proto \tcp and host 192.168.3.144', 則只打印主機192.168.3.144?發出或接收的數據包中tcp 協議頭所包含的信息)
- ip6 proto protocol? ? 如果數據包為ipv6數據包并且其協議類型為protocol, 則與此對應的條件表達式為真。注意此表達元不會把數據包中協議頭鏈中所有協議頭內容全部打印出來
- ip6 protochain protocol? ? 如果數據包為ipv6數據包并且其協議鏈中包含類型為protocol協議頭, 則與此對應的條件表達式為真. 比如:ip6 protochain?6 將匹配其協議頭鏈中擁有TCP 協議頭的IPv6數據包.此數據包的IPv6頭和TCP頭之間可能還會包含驗證頭, 路由頭, 或者逐跳尋徑選項頭。由此所觸發的相應BPF(Berkeley Packets Filter, 可理解為, 在數據鏈路層提供數據包過濾的一種機制)代碼比較繁瑣,并且BPF優化代碼也未能照顧到此部分, 從而此選項所觸發的包匹配可能會比較慢。
- ip protochain protocol? ? 與? ? ip6 protochain protocol 含義相同,但這用在 IPv4 數據包。
- ether broadcast? ? 如果數據包是以太網廣播數據包, 則與此對應的條件表達式為真. ether 關鍵字是可選的.
- ip broadcast? ? 如果數據包是IPv4廣播數據包, 則與此對應的條件表達式為真. 這將使tcpdump 檢查廣播地址是否符合全0和全1的一些約定,并查找網絡接口的網絡掩碼(網絡接口為當時在其上抓包的網絡接口)。如果抓包所在網絡接口的網絡掩碼不合法, 或者此接口根本就沒有設置相應網絡地址和網絡, 亦或是在linux下的'any'網絡接口上抓包(此'any'接口可以收到系統中不止一個接口的數據包(nt: 實際上, 可理解為系統中所有可用的接口)),網絡掩碼的檢查不能正常進行.
- ether multicast? ? 如果數據包是一個以太網多點廣播數據包(nt: 多點廣播, 可理解為把消息同時傳遞給一組目的地址, 而不是網絡中所有地址,后者為可稱為廣播(broadcast)), 則與此對應的條件表達式為真. 關鍵字ether 可以省略. 此選項的含義與以下條件表達式含義一致:`ether[0] &?1?!=?0'(nt: 可理解為, 以太網數據包中第0個字節的最低位是1, 這意味這是一個多點廣播數據包).
- ip multicast? ? 如果數據包是ipv4多點廣播數據包, 則與此對應的條件表達式為真.
- ip6 multicast? ? 如果數據包是ipv6多點廣播數據包, 則與此對應的條件表達式為真.
ether proto protocol
如果數據包屬于以下以太協議類型, 則與此對應的條件表達式為真.
protocol 字段可以是一個數字或以下協議名之一:(?注意:標識符也是關鍵字時, 必須通過 '\' 來進行轉義)
- ip,
- ip6,
- arp,
- aarp? (nt: AppleTalk Address Resolution Protocol, AppleTalk網絡的地址解析協議),
- rarp,
- atalk? (AppleTalk網絡協議),
- aarp,
- decnet? (nt: 一個由DEC公司所提供的網絡協議棧),
- sca? ?(nt: 未知, 需補充),
- lat? (Local Area Transport, 區域傳輸協議, 由DEC公司開發的以太網主機互聯協議),
- mopdl,
- moprc,
- iso,
- stp? ( Spanning tree protocol, 生成樹協議, 可用于防止網絡中產生鏈接循環),
- ipx (nt: Internetwork Packet Exchange, Novell 網絡中使用的網絡層協議)
- netbeui? (nt: NetBIOS Extended User Interface,可理解為, 網絡基本輸入輸出系統接口擴展).
- ........
(SNAP:子網接入協議 (SubNetwork Access Protocol))
在光纖分布式數據網絡接口(其表達元形式可以是'fddi protocol arp'), 令牌環網(其表達元形式可以是'tr protocol arp'),
以及IEEE?802.11?無線局域網(其表達元形式可以是'wlan protocol arp')中, protocol
標識符來自802.2?邏輯鏈路控制層頭,
在FDDI, Token Ring 或?802.1頭中會包含此邏輯鏈路控制層頭.
當以這些網絡上的相應的協議標識為過濾條件時, tcpdump只是檢查LLC頭部中以0x000000為組成單元標識符(OUI,?0x000000
標識一個內部以太網)的一段'SNAP格式結構'中的protocol ID 域, 而不會管包中是否有一段OUI為0x000000的'SNAP格式
結構'(nt: SNAP, SubNetwork Access Protocol,子網接入協議 ). 以下例外:
iso tcpdump 會檢查LLC頭部中的DSAP域(Destination service Access Point, 目標服務接入點)和
SSAP域(源服務接入點).(nt: iso 協議未知, 需補充)
stp 以及 netbeui
tcpdump 將會檢查LLC 頭部中的目標服務接入點(Destination service Access Point);
atalk
tcpdump 將會檢查LLC 頭部中以0x080007 為OUI標識的'SNAP格式結構', 并會檢查AppleTalk etype域.
(nt: AppleTalk etype 是否位于SNAP格式結構中, 未知, 需補充).
此外, 在以太網中, 對于ether proto protocol 選項, tcpdump 會為 protocol 所指定的協議檢查
以太網類型域(the Ethernet type field), 但以下這些協議除外:
iso, stp, and netbeui
tcpdump 將會檢查802.3?物理幀以及LLC 頭(這兩種檢查與FDDI, TR,?802.11網絡中的相應檢查一致);
(nt:?802.3, 理解為IEEE?802.3, 其為一系列IEEE 標準的集合. 此集合定義了有線以太網絡中的物理層以及數據
鏈路層的媒體接入控制子層. stp 在上文已有描述)
atalk
tcpdump 將會檢查以太網物理幀中的AppleTalk etype 域 , 同時也會檢查數據包中LLC頭部中的'SNAP格式結構'
(這兩種檢查與FDDI, TR,?802.11網絡中的相應檢查一致)
aarp tcpdump 將會檢查AppleTalk ARP etype 域, 此域或存在于以太網物理幀中, 或存在于LLC(由802.2?所定義)的
'SNAP格式結構'中, 當為后者時, 該'SNAP格式結構'的OUI標識為0x000000;
(nt:?802.2, 可理解為, IEEE802.2, 其中定義了邏輯鏈路控制層(LLC), 該層對應于OSI 網絡模型中數據鏈路層的上層部分.
LLC 層為使用數據鏈路層的用戶提供了一個統一的接口(通常用戶是網絡層). LLC層以下是媒體接入控制層(nt: MAC層,
對應于數據鏈路層的下層部分).該層的實現以及工作方式會根據不同物理傳輸媒介的不同而有所區別(比如, 以太網, 令牌環網,
光纖分布數據接口(nt: 實際可理解為一種光纖網絡), 無線局域網(802.11), 等等.)
ipx tcpdump 將會檢查物理以太幀中的IPX etype域, LLC頭中的IPX DSAP域,無LLC頭并對IPX進行了封裝的802.3幀,
以及LLC 頭部'SNAP格式結構'中的IPX etype 域(nt | rt: SNAP frame, 可理解為, LLC 頭中的'SNAP格式結構'.
該含義屬初步理解階段, 需補充).
decnet src host
如果數據包中DECNET源地址為host, 則與此對應的條件表達式為真.
(nt:decnet, 由Digital Equipment Corporation 開發, 最早用于PDP-11?機器互聯的網絡協議)
decnet dst host
如果數據包中DECNET目的地址為host, 則與此對應的條件表達式為真.
(nt: decnet 在上文已有說明)
decnet host host
如果數據包中DECNET目的地址或DECNET源地址為host, 則與此對應的條件表達式為真.
(nt: decnet 在上文已有說明)
ifname?interface
如果數據包已被標記為從指定的網絡接口中接收的, 則與此對應的條件表達式為真.
(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
on?interface
與 ifname?interface?含義一致.
rnr num
如果數據包已被標記為匹配PF的規則, 則與此對應的條件表達式為真.
(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
rulenum num
與 rulenum num 含義一致.
reason code
如果數據包已被標記為包含PF的匹配結果代碼, 則與此對應的條件表達式為真.有效的結果代碼有: match, bad-offset,
fragment,?short, normalize, 以及memory.
(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
rset name
如果數據包已被標記為匹配指定的規則集, 則與此對應的條件表達式為真.
(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
ruleset name
與 rset name 含義一致.
srnr num
如果數據包已被標記為匹配指定的規則集中的特定規則(nt: specified PF rule number, 特定規則編號, 即特定規則),
則與此對應的條件表達式為真.(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為
OpenBSD中的防火墻程序))
subrulenum num
與 srnr 含義一致.
action act
如果包被記錄時PF會執行act指定的動作, 則與此對應的條件表達式為真. 有效的動作有: pass, block.
(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
ip, ip6, arp, rarp, atalk, aarp, decnet, iso, stp, ipx, netbeui
與以下表達元含義一致:
ether proto p
p是以上協議中的一個.
lat, moprc, mopdl
與以下表達元含義一致:
ether proto p
p是以上協議中的一個. 必須要注意的是tcpdump目前還不能分析這些協議.
vlan [vlan_id]
如果數據包為IEEE802.1Q VLAN 數據包, 則與此對應的條件表達式為真.
(nt: IEEE802.1Q VLAN, 即IEEE802.1Q 虛擬網絡協議, 此協議用于不同網絡的之間的互聯).
如果[vlan_id] 被指定, 則只有數據包含有指定的虛擬網絡id(vlan_id), 則與此對應的條件表達式為真.
要注意的是, 對于VLAN數據包, 在表達式中遇到的第一個vlan關鍵字會改變表達式中接下來關鍵字所對應數據包中數據的
開始位置(即解碼偏移). 在VLAN網絡體系中過濾數據包時, vlan [vlan_id]表達式可以被多次使用. 關鍵字vlan每出現一次都會增加
4字節過濾偏移(nt: 過濾偏移, 可理解為上面的解碼偏移).
例如:
vlan?100?&& vlan?200
表示: 過濾封裝在VLAN100中的VLAN200網絡上的數據包
再例如:
vlan && vlan?300?&& ip
表示: 過濾封裝在VLAN300 網絡中的IPv4數據包, 而VLAN300網絡又被更外層的VLAN封裝
mpls [label_num]
如果數據包為MPLS數據包, 則與此對應的條件表達式為真.
(nt: MPLS, Multi-Protocol Label Switch, 多協議標簽交換, 一種在開放的通信網上利用標簽引導數據傳輸的技術).
如果[label_num] 被指定, 則只有數據包含有指定的標簽id(label_num), 則與此對應的條件表達式為真.
要注意的是, 對于內含MPLS信息的IP數據包(即MPLS數據包), 在表達式中遇到的第一個MPLS關鍵字會改變表達式中接下來關鍵字所對應數據包中數據的
開始位置(即解碼偏移). 在MPLS網絡體系中過濾數據包時, mpls [label_num]表達式可以被多次使用. 關鍵字mpls每出現一次都會增加
4字節過濾偏移(nt: 過濾偏移, 可理解為上面的解碼偏移).
例如:
mpls?100000?&& mpls?1024
表示: 過濾外層標簽為100000 而層標簽為1024的數據包
再如:
mpls && mpls?1024?&& host?192.9.200.1
表示: 過濾發往或來自192.9.200.1的數據包, 該數據包的內層標簽為1024, 且擁有一個外層標簽.
pppoed
如果數據包為PPP-over-Ethernet的服務器探尋數據包(nt: Discovery packet,
其ethernet type 為0x8863),則與此對應的條件表達式為真.
(nt: PPP-over-Ethernet, 點對點以太網承載協議, 其點對點的連接建立分為Discovery階段(地址發現) 和
PPPoE 會話建立階段 , discovery 數據包就是第一階段發出來的包. ethernet type
是以太幀里的一個字段,用來指明應用于幀數據字段的協議)
pppoes
如果數據包為PPP-over-Ethernet會話數據包(nt: ethernet type 為0x8864, PPP-over-Ethernet在上文已有說明, 可搜索
關鍵字'PPP-over-Ethernet'找到其描述), 則與此對應的條件表達式為真.
要注意的是, 對于PPP-over-Ethernet會話數據包, 在表達式中遇到的第一個pppoes關鍵字會改變表達式中接下來關鍵字所對應數據包中數據的
開始位置(即解碼偏移).
例如:
pppoes && ip
表示: 過濾嵌入在PPPoE數據包中的ipv4數據包
tcp, udp, icmp
與以下表達元含義一致:
ip proto p or ip6 proto p
其中p 是以上協議之一(含義分別為: 如果數據包為ipv4或ipv6數據包并且其協議類型為 tcp,udp, 或icmp則與此對
應的條件表達式為真)
iso proto protocol
如果數據包的協議類型為iso-osi協議棧中protocol協議, 則與此對應的條件表達式為真.(nt: [初解]iso-osi 網絡模型中每
層的具體協議與tcp/ip相應層采用的協議不同. iso-osi各層中的具體協議另需補充 )
protocol 可以是一個數字編號, 或以下名字中之一:
clnp, esis, or isis.
(nt: clnp, Connectionless Network Protocol, 這是OSI網絡模型中網絡層協議 , esis, isis 未知, 需補充)
clnp, esis, isis
是以下表達的縮寫
iso proto p
其中p 是以上協議之一
l1, l2, iih, lsp, snp, csnp, psnp
為IS-IS PDU 類型 的縮寫.
(nt: IS-IS PDU, Intermediate system to intermediate system Protocol Data Unit, 中間系統到
中間系統的協議數據單元. OSI(Open Systems Interconnection)網絡由終端系統, 中間系統構成.
終端系統指路由器, 而終端系統指用戶設備. 路由器形成的本地組稱之為'區域'(Area)和多個區域組成一個'域'(Domain).
IS-IS 提供域內或區域內的路由. l1, l2, iih, lsp, snp, csnp, psnp 表示PDU的類型, 具體含義另需補充)
vpi n
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 ,
如果數據包為ATM數據包, 并且其虛擬路徑標識為n, 則與此對應的條件表達式為真.
(nt: ATM, Asychronous Transfer Mode, 實際上可理解為由ITU-T(國際電信聯盟電信標準化部門)提出的一個與
TCP/IP中IP層功能等同的一系列協議, 具體協議層次另需補充)
vci n
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 ,
如果數據包為ATM數據包, 并且其虛擬通道標識為n, 則與此對應的條件表達式為真.
(nt: ATM, 在上文已有描述)
lane
如果數據包為ATM LANE 數據包, 則與此對應的條件表達式為真. 要注意的是, 如果是模擬以太網的LANE數據包或者
LANE邏輯單元控制包, 表達式中第一個lane關鍵字會改變表達式中隨后條件的測試. 如果沒有
指定lane關鍵字, 條件測試將按照數據包中內含LLC(邏輯鏈路層)的ATM包來進行.
llc
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 ,
如果數據包為ATM數據包, 并且內含LLC則與此對應的條件表達式為真
oamf4s
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是Segment OAM F4 信元(VPI=0?并且 VCI=3), 則與此對應的條件表達式為真.
(nt: OAM, Operation Administration and Maintenance, 操作管理和維護,可理解為:ATM網絡中用于網絡
管理所產生的ATM信元的分類方式.
ATM網絡中傳輸單位為信元, 要傳輸的數據終究會被分割成固定長度(53字節)的信元,
(初理解: 一條物理線路可被復用, 形成虛擬路徑(virtual?path). 而一條虛擬路徑再次被復用, 形成虛擬信道(virtual?channel)).
通信雙方的編址方式為:虛擬路徑編號(VPI)/虛擬信道編號(VCI)).
OAM F4 flow 信元又可分為segment 類和end-to-end 類, 其區別未知, 需補充.)
oamf4e
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是 end-to-end OAM F4 信元(VPI=0?并且 VCI=4), 則與此對應的條件表達式為真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)
oamf4
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0?并且 VCI=3?或者 VCI=4), 則與此對應的條件表達式為真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)
oam
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0?并且 VCI=3?或者 VCI=4), 則與此對應的條件表達式為真.
(nt: 此選項與oamf4重復, 需確認)
metac
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'元信令線路'(nt: VPI=0?并且 VCI=1,?'元信令線路', meta signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
bcc
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'廣播信令線路'(nt: VPI=0?并且 VCI=2,?'廣播信令線路', broadcast signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
sc
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'信令線路'(nt: VPI=0?并且 VCI=5,?'信令線路', signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
ilmic
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'ILMI線路'(nt: VPI=0?并且 VCI=16,?'ILMI', Interim Local Management Interface , 可理解為
基于SNMP(簡易網絡管理協議)的用于網絡管理的接口)
則與此對應的條件表達式為真.
connectmsg
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'信令線路'并且是Q.2931協議中規定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式為真.
(nt: Q.2931?為ITU(國際電信聯盟)制定的信令協議. 其中規定了在寬帶綜合業務數字網絡的用戶接口層建立, 維護, 取消
網絡連接的相關步驟.)
metaconnect
如果數據包為ATM數據包, 則與此對應的條件表達式為真. 對于Solaris 操作系統上的SunATM設備 , 如果數據包為ATM數據包
并且是來自'元信令線路'并且是Q.2931協議中規定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式為真.
expr relop expr
如果relop 兩側的操作數(expr)滿足relop 指定的關系, 則與此對應的條件表達式為真.
relop 可以是以下關系操作符之一: >, <, <=, =, !=.
expr 是一個算術表達式. 此表達式中可使用整型常量(表示方式與標準C中一致), 二進制操作符(+, -, *, /, &, |,
<<, >>), 長度操作符, 以及對特定數據包中數據的引用操作符. 要注意的是, 所有的比較操作都默認操作數是無符號的,
例如,?0x80000000?和?0xffffffff?都是大于0的(nt: 對于有符號的比較, 按照補碼規則,?0xffffffff
會小于0). 如果要引用數據包中的數據, 可采用以下表達方式:
proto [expr : size]
proto 的取值可以是以下取值之一:ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp,
tcp, udp, icmp, ip6 或者 radio. 這指明了該引用操作所對應的協議層.(ether, fddi, wlan,
tr, ppp, slip and link 對應于數據鏈路層, radio 對應于802.11(wlan,無線局域網)某些數據包中的附帶的
"radio"頭(nt: 其中描述了波特率, 數據加密等信息)).
要注意的是, tcp, udp 等上層協議目前只能應用于網絡層采用為IPv4或IPv6協議的網絡(此限制會在tcpdump未來版本中
進行修改). 對于指定協議的所需數據, 其在包數據中的偏移字節由expr 來指定.
以上表達中size 是可選的, 用來指明我們關注那部分數據段的長度(nt:通常這段數據
是數據包的一個域), 其長度可以是1,?2, 或4個字節. 如果不給定size, 默認是1個字節. 長度操作符的關鍵字為len,
這代碼整個數據包的長度.
例如,?'ether[0] & 1 != 0'?將會使tcpdump 抓取所有多點廣播數據包.(nt: ether[0]字節的最低位為1表示
數據包目的地址是多點廣播地址).?'ip[0] & 0xf != 5'?對應抓取所有帶有選項的
IPv4數據包.?'ip[6:2] & 0x1fff = 0'對應抓取沒被破碎的IPv4數據包或者
其片段編號為0的已破碎的IPv4數據包. 這種數據檢查方式也適用于tcp和udp數據的引用,
即, tcp[0]對應于TCP 頭中第一個字節, 而不是對應任何一個中間的字節.
一些偏移以及域的取值除了可以用數字也可用名字來表達. 以下為可用的一些域(協議頭中的域)的名字: icmptype (指ICMP 協議頭
中type域), icmpcode (指ICMP 協議頭code 域), 以及tcpflags(指TCP協議頭的flags 域)
以下為ICMP 協議頭中type 域的可用取值:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply,
icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
以下為TCP 協議頭中flags 域的可用取值:tcp-fin, tcp-syn, tcp-rst, tcp-push,
tcp-ack, tcp-urg.
總結
以上是生活随笔為你收集整理的tcpdump - 数据包进行截获的包分析工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: TCP 连接状态
- 下一篇: Python3 函数注释: 参数 中 的