Tcpdump - לינוקס קאַמאַנד - Unix Command

NAME

tcpdump - דאַמפּ פאַרקער אויף אַ נעץ

SYNOPSIS

tcpdump [ -adeflnNOpqRStuvxX ] [ -c ]

[ -C file_size ] [ -F טעקע ]

[ -i interface ] [ -m module ] [ -r file ]

[ -s snaplen ] [ -T טיפּ ] [ -ן באַניצער ] [ -וו טעקע ]

[ -E algo: secret ] [ expression ]

DESCRIPTION

טקפּדומפּ פּרינץ אויס די כעדערז פון פּאַקיץ אויף אַ נעץ צובינד וואָס גלייַכן די באָאָלעאַן אויסדרוק . עס קען אויך זיין פליסנדיק מיט די -וו פאָן, וואָס זייַנען עס צו ראַטעווען די פּאַקאַט דאַטן צו אַ טעקע פֿאַר שפּעטער אַנאַליסיס, און / אָדער מיט די -ר פאָן, וואָס זעט עס צו לייענען פון אַ ראַטעווען פּאַקאַט טעקע אלא ווי צו לייענען פּאַקיץ פון אַ נעץ צובינד. אין אַלע קאַסעס, בלויז פּאַקיץ אַז גלייַכן אויסדרוק וועט זיין פּראַסעסט דורך טקפּדומפּ .

טקפּדומפּ וועט, אויב ניט לויפן מיט די -ק פאָן, פאָרזעצן קאַפּטשערינג פּאַקיץ ביז עס איז ינטעראַפּטיד דורך אַ סיגינט סיגנאַל (דזשענערייטאַד, פֿאַר בייַשפּיל, דורך טייפּינג דיין ינטעראַפּראַוט כאַראַקטער, טיפּיש קאָנטראָל-C) אָדער אַ סיגטערם סיגנאַל (טיפּיקלי דזשענערייטאַד מיט די טייטן (1) באַפֿעל); אויב לויפן מיט די -ק פאָן, עס וועט כאַפּן פּאַקיץ ביז עס איז ינטעראַפּטיד דורך אַ סיגינט אָדער סיגטערם סיגנאַל אָדער די ספּעסאַפייד נומער פון פּאַקיץ האָבן שוין פּראַסעסט.

ווען טקפּדומפּ פינישעס קאַפּטשערינג פּאַקיץ, עס וועט מעלדונג קאַונץ פון:

פּאַקיץ `` באקומען דורך פילטער '' (דער טייַטש פון דעם דעפּענדס אויף די אַס וואָס איר'ט אַרבעטן טקפּדומפּ , און עפשער אויף די וועג די אַס איז קאַנפיגיערד - אויב אַ פילטער איז ספּעסאַפייד אויף די באַפֿעלן שורה, אויף עטלעכע אָסעס עס קאַונץ פּאַקיץ ראַגאַרדלאַס פון צי זיי זענען געווען מאַטשט דורך די פילטער אויסדרוק, און אויף אנדערע אָסעס עס קאַונץ בלויז פּאַקיץ וואָס זענען געווען מאַטשט דורך די פילטער אויסדרוק און זענען פּראַסעסט דורך טקפּדומפּ );

פּאַקיץ `` dropped by kernel '' (דאָס איז די נומער פון פּאַקיץ וואָס זענען געפאלן, רעכט צו אַ פעלן פון באַפער פּלאַץ, דורך די פּאַקאַט כאַפּן מעקאַניזאַם אין די אַס וואָס טקפּדומפּ איז פליסנדיק, אויב די אַס מעלדעט אַז אינפֿאָרמאַציע צו אַפּלאַקיישאַנז; אויב ניט, עס וועט זיין געמאלדן ווי 0).

אויף פּלאַטפאָרמס וואָס שטיצן די סיגינפאָ סיגנאַל, אַזאַ ווי רובֿ בסדס, עס וועט באַריכט די קאַונץ ווען עס באקומט אַ סיגינפאָ סיגנאַל (דזשענערייטאַד, פֿאַר בייַשפּיל, דורך טייפּינג דיין `` סטאַטוס '' כאַראַקטער, טיפּיקאַללי קאָנטראָל-ט) און וועט פאָרזעצן קאַפּטשערינג פּאַקיץ .

לייענען פּאַקיץ פון אַ נעץ צובינד קען דאַרפן אַז איר האָבן ספּעציעל פּריווילאַדזשאַז:

אונטער SunOS 3.x אָדער 4.x מיט NIT אָדער BPF:

איר מוזן האָבן לייענען צוטריט צו / dev / nit אָדער / dev / bpf * .

אונטער סאָלאַריס מיט דלפּי:

איר מוזן האָבן לייענען / שרייַבן צוטריט צו די נעץ פּסעוודאָ מיטל, למשל / דעוו / לע . אויף לפּחות עטלעכע ווערסיעס פון סאָלאַריס, אָבער, דאָס איז ניט גענוג צו לאָזן טקפּדומפּ צו כאַפּן אין פּראַמיסקיואַס מאָדע; אויף די ווערסיעס פון סאָלאַריס, איר מוזן זיין וואָרצל, אָדער טקפּדומפּ מוזן זיין אינסטאַלירן סעטויד צו וואָרצל, אין סדר צו כאַפּן אין פּראַמיסקיואַס מאָדע. באַמערקונג אַז, אין פילע (טאָמער אַלע) ינטערפייסיז, אויב איר טאָן ניט כאַפּן אין פּראַמיסקיואַס מאָדע, איר וועט ניט זען קיין אַוטגאָוינג פּאַקיץ, אַזוי אַ כאַפּן נישט געטאן אין פּראַמיסקיואַס מאָדע קען נישט זיין זייער נוצלעך.

אונטער HP-UX מיט DLPI:

איר מוזן זיין וואָרצל אָדער טקפּדומפּ מוזן זיין אינסטאַלירן סעטויד צו וואָרצל.

אונטער יריקס מיט סנאָאָפּ:

איר מוזן זיין וואָרצל אָדער טקפּדומפּ מוזן זיין אינסטאַלירן סעטויד צו וואָרצל.

אונטער לינוקס:

איר מוזן זיין וואָרצל אָדער טקפּדומפּ מוזן זיין אינסטאַלירן סעטויד צו וואָרצל.

אונטער ולטריקס און דיגיטאַל יוניקס / טרו 64 יוניקס:

קיין באַניצער קען כאַפּן נעץ פאַרקער מיט טקפּדומפּ . אָבער, קיין באַניצער (נישט אַפֿילו די סופּער-באַניצער) קענען כאַפּן אין פּראַמיסקיואַס מאָדע אויף אַ צובינד סייַדן די סופּער-באַניצער האט ינייבאַלד פּראַמיסקיואַס-מאָדע אָפּעראַציע אויף אַז צובינד ניצן פּפקאָנפיג (8), און קיין באַניצער (נישט אַפֿילו די יבער באַניצער ) קענען כאַפּן וניקאַסט פאַרקער באקומען דורך אָדער געשיקט דורך די מאַשין אויף אַ צובינד, אויב די סופּער באַניצער האט ינייבאַלד אַלע-מאָדע אָפּעראַציע אויף דעם צובינד ניצן פּפקאָנפיג , אַזוי נוציק פּאַקאַט כאַפּן אויף אַ צובינד מיסטאָמע ריקווייערז אַז אָדער פּראַמיסקיואַס מאָדע אָדער קאָפּיע -איר-מאָדע אָפּעראַציע, אָדער ביידע מאָדעס פון אָפּעראַציע, זיין ענייבאַלד אויף אַז צובינד.

אונטער BSD:

איר מוזן האָבן לייענען צוטריט צו / dev / bpf * .

לייענען אַ ראַטעווען פּאַקאַט טעקע טוט נישט דאַרפן ספּעציעל פּריווילאַדזשאַז.

אָפּציעס

-a

פּרווון צו בייַטן נעץ און בראָדקאַסט ווענדט צו נעמען.

-c

אַרויסגאַנג נאָך באקומען ציילן פּאַקיץ.

-C

איידער שרייבן אַ רוי פּאַקאַט צו אַ ראַטעווען טעקע, טשעק אויב די טעקע איז דערווייַל גרעסערע ווי טעקע_סיזע, און אויב אַזוי, נאָענט דעם קראַנט סיספיפילע און עפענען אַ נייַ איינער. Savefiles נאָך דער ערשטער סיסעפילע וועט האָבן די נאָמען ספּעסאַפייד מיט די -וו פאָן, מיט אַ נומער נאָך עס, סטאַרטינג בייַ 2 און פאָרזעצן אַרויף. די וניץ פון פילע_סייז זענען מיליאַנז פון ביטעס (1,000,000 ביטעס, ניט 1,048,576 ביטעס).

-ד

דאַמפּ די קאַמפּיילד פּאַקאַט-ריכטן קאָד אין אַ מענטשלעך ליינעוודיק פאָרעם צו נאָרמאַל רעזולטאַט און האַלטן.

-דד

דאַמפּ פּאַקאַט-ריכטן קאָד ווי אַ C פראגראם פראַגמענט.

-דדד

דאַמפּ פּאַקאַט-ריכטן קאָד ווי דעצימאַל נומערן (פּריסטיד מיט אַ ציילן).

-e

דרוק דעם לינק-הייך כעדער אויף יעדער דאַמפּ שורה.

-E

ניצן אַלגאָ: סוד פֿאַר דעקריפּטינג יפּסעק עספּ פּאַקיץ. אַלגערידאַמז קענען זיין דעסקבק , 3 דס-קבק , בלאָופפיש-קבק , רק3-קבק , cast128-קבק , אָדער גאָרניט . די פעליקייַט איז דעס-קבק . די פיייקייַט צו דעקריפּט פּאַקיץ איז בלויז פאָרשטעלן אויב טקפּדומפּ איז געווען קאַליע מיט קריפּטאָגראַפי ענייבאַלד. פּרוּווט די שליסל אַרטיקלען פֿאַר עספּ שליסל שליסל. מיר קענען נישט נעמען אַבי ביינערי ווערט אין דעם מאָמענט. די אָפּציע אַסומז RFC2406 ESP, ניט RFC1827 ESP. די אָפּציע איז בלויז פֿאַר דיבאַגינג צוועקן, און די נוצן פון דעם אָפּציע מיט באמת `סוד 'שליסל איז דיסקערידזשד. דורך פּריזענטינג יפּסי סעקרעט שליסל אַנטו באַפֿעלן ליניע איר מאַכן עס קענטיק צו אנדערע, דורך פּס (1) און אנדערע מאל.

-f

דרוק 'פרעמד' אינטערנעט ווענדט נומעריקלי אלא ווי סימבאַליקלי (דעם אָפּציע איז בדעה צו באַקומען אַרום ערנסט מאַרך שעדיקן אין Sun ס יפּס סערווער --- יוזשאַוואַלי עס כאַנגז אויף אייביק איבערזעצן ניט-היגע אינטערנעץ נומערן).

-F

ניצן טעקע ווי די אַרייַנשרייַב פֿאַר די פילטער אויסדרוק. אַן נאָך אויסדרוק געגעבן אויף די באַפֿעלן שורה איז איגנאָרירט.

-i

הערן אויף צובינד . אויב ניט ספּעסאַפייד, tcpdump searches the system interface list for the lowest numbered, configured up interface (excluding loopback). טיעס זענען צעבראכן דורך טשוזינג די ערליאַסט גלייַכן.

אויף לינוקס סיסטעמס מיט 2.2 אָדער שפּעטער קערנאַלז, אַן צובינד אַרגומענט פון `` קיין '' קענען זיין געניצט צו כאַפּן פּאַקיץ פון אַלע ינטערפייסיז. באַמערקונג אַז קאַפּטשערז אויף די `` קיין '' מיטל וועט נישט זיין געטאן אין פּראַמיסקיואַס מאָדע.

-l

מאַכן סטדאָוט שורה באַפערד. נוציק אויב איר ווילן צו זען די דאַטן בשעת קאַפּטשערינג עס. Eg,
`` tcpdump -l | ביטע טאָן אַז '' אָדער '`tcpdump -l> dat & tail -f dat' '.

-m

מאַסע סמי מיב מאָדולע זוך פון טעקע מאָדולע . דעם אָפּציע קענען זיין געניצט עטלעכע מאל צו מאַסע עטלעכע מיב מאַדזשולז אין טקפּדומפּ .

-ן

דו זאלסט נישט גער הערות ווענדט צו נעמען. דעם קענען זיין געניצט צו ויסמייַדן דנס לוקאַפּס.

-ן

דו זאלסט נישט גער פּראָטאָקאָל און פּאָרט נומערן אאז"וו צו נעמען אויך.

-N

דו זאלסט נישט דרוקן פעלד נאָמען קוואַליפיקאַציע פון ​​באַלעבאָס נעמען. למשל, אויב איר געבן דעם פאָן, tcpdump וועט דרוקן `` ניק '' אַנשטאָט פון `` nic.ddn.mil ''.

-O

דו זאלסט נישט לויפן די פּאַקאַט-ריכטן קאָד אָפּטימיזער. דאָס איז נוציק נאָר אויב איר כאָשעד אַ זשוק אין די אָפּטימיזער.

-פּ

דו זאלסט נישט שטעלן די צובינד אין פּראַמיסקיואַס מאָדע. באַמערקונג אַז די צובינד זאל זיין אין פּראַמיסקיואַס מאָדע פֿאַר עטלעכע אנדערע סיבה; דעריבער, `-פּ 'קענען נישט זיין געניצט ווי אַ אַבריווייישאַן פֿאַר` עטהער באַלעבאָס {היגע-הוו-אַדדר} אָדער יטער בראָדקאַסט'.

-q

שנעל (שטיל?) פּראָדוקציע. דרוק ווייניקער פּראָטאָקאָל אינפֿאָרמאַציע אַזוי רעזולטאַט שורות זענען קירצער.

-R

יבערנעמען עספּ / אַה פּאַקיץ צו זיין באזירט אויף אַלט באַשרייַבונג (רפק 1825 צו רפק 1829). אויב ספּעסאַפייד, tcpdump וועט נישט דרוקן רעפּלייַ פאַרהיטונג פעלד. זינט עס איז קיין פּראָטאָקאָל ווערסיע פעלד אין עספּ / אַה באַשרייַבונג, טקפּדומפּ קענען נישט פאַרשאַפן די ווערסיע פון ​​עספּ / אַה פּראָטאָקאָל.

-r

לייענען פּאַקיץ פון טעקע (וואָס איז באשאפן מיט די-וו אָפּציע). נאָרמאַל אַרייַנשרייַב איז געניצט אויב טעקע איז `` - ''.

-S

דרוק אַבסאָלוט, אלא ווי קאָרעוו, טקפּ סיקוואַנס נומערן.

-ס

Snarf snaplen bytes פון דאַטן פון יעדער פּאַקאַט גאַנץ ווי די פעליקייַט פון 68 (מיט SunOS's NIT, די מינימום איז פאקטיש 96). 68 בייטעס איז טויגעוודיק פֿאַר יפּ, יקמפּ, טקפּ און ודפּ אָבער קען טראַנגקייטירן פּראָטאָקאָל אינפֿאָרמאַציע פון ​​נאָמען סערווער און נפס פּאַקיץ (זען ווייטער). פּאַקקאַץ טרונקאַטעד ווייַל פון אַ לימיטעד סנאַפּשאָט זענען אנגעוויזן אין דער רעזולטאַט מיט `` [| פּראָטאָ ] '', ווו פּראָטאָ איז די נאָמען פון די פּראָטאָקאָל מדרגה אין וואָס די כייפּאַטאַסי איז פארגעקומען. באַמערקונג אַז גענומען גרעסערע סנאַפּשאַץ ביידע ינקריסאַז די סומע פון ​​צייַט עס נעמט צו פּראָצעס פּאַקיץ און, יפעקטיוולי, דיקריסאַז די סומע פון ​​פּאַקאַט באַפערינג. דעם קען פאַרשאַפן פּאַקיץ צו זיין פאַרפאַלן. איר זאָל באַגרענעצן סנאַפּלאַן צו דער קלענסטער נומער וואָס וועט כאַפּן דעם פּראָטאָקאָל אינפֿאָרמאַציע איר זענט אינטערעסירט אין. באַשטעטיקן סנאַפּלאַן צו 0 מיטל ניצן די פארלאנגט לענג צו כאַפּן גאַנץ פּאַקיץ.

-T

קראַפט פּאַקיץ אויסגעקליבן דורך " אויסדרוק " צו זיין ינטערפּראַטאַד די ספּעסאַפייד טיפּ . קקטוו (רימאָוט פּראַסידזשער רופן), רטפּ (רעאַל-צייט אַפּפּליקאַטיאָנס פּראָטאָקאָל), רטקפּ (רעאַל-צייט אַפּפּליקאַטיאָנס קאָנטראָל פּראָטאָקאָל), סנמפּ (פּשוט נעטוואָרק מאַנאַגעמענט פּראָטאָקאָל), וואַט (וויסואַל אַודיאָ געצייַג ), און ווב (פונאנדערגעטיילט ווייַס באָרד).

-t

דו זאלסט נישט דרוקן אַ טימעסטאַמפּ אויף יעדער דאַמפּ שורה.

-טט

דרוקן אַן אַנפאָרמאַטעד טימעסטאַמפּ אויף יעדער דאַמפּ שורה.

-U

דראָפּס וואָרצל פּריווילאַדזשאַז און ענדערונגען באַניצער שייַן צו באַניצער און גרופּע שייַן צו די ערשטיק גרופּע פון באַניצער .

נאטיץ! רעד האַט לינוקס אויטאָמאַטיש טראפנס די פּריווילאַדזשאַז צו באַניצער `` פּקאַפּ '' אויב גאָרנישט אַנדערש איז ספּעסאַפייד.

-טטט

דרוק אַ דעלטאַ (אין מיקראָ-סעקונדעס) צווישן קראַנט און פרייַערדיק שורה אויף יעדער דאַמפּ שורה.

-טטטט

דרוק אַ טימעסטאַמפּ אין פעליקייַט פֿאָרמאַט געשאפן דורך דאַטע אויף יעדער דאַמפּ שורה.

-u

דרוק ונעקאָדעד נפס כאַנדאַלז.

-v

(אַ ביסל מער) פארבונדן רעזולטאַט. פֿאַר בייַשפּיל, די צייט צו לעבן, לעגיטימאַציע, גאַנץ לענג און אָפּציעס אין אַ יפּ פּאַקאַט זענען געדרוקט. אויך ינייבאַלז נאָך פּאַקאַט אָרנטלעכקייַט טשעקס אַזאַ ווי וועראַפייינג די IP און יקמפּ כעדער טשעקקסום.

-וווו

אפילו מער ווערבאָוז פּראָדוקציע. פֿאַר בייַשפּיל, נאָך פעלדער זענען געדרוקט פון נפס ענטפער פּאַקיץ, און סמב פּאַקיץ זענען גאָר דיקאָודאַד.

-וווווו

אפילו מער ווערבאָוז פּראָדוקציע. למשל, טעלנעט סב ... SE אָפּציעס זענען געדרוקט אין פול. מיט -X טעלנעט אָפּציעס זענען געדרוקט אין העקס ווי געזונט.

-w

שרייַבן די רוי פּאַקיץ צו טעקע אלא ווי פּאַרסינג און דרוק זיי אויס. זיי קענען שפּעטער זיין געדרוקט מיט די -ר אָפּציע. נאָרמאַל רעזולטאַט איז געניצט אויב טעקע איז `` - ''.

-קס

דרוק יעדער פּאַקאַט (מינוס זייַן לינק הייך כעדער) אין העקס. דער קלענערער פון די גאנצע פּאַקאַט אָדער סנאַפּלאַן ביטעס וועט זיין געדרוקט. באַמערקונג אַז דאָס איז די גאנצע לינק-שיכטע פּאַקאַט, אַזוי פֿאַר לינק לייַערס אַז בלאָק (למשל עטהערנעט), די וואַטן ביטעס וועט אויך זיין געדרוקט ווען די העכער שיכטע פּאַקאַט איז קירצער ווי די פארלאנגט וואַטן.

-X

ווען דרוק העקס, דרוק אַססיי אויך. אזוי אויב-קס איז אויך באַשטימט, די פּאַקאַט איז געדרוקט אין העקס / אַססיי. דאָס איז זייער האַנטיק פֿאַר אַנאַליזינג נייַ פּראָטאָקאָלס. אפילו אויב-קס איז ניט אויך שטעלן, עטלעכע טיילן פון עטלעכע פּאַקיץ זאל זיין געדרוקט אין העקס / אַססיי.

אויסדרוק

סעלעקץ וואָס פּאַקיץ וועט זיין דאַמפּט. אויב קיין אויסדרוק איז געגעבן, אַלע פּאַקיץ אויף די נעץ וועט זיין דאַמפּט. אַנדערש, בלויז פּאַקיץ פֿאַר וואָס אויסדרוק איז 'אמת' וועט זיין דאַמפּט.

דער אויסדרוק איז באשטימט פון איין אָדער מער פּרימיטיוועס. פּריימיטיווז יוזשאַוואַלי צונויפשטעלנ זיך פון אַן איד (נאָמען אָדער נומער) פּריסטיד דורך איינער אָדער מער קוואַליפיערס. עס זענען דרייַ פאַרשידענע מינים פון קוואַליפיער:

טיפּ

קוואַליפיערס זאָגן וואָס מין פון זאַך די שייַן נאָמען אָדער נומער רעפערס צו. מעגלעך טייפּס זענען באַלעבאָס , נעץ און פּאָרט . למשל, האָסט פאָאָ, 'נעץ 128.3', `פּאָרט 20 '. אויב עס איז קיין טיפּ קוואַליפיער, באַלעבאָס איז אנגענומען.

dir

קוואַליפיערס ספּעציפיצירן אַ ספּעציעל אַריבערפירן ריכטונג צו און / אָדער פון שייַן . Possible directions are src , dst , src or dst and src and dst . למשל, 'src foo', `dst נעץ 128.3 ',' src or dst port ftp-data '. אויב עס איז קיין דיר קוואַליפיער, סרק אָדער דסט איז אנגענומען. פֿאַר `נאַל 'לינק לייַערס (ד"ה פונט צו פונט פּראָטאָקאָלס אַזאַ ווי צעטל) די ינבאַונד און אַוטבאַונד קוואַליפיערס קענען ווערן גענוצט צו ספּעציפיצירן אַ געוואלט ריכטונג.

פּראָטאָ

קוואַליפיערס באַגרענעצן די גלייַכן צו אַ באַזונדער פּראָטאָקאָל. מעגלעך פּראָסעס זענען: יטער , פדדי , טר , יפּ , יפּ 6 , אַרפּ , ראַרפּ , דעקנעט , טקפּ און ודפּ . למשל, עטהער סרק פאָו ', `אַרפּ נעט 128.3',` טקפּ פּאָרט 21 '. אויב עס איז ניט פּראָטאָ קוואַליפיער, אַלע פּראָטאָקאָלס קאָנסיסטענט מיט דעם טיפּ זענען אנגענומען. למשל, 'src foo' מיטל `(יפּ אָדער אַרפּ אָדער ראַרפּ) src foo '(חוץ די יענער איז ניט לעגאַל סינטאַקס),` נעץ באַר' מיטל `(יפּ אָדער אַרפּ אָדער ראַרפּ) נעץ באַר 'און` פּאָרט 53' מיטל `(טקפּ אָדער ודפּ) פּאָרט 53 '.

[`פדדי 'איז פאקטיש אַ אַליאַס פֿאַר` יטער'; די פּאַרסער טריץ זיי יידעניקאַללי ווי טייַטש 'די דאַטן לינק מדרגה געוויינט אויף די ספּעסאַפייד נעץ צובינד.' 'פדדי כעדערז אַנטהאַלטן עטהערנעט-ווי מקור און דעסטיניישאַן ווענדט, און אָפט כּולל עטהערנעט-ווי פּאַקאַט טייפּס, אַזוי איר קענען פילטער אויף די פדדי פעלדער פּונקט ווי מיט די ענלעכער עטהערנעט פעלדער. פדדי כעדערז אויך אַנטהאַלטן אנדערע פעלדער, אָבער איר קענען נישט נאָמען זיי בישליימעס אין אַ פילטער אויסדרוק.

סימילאַרלי, `טר 'איז אַ אַליאַס פֿאַר` יטער'; די סטייטמאַנץ פון די פריערדיקע פּאַראַגראַף וועגן פדדי כעדערז אויך אַפּלייז צו טאָקען רינג כעדערז.]

אין דערצו צו די אויבן, עס זענען אַ ספּעציעל `פּרימיטיוו 'טערמינען וואָס טאָן נישט נאָכגיין דעם מוסטער: גאַטעווייַ , בראָדקאַסט , ווייניקער , גרעסערע און אַריטמעטיק אויסדרוקן. אַלע פון ​​זיי זענען דיסקרייבד אונטן.

מער קאָמפּליצירט פילטער אויסדרוקן זענען געבויט דורך ניצן די ווערטער און , אָדער און נישט צו פאַרבינדן פּרימיטיוועס. למשל, האָסט פאָאָ און נישט פּאָרט פטפּ און ניט פּאָרט פטפּ-דאַטן. צו ראַטעווען טייפּינג, די זעלבע קענען זיין איבערגעהיפּערט דורך די זעלבע. Eg, `tcp dst port ftp or ftp-data or domain 'is exactly the same as` tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.

אַלאַואַבאַל פּריימיטיווז זענען:

דסט באַלעבאָס באַלעבאָסטע

אמת אויב די IPv4 / v6 דעסטיניישאַן פעלד פון די פּאַקאַט איז באַלעבאָס , וואָס קען זיין אָדער אַ אַדרעס אָדער אַ נאָמען.

src host host

אמת אויב די IPv4 / v6 מקור פעלד פון די פּאַקאַט איז באַלעבאָס .

host host

אמת אויב אָדער די IPv4 / v6 מקור אָדער דעסטיניישאַן פון די פּאַקאַט איז באַלעבאָס . קיין פון די אויבן באַלעבאָס אויסדרוקן קענען זיין פּרעפּענדעד מיט די טערמינען, יפּ , אַרפּ , ראַרפּ , אָדער יפּ 6 ווי אין:

ip host host

וואָס איז עקוויוואַלענט צו:

יטער פּראָטאָ \ יפּ און באַלעבאָס באַלעבאָס

אויב באַלעבאָס איז אַ נאָמען מיט קייפל יפּ אַדרעסעס, יעדער אַדרעס וועט זיין אָפּגעשטעלט פֿאַר אַ גלייַכן.

עטהער די

אמת אויב די עטהערנעט דעסטיניישאַן אַדרעס איז עהאָסט . Ehost קען זיין אַ נאָמען פון / עטק / עטהערס אָדער אַ נומער (זען יטערז (3 ן) פֿאַר נומעריק פֿאָרמאַט).

עטהער רעדן עהאָסט

אמת אויב די עטהערנעט מקור אַדרעס איז עהאָסט .

יטער באַלעבאָס

אמת אויב די עטהערנעט מקור אָדער דעסטיניישאַן אַדרעס איז עהאָסט .

gateway host

אמת אויב דער פּאַקאַט געניצט באַלעבאָס ווי אַ גייטוויי. יאָ, די עטהערנעט מקור אָדער דעסטיניישאַן אַדרעס איז באַלעבאָס אָבער ניט די IP מקור אדער די IP דעסטיניישאַן איז באַלעבאָס . האָסט מוזן זיין אַ נאָמען און איר מוזן זיין געפונען אין די האַמער נאָמען-צו-יפּ-אַדרעס האַכלאָטע מעקאַניזאַמז (האָסט נאָמען טעקע, דנס, ניס, אאז"וו), און דורך די פעלד נאָמען פון די פעלד מעקאַניזאַם (/ עטק / עטהערס, אאז"ו ו). (אַן עקוויוואַלענט אויסדרוק איז

יטער באַלעבאָס עהאָסט און נישט באַלעבאָס באַלעבאָס

וואָס קענען זיין געוויינט מיט אָדער נאָמען אָדער נומערן פֿאַר באַלעבאָס / עהאָסט .) דעם סינטאַקס טוט נישט אַרבעטן אין יפּוו 6-ינייבאַלד קאַנפיגיעריישאַן בייַ דעם מאָמענט.

dst net net

אמת אויב די IPv4 / v6 דעסטיניישאַן אַדרעס פון די פּאַקאַט האט אַ נעץ נומער פון נעץ . נעט קען זיין אָדער אַ נאָמען פון / עטק / נעטוואָרקס אָדער אַ נעץ נומער (זען נעטוואָרקס (4) פֿאַר פרטים).

src net net

אמת אויב די יפּוו 4 / וו 6 מקור אַדרעס פון די פּאַקאַט האט אַ נעץ נומער פון נעץ .

net net

אמת אויב אָדער די IPv4 / v6 מקור אָדער דעסטיניישאַן אַדרעס פון די פּאַקאַט האט אַ נעץ נומער פון נעץ .

נעץ נעץ מאַסקע נעטוואָרק

אמת אויב די יפּ אַדרעס שוועבעלעך נעץ מיט די ספּעציפיש נעטמאַסק . קען זיין קוואַלאַפייד מיט סרק אָדער דסט . באַמערקונג אַז דעם סינטאַקס איז ניט גילטיק פֿאַר יפּוו 6 נעץ .

net net / len

אמת אויב די IPv4 / v6 אַדרעס גלייַכן נעץ מיט אַ נעץ מאַס ביץ ברייט. קען זיין קוואַלאַפייד מיט סרק אָדער דסט .

דסט פּאָרט פּאָרט

אמת אויב די פּאַקאַט איז יפּ / טקפּ, יפּ / ודפּ, יפּ 6 / טקפּ אָדער יפּ 6 / ודפּ און האט אַ דעסטיניישאַן פּאָרט ווערט פון פּאָרט . די פּאָרט קענען זיין אַ נומער אָדער אַ נאָמען געניצט אין / עטק / באַדינונגען (זען טקפּ (4 פּ) און ודפּ (4 פּ)). אויב אַ נאָמען איז געניצט, די פּאָרט נומער און פּראָטאָקאָל זענען אָפּגעשטעלט. אויב אַ נומער אָדער אַמביגיואַס נאָמען איז געניצט, בלויז די פּאָרט נומער איז אָפּגעשטעלט (למשל, דסט פּאָרט 513 וועט דרוקן ביידע טקפּ / לאָגין פאַרקער און ודפּ / ווער פאַרקער, און פּאָרט פעלד וועט דרוקן ביידע טקפּ / פעלד און ודפּ / פעלד פאַרקער).

src פּאָרט פּאָרט

אמת אויב די פּאַקאַט האט אַ מקור פּאָרט ווערט פון פּאָרט .

port port

אמת אויב אָדער דער מקור אָדער דעסטיניישאַן פּאָרט פון די פּאַקאַט איז פּאָרט . קיין פון די אויבן פּאָרט אויסדרוקן קענען זיין פּרעפּענדעד מיט די טערמינען, טקפּ אָדער ודפּ , ווי אין:

טקפּ סרפּ פּאָרט פּאָרט

וואָס גלייַכן בלויז טקפּ פּאַקיץ וועמענס מקור פּאָרט איז פּאָרט .

ווייניקער לענג

אמת אויב די פּאַקאַט האט אַ לענג ווייניקער ווי אָדער גלייַך צו לענג . דאָס איז עקוויוואַלענט צו:

לענ <= לענג .

גרעסער לענג

אמת אויב די פּאַקאַט האט אַ לענג גרעסער ווי אָדער גלייַך צו לענג . דאָס איז עקוויוואַלענט צו:

len> = לענג .

יפּ פּראָטאָ פּראָטאָקאָל

אמת אויב די פּאַקאַט איז אַ יפּ פּאַקאַט (זען יפּ (4 פּ)) פון פּראָטאָקאָל טיפּ פּראָטאָקאָל . פּראָטאָקאָל קענען זיין אַ נומער אָדער איינער פון די נאָמען יקמפּ , יקמפּ 6 , יגמפּ , יגרפּ , פּים , אַ , ספּ , ווררפּ , ודפּ , אָדער טקפּ . באַמערקונג אַז די ידענטיפיערס טקפּ , ודפּ , און יקמפּ זענען אויך טערמינען און מוזן זיין אנטרונען דורך באַקסלאַש (\), וואָס איז \\ אין די C- שאָל. באַמערקונג אַז דעם פּרימיטיוו טוט נישט יאָגן די פּראָטאָקאָל כעדער קייט.

יפּ 6 פּראָטאָ פּראָטאָקאָל

אמת אויב די פּאַקאַט איז אַ יפּוו 6 פּאַקאַט פון פּראָטאָקאָל טיפּ פּראָטאָקאָל . באַמערקונג אַז דעם פּרימיטיוו טוט נישט יאָגן די פּראָטאָקאָל כעדער קייט.

ip6 protochain protocol

אמת אויב דער פּאַקאַט איז יפּוו 6 פּאַקאַט, און כּולל פּראָטאָקאָל כעדער מיט טיפּ פּראָטאָקאָל אין זייַן פּראָטאָקאָל כעדער קייט. למשל,

ip6 protochain 6

גלייַכן קיין IPv6 פּאַקאַט מיט טקפּ פּראָטאָקאָל כעדער אין דער פּראָטאָקאָל כעדער קייט. דער פּאַקאַט קען אַנטהאַלטן, פֿאַר בייַשפּיל, אָטענטאַקיישאַן כעדער, רוטינג כעדער, אָדער כאַפּ-דורך-כאַפּ אָפּציע כעדער, צווישן יפּוו 6 כעדער און טקפּ כעדער. די בפּף קאָד ימיטיד דורך דעם פּרימיטיוו איז קאָמפּלעקס און קענען ניט זיין אָפּטימיזעד דורך בפּף אָפּטימיזער קאָד אין טקפּדומפּ , אַזוי דאָס קען זיין עפּעס פּאַמעלעך.

ip פּראָטאָטהאַין פּראָטאָקאָל

עקוויוואַלענט צו יפּ 6 פּראָטאָטהאַין פּראָטאָקאָל , אָבער דאָס איז פֿאַר יפּוו 4.

עטהער בראָדקאַסט

אמת אויב די פּאַקאַט איז אַ עטהערנעט בראָאַדקאַסט פּאַקאַט. די יטער קיווערד איז אַפּשאַנאַל.

ip broadcast

אמת אויב די פּאַקאַט איז אַ IP בראָדקאַסט פּאַקאַט. עס טשעקס פֿאַר ביידע די אַלע-נעאָעס און אַלע-אָנעס בראָדקאַסט קאַנווענשאַנז, און קוקט אַרויף די היגע סובנעט מאַסקע.

עטהער מולטיקאַסט

אמת אויב די פּאַקאַט איז אַ עטהערנעט מולטיקאַסט פּאַקאַט. די יטער קיווערד איז אַפּשאַנאַל. דעם איז סטאָרידזש פֿאַר ` יטער [0] & 1! = 0 '.

ip multicast

אמת אויב די פּאַקאַט איז אַ יפּ מולטיקאַסט פּאַקאַט.

ip6 multicast

אמת אויב די פּאַקאַט איז אַ יפּוו 6 מולטיקאַסט פּאַקאַט.

יטער פּראָטאָ פּראָטאָקאָל

אמת אויב די פּאַקאַט איז פון יטער טיפּ פּראָטאָקאָל . פּראָטאָקאָל קענען זיין אַ נומער אָדער איינער פון די נאָמען יפּ , יפּ 6 , אַרפּ , ראַרפּ , אַטאַלק , אַאַרפּ , דעקנעט , סקאַ , לאַט , מאָפּדל , מאָפּרק , יסאָ , סטפּ , יפּקס , אָדער נעטבעוי . באַמערקונג די יידענטאַפייערז זענען אויך טערמינען און מוזן זיין אנטרונען דורך באַקסלאַש (\).

[אין דעם פאַל פון פדדי (למשל, ' פדדי פּראָטאָקאָל אַרפּ ') און טאָקען רינג (למשל ' טר פּראָטאָקאָל אַרפּ '), פֿאַר רובֿ פון די פּראָטאָקאָלס, דער פּראָטאָקאָל לעגיטימאַציע קומט פון די 802.2 לאָגיקאַל לינק קאָנטראָל (ללק) כעדער, וואָס איז יוזשאַוואַלי לייערד אויף שפּיץ פון די FDDI or Token Ring header.

ווען פילטערינג פֿאַר רובֿ פּראָטאָקאָל ידענטיפיערס אויף פדדי אָדער טאָקען רינג, טקפּדומפּ טשעקס בלויז די פּראָטאָקאָל שייַן פעלד פון אַ ללק header אין אַזוי גערופענע סנאַפּ פֿאָרמאַט מיט אַ אָרגאַניזאַטיאָנאַל יוניט ידענטיפיער (אָוי) פון 0 קס 000000, פֿאַר ענקאַפּסאַלייטיד עטהערנעט; עס טוט נישט קאָנטראָלירן צי די פּאַקאַט איז אין סנאַפּ פֿאָרמאַט מיט אַ אָוי פון 0 קס 000000.

די יקסעפּשאַנז זענען ISO , פֿאַר וואָס עס טשעק די DSAP (Destination Service Access Point) און SSAP (Source Service Access Point) פעלדער פון די ללק כעדער, סטפּ און נעטבעסוי , ווו עס טשעקס די דסאַפּ פון די ללק header, און אַטאַלק , ווו עס טשעקס פֿאַר אַ סנאַפּ-פֿאָרמאַט פּאַקאַט מיט אַ אָוי פון 0 קס 0880007 און די אַפּפּלעטאַלאַל עטיפּע.

אין דעם פאַל פון עטהערנעט, טקפּדומפּ טשעקס די עטהערנעט טיפּ פעלד פֿאַר רובֿ פון די פּראָטאָקאָלס; די יקסעפּשאַנז זענען יסאָ , זאַפט , און נעטבעסוי , פֿאַר וואָס עס טשעק פֿאַר אַ 802.3 ראַם און דעמאָלט טשעק די ללק כעדער ווי עס פֿאַר FDDI און Token Ring, atalk , ווו עס טשעקס ביידע פֿאַר די אַפּפּלעטאַלק עטיפּע אין אַ עטהערנעט ראַם און פֿאַר אַ סנאַפּ-פֿאָרמאַט פּאַקאַט ווי עס פֿאַר FDDI און Token Ring, אַאַרפּ , ווו עס טשעקס פֿאַר די אַפּפּלעטאַלק אַרפּ עטיפּע אין יעדער אַ עטהערנעט ראַם אָדער אַ 802.2 סנאַפּ ראַם מיט אַ אָוי פון 0 קס 000000, און יפּקס , ווו עס טשעקס פֿאַר די יפּקס עטיפּע אין אַ עטהערנעט ראַם, די יפּקס דסאַפּ אין די ללק header, די 802.3 מיט קיין ללק כעדער ענקאַפּסולאַטיאָן פון יפּקס, און די יפּקס עטיפּע אין אַ סנאַפּ ראַם.]

דעקנעט קוואדראט באַלעבאָס

אמת אויב די DECNET מקור אַדרעס איז באַלעבאָס , וואָס קען זיין אַ אַדרעס פון די פאָרעם `` 10.123 '', אָדער אַ דעקנעט באַלעבאָס נאָמען. [DECNET האָסט נאָמען שטיצן איז בלויז בנימצא אויף ולטריקס סיסטעמס וואָס זענען קאַנפיגיערד צו לויפן DECNET.]

דעקנעט דסט באַלעבאָס

אמת אויב די DECNET דעסטיניישאַן אַדרעס איז באַלעבאָס .

דעקנעט האָסט באַלעבאָס

אמת אויב די DECNET מקור אָדער דעסטיניישאַן אַדרעס איז באַלעבאָס .

יפּ , יפּ 6 , אַרפּ , ראַרפּ , אַטאַלק , אַאַרפּ , דעקנעט , יסאָ , סטפּ , יפּקס , נעטבעוי

אַבריווייישאַנז פֿאַר:

יטער פּראָטאָ פּ

ווו פּ איז איינער פון די אויבן פּראָטאָקאָלס.

lat , moprc , mopdl

אַבריווייישאַנז פֿאַר:

יטער פּראָטאָ פּ

ווו פּ איז איינער פון די אויבן פּראָטאָקאָלס. באַמערקונג אַז tcpdump טוט נישט איצט וויסן ווי צו דערשייַנען די פּראָטאָקאָלס.

vlan [vlan_id]

אמת אויב די פּאַקאַט איז אַ IEEE 802.1Q VLAN פּאַקאַט. אויב [וולאַן_יד] איז ספּעסאַפייד, נאָר אמת איז די פּאַקאַט האט די ספּעסאַפייד וולאַנ_יד . באַמערקונג אַז דער ערשטער וולאַן קיווערד געפּלאָנטערט אין אויסדרוק ענדערונגען די דעקאָדינג אָפסעץ פֿאַר די רעשט פון אויסדרוק אויף די האַשאָרע אַז די פּאַקאַט איז אַ וולאַן פּאַקאַט.

טקפּ , ודפּ , יקמפּ

אַבריווייישאַנז פֿאַר:

IP פּראָטאָ פּ אָדער יפּ 6 פּראָטאָ פּ

ווו פּ איז איינער פון די אויבן פּראָטאָקאָלס.

איז פּראָטאָ פּראָטאָקאָל

אמת אויב די פּאַקאַט איז אַ אָסי פּעקל פון פּראָטאָקאָל טיפּ פּראָטאָקאָל . פּראָטאָקאָל קענען זיין אַ נומער אָדער איינער פון די נעמען clnp , esis , אָדער isis .

clnp , esis , isis

אַבריווייישאַנז פֿאַר:

iso proto p

ווו פּ איז איינער פון די אויבן פּראָטאָקאָלס. באַמערקונג אַז tcpdump טוט אַן אַנקאַמפּליטיד אַרבעט פון פּאַרסינג די פּראָטאָקאָלס.

עקספּר רילאַפּ עקספּר

אמת אויב די באַציונג האלט, ווו רעלאָפּ איז איינער פון>, <,> =, <=, = ,! =, און עקספּר איז אַן אַריטמעטיק אויסדרוק וואס איז קאָנסיסטעד פון ינטעגער קאַנסטאַנץ (אויסגעדריקט אין נאָרמאַל C סינטאַקס), די נאָרמאַל ביינערי אָפּערייטערז [ , -, *, /, &, |], אַ לענג אָפּעראַטאָר, און ספּעציעל פּאַקאַט דאַטן אַקסעסעריז. צו צוטריט דאַטן ין די פּאַקאַט, נוצן די פאלגענדע סינטאַקס:

פּראָטאָ [ עקספּר : גרייס ]

פּראָטאָ איז איינער פון יטער, פדדי, טר, פּפּפּ, צעטל, לינק, יפּ, אַרפּ, ראַרפּ, טקפּ, ודפּ, יקמפּ אָדער יפּ 6 , און ינדיקייץ די פּראָטאָקאָל שיכטע פֿאַר די אינדעקס אָפּעראַציע. ( עטהער, פדדי, טר, פּפּפּ, סליפּ און לינק אַלע אָפּשיקן צו די לינק שיכטע). באַמערקונג אַז טקפּ, ודפּ און אנדערע אויבערשטער-שיכטע פּראָטאָקאָל טייפּס נאָר אַפּלייז צו יפּוו 4, ניט יפּוו 6 (דאָס וועט זיין פאַרפעסטיקט אין דער צוקונפֿט). די ביטע אָפסעט, קאָרעוו צו די אנגעוויזן פּראָטאָקאָל שיכטע, איז געגעבן דורך עקספּר . גרייס איז אַפּשאַנאַל און ינדיקייץ די נומער פון ביטעס אין די פעלד פון אינטערעס; עס קען זיין איינער, צוויי, אָדער פיר, און דיפאָלץ צו איינער. דער לענג אָפּעראַטאָר, וואָס איז אנגעוויזן דורך די קיווערד לל , גיט די לענג פון די פּאַקאַט.

למשל, יטער [0] & 1! = 0 'קאַטשאַז אַלע מולטיקאַסט פאַרקער. דער אויסדרוק ' יפּ [0] & 0 קסף!' = 5 'כאַפּאַנז אַלע יפּ פּאַקיץ מיט אָפּציעס. די אויסדרוק ' יפּ [6: 2] & 0x1fff = 0 ' כאַפּאַנז בלויז ונפּראַגמענטעד דאַטאַגראַמס און פראַג נול פון פראַגמאַנטיד דאַטאַגראַמז. דעם טשעק איז ימפּליטיד געווענדט צו די טקפּ און ודפּ אינדעקס אַפּעריישאַנז. פֿאַר בייַשפּיל, טקפּ [0] שטענדיק מיטל דער ערשטער בייטעק פון די טקפּ כעדער , און קיינמאָל מיטל דער ערשטער ביטע פון ​​אַן ינערווינינג פראַגמענט.

עטלעכע אָפסעץ און פעלד וואַלועס קענען זיין אויסגעדריקט ווי נעמען אלא ווי ווי נומעריק וואַלועס. די פאלגענדע פּראָטאָקאָל כעדער פעלד אָפסעץ זענען בנימצא: יקאָמפּטיפּע (יקמפּ טיפּ פעלד), יקמפּקאָדע (יקמפּ קאָד פעלד), און טקפּאַגלאַגס (טקפּ פלאַגס פעלד).

די ווייַטערדיק יקמפּ טיפּ וואַלועס זענען בנימצא: יקמפּ-עקאָרפּאָרע , יקמפּ-אַנריאַטש , יקמפּ-ראָולערקווענטש , יקמפּ-רידיירעקט , יקמפּ-יקאָ , יקמפּ-ראָולעראַדווערט , יקמפּ-ראָאָטערסאָליקיט , יקמפּ-טימעקססעזע , יקמפּ-פּערמפּראָב , יקמפּ-טסטאַמפּ , יקמפּ -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

די ווייַטערדיק טקפּ פלאַגס פעלד וואַלועס זענען בנימצא: טקפּ-פלוס , טקפּ-סינ , טקפּ-רסט , טקפּ-שטופּ , טקפּ-שטופּ , טקפּ-אַק , טקפּ-יאָ .

פּרימיטיוועס קען זיין קאַמביינד ניצן:

א קלאַמערייזד גרופּע פון ​​פּרימיטיוועס און אָפּערייטערז (קלאַמז זענען ספּעציעל צו די שעלל און מוזן זיין אנטרונען).

נעגאָטי (` ! 'אָדער' נישט ').

קאָנקאַטענאַטיאָן (` && 'אָדער` און ').

אַלטערנאַטיאָן (` || 'אָדער` אָדער ').

נעגאַטיוו האט די העכסטן פאָרויס. אַלטערנאַטיווע און קאַנקאַטאַניישאַן האָבן גלייַך פאָרהאַנט און מיטאַרבעטער לינקס צו רעכט. באַמערקונג אַז יקספּליסאַט און טאָקענס, נישט דזשוקסטאַפּאַזישאַן, זענען איצט פארלאנגט פֿאַר קאַנקאַטאַניישאַן.

אויב אַן אידענטיטעט איז געגעבן אָן אַ קיווערד, די מערסט לעצטנס קיווערד איז אנגענומען. למשל,

ניט באַלעבאָס ווס און מויז

איז קורץ פֿאַר

ניט באַלעבאָס ווס און באַלעבאָס מויז

וואָס זאָל ניט זיין צעמישט מיט

ניט (באַלעבאָס ווס אָדער מויז)

אויסדרוקן ןעמעלונגען קענען ווערן דורכגעגאנגען צו טקפּדומפּ ווי אָדער אַ איין אַרגומענט אָדער ווי קייפל אַראָוז, וואָס איז מער באַקוועם. בכלל, אויב דער אויסדרוק כּולל שעל מעטאַטשאַראַקטערס, עס איז גרינגער צו פאָרן עס ווי אַ איין, ציטירטן אַרגומענט. מער ווי איין אַרגומענטן זענען קאַנקאַטאַנייט מיט ספּייסאַז איידער זייַענדיק פּאַרסט.

ביישפילן

צו דרוקן אַלע פּאַקיץ אָנקומען בייַ אָדער אָפּפאָר פון זונרויז :

טקפּדאַמפּ באַלעבאָס סונדאַון

צו דרוקן פאַרקער צווישן העליאָס און היץ אָדער מויז :

טקפּדאָמפּ באַלעבאָס העליאָס און \ (הייס אָדער מויז)

צו דרוקן אַלע יפּ פּאַקיץ צווישן מויז און קיין באַלעבאָס אַחוץ העליאָס :

טקפּדאַמפּ יפּ באַלעבאָס מויז און ניט העליאָס

צו דרוקן אַלע פאַרקער צווישן היגע מחנות און מחנות אין בערקלי:

טקפּדומפּ נעץ וקב-יטער

צו דרוקן אַלע פטפּ פאַרקער דורך אינטערנעט גאַטעווייַ סנופּ : (טאָן אַז דער אויסדרוק איז ציטירטן צו פאַרמייַדן די שאָל פון (מיס-) ינטערפּרעטינג די קלאַמזיז):

tcpdump 'gateway snup און (port ftp or ftp-data)'

צו דרוקן פאַרקער קיין סאָרסינג פון אדער דעסטינירט פֿאַר היגע מחנות (אויב איר גייט צו איין אנדערע נעץ, דעם שטאָפּן זאָל קיינמאָל מאַכן עס צו דיין היגע נעץ).

טקפּדומפּ יפּ און נישט נעץ היגע

צו דרוקן די אָנהייב און סוף פּאַקיץ (די סינ און פונט פּאַקיץ) פון יעדער טקפּ שמועס אַז ינוואַלווז אַ ניט-היגע באַלעבאָס.

טקפּדומפּ 'טקפּ [טקפּפּאַגס] & (טקפּ-סינ | טקפּ-פען)! = 0 און ניט סרק און דסט נעץ לאָקאַלנעט '

צו דרוקן IP פּאַקיץ מער ווי 576 bytes sent דורך gateway snup :

tcpdump 'gateway snup and ip [2: 2]> 576'

צו דרוקן IP בראָדקאַסט אָדער מולטיקאַסט פּאַקיץ וואָס זענען נישט געשיקט דורך עטהערנעט בראָאַדקאַסט אָדער מולטיקאַסט:

tcpdump 'ether [0] & 1 = 0 און יפּ [16]> = 224'

צו דרוקן אַלע יקמפּ פּאַקיץ וואָס זענען נישט עקאָו ריקוועס / רעפּלייז (י.ע., נישט פּינג פּאַקיץ):

tcpdump 'icmp [icmptype]! = icmp-echo און icmp [icmptype]! = icmp-echoreply'

OUTPUT FORMAT

דער רעזולטאַט פון טקפּדומפּ איז פּראָטאָקאָל אָפענגיק. די פאלגענדע גיט אַ קורץ באַשרייַבונג און ביישפילן פון רובֿ פון די פֿאָרמאַטירונגען.

לינק לעוועל כעדערז

אויב די '-ע' אָפּציע איז געגעבן, די לינקס מדרגה כעדער איז אויסגעשטעלט אויס. אויף עטהערנעץ, די מקור און דעסטיניישאַן אַדרעסעס, פּראָטאָקאָל, און פּאַקאַט לענג זענען געדרוקט.

אויף פדדי נעטוואָרקס, די '-ע' אָפּציע ז טקפּדומפּ צו דרוקן די `ראַם קאָנטראָל 'פעלד, די מקור און דעסטיניישאַן ווענדט, און די פּאַקאַט לענג. (די 'ראַם קאָנטראָל' פעלד רעגיאַלייץ די ינטערפּריטיישאַן פון די מנוחה פון די פּאַקאַט נאָרמאַל פּאַקיץ (אַזאַ ווי די יפּ דאַטאַגראַמז) זענען 'אַסינק' פּאַקיץ, מיט אַ בילכערקייַט צווישן 0 און 7, פֿאַר בייַשפּיל, ' אַסינק 4 '. פּאַקיץ זענען אנגענומען צו אַנטהאַלטן אַן 802.2 לאָגיקאַל לינק קאָנטראָל (ללק) פּאַקאַט, די ללק header איז געדרוקט אויב עס איז נישט אַ יסאָ דאַטאַגראַמע אָדער אַ אַזוי-גערופן סנאַפּ פּאַקאַט.

אויף טאָוקינג רינג נעטוואָרקס, די '-ע' אָפּציע ז טקפּדומפּ צו דרוקן די `אַקסעס קאָנטראָל 'און` ראַם קאָנטראָל' פעלדער, די מקור און דיסטריביאַץ אַדרעסעס, און די פּאַקאַט לענג. ווי אויף פדדי נעטוואָרקס, פּאַקיץ זענען אנגענומען צו אַנטהאַלטן אַ ללק פּאַקאַט. ניט ריכטיק אויב דער '-ע' אָפּציע איז ספּעסאַפייד אָדער ניט, די מקור רוטינג אינפֿאָרמאַציע איז געדרוקט פֿאַר מקור-ראַוטיד פּאַקיץ.

(NB: די פאלגענדע באַשרייַבונג אַסומז פאַמיליעראַטי מיט די SLIP קאַמפּרעשאַן אַלגערידאַם דיסקרייבד אין RFC-1144.)

אויף סליפּ לינקס, אַ ריכטונג גראדן (`` איך '' פֿאַר ינבאַונד, `` אָ '' פֿאַר אַוטבאַונד), פּאַקאַט טיפּ, און קאַמפּרעשאַן אינפֿאָרמאַציע זענען געדרוקט אויס. די פּעקל טיפּ איז געדרוקט ערשטער. די דרייַ טייפּס זענען יפּ , וטקפּ , און קטקפּ . ניט ווייַטער לינק אינפֿאָרמאַציע איז געדרוקט פֿאַר יפּ פּאַקיץ. פֿאַר טקפּ פּאַקיץ, די קשר ידענטיפיער איז געדרוקט ווייַטערדיק דעם טיפּ. אויב די פּאַקקאַגינג איז קאַמפּרעסט, זייַן ענקריפּט כעדער איז אויסגעשטעלט. די ספּעציעל קאַסעס זענען געדרוקט אויס ווי * S + n און * סאַ + n , ווו n איז די סומע דורך וואָס די סיקוואַנס נומער (אָדער סיקוואַנס נומער און אַק) האט געביטן. אויב עס איז נישט אַ ספּעציעל פאַל, זילז אָדער מער ענדערונגען זענען געדרוקט. א ענדערונג איז אנגעוויזן דורך ו (דרינגלעך טייַטל), וו (פֿענצטער), א (אַק), ז (סיקוואַנס נומער), און איך (פּאַקאַט שייַן), נאכגעגאנגען דורך אַ דעלטאַ (+ n אָדער -ן), אָדער אַ נייַ ווערט (= N). סוף, די סומע פון ​​דאַטן אין די פּאַקאַט און קאַמפּרעסט כעדער לענג זענען געדרוקט.

פֿאַר בייַשפּיל, די ווייַטערדיק שורה ווייזט אַ אַוטבאַונד קאַמפּרעסט טקפּ פּאַקאַט, מיט אַ ימפּלייזד קשר ידענטיפיער; די אַק האט געביטן דורך 6, די סיקוואַנס נומער דורך 49, און די פּאַקאַט שייַן דורך 6; עס זענען 3 ביטעס פון דאַטן און 6 ביטעס פון קאַמפּרעסט כעדער:

אָ קטקפּ * א + 6 ד + 49 איך + 6 3 (6)

אַרפּ / ראַרפּ פּאַקיץ

אַרפּ / ראַרפּ רעזולטאַט ווייזט די טיפּ פון בעטן און זייַן אַרמאַמאַנץ. דער פֿאָרמאַט איז בדעה צו זיין זיך יקספּלאַנאַטאָרי. דאָ איז אַ קורץ מוסטער גענומען פון די אָנהייב פון אַ `רלאָגין 'פון באַלעבאָס רצג צו באַלעבאָס קססאַם :

אַרפּ וואס-האט קסאַם זאָגן רץ אַרפּ ענטפער csam is-at CSAM

דער ערשטער שורה זאגט אַז rtsg געשיקט אַ אַרפּ פּעקל בעטן פֿאַר די עטהערנעט אַדרעס פון אינטערנעט באַלעבאָס קסאַם. Csam replies with its Ethernet address (אין דעם בייַשפּיל, עטהערנעט ווענדט זענען אין קאַפּס און אינטערנעט אַדרעסעס אין נידעריקער פאַל).

דעם וואָלט קוקן ווייניקער יבעריק אויב מיר האבן געטאן tcpdump -n :

arp who-has 128.3.254.6 tell 128.3.254.68 אַרפּ ענטפער 128.3.254.6 איז-בייַ 02: 07: 01: 00: 01: ק 4

אויב מיר האבן געטאן tcpdump -e , דער פאַקט אַז דער ערשטער פּאַקאַט איז בראָדקאַסט און די רגע איז פונט-צו-פונט וואָלט זיין קענטיק:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64: arp ענטפער csam is-at CSAM

פֿאַר דער ערשטער פּאַקאַט דעם זאגט די עטהערנעט מקור אַדרעס איז RTSG, די דעסטיניישאַן איז די עטהערנעט בראָאַדקאַסט אַדרעס, די פעלד פעלד קאַנטיינד העקס 0806 (טיפּ עטהער_אַרפּ) און די גאַנץ לענג איז 64 ביטעס.

TCP Packets

(NB: די פאלגענדע באַשרייַבונג אַסומז קאַנווענשאַנערי מיט די טקפּ פּראָטאָקאָל דיסקרייבד אין RFC-793. אויב איר זענט נישט באַקאַנט מיט דעם פּראָטאָקאָל, די באַשרייַבונג אָדער טקפּדומפּ וועט נישט זיין פיל פון איר.)

דער גענעראַל פֿאָרמאַט פון אַ טקפּ פּראָטאָקאָל שורה איז:

src> dst: flags data-seqno ack window urgent options

Src און דסט זענען די מקור און דעסטיניישאַן יפּ ווענדט און פּאָרץ. פלאַגס זענען עטלעכע קאָמבינאַציע פון ​​S (סינ), F (FIN), פּ (PUSH) אָדער R (RST) אָדער אַ איין `. ' (קיין פלאַגס). דאַטאַ-סעקנאָ באשרייבט די חלק פון סיקוואַנס פּלאַץ באדעקט דורך די דאַטן אין דעם פּאַקאַט (זען בייַשפּיל אונטן). אַקק איז סיקוואַנס נומער פון דער ווייַטער דאַטע דערוואַרט די אנדערע ריכטונג אויף דעם קשר. פֿענצטער איז די נומער פון ביטעס פון באַקומען באַפער פּלאַץ בנימצא די אנדערע ריכטונג אויף דעם קשר. ורג ינדיקייץ עס איז 'דרינגלעך' דאַטן אין די פּאַקאַט. אָפּציעס זענען טקפּ אָפּציעס ענקלאָוזד אין ווינקל בראַקאַץ (למשל, <מס 1024>).

Src, דסט און פלאַגס זענען שטענדיק פאָרשטעלן. די אנדערע פעלדער אָפענגען אויף דעם אינהאַלט פון די פּאַקאַט ס טקפּ פּראָטאָקאָל כעדער און זענען רעזולטאַט נאָר אויב צונעמען.

דאָ איז די עפענונג חלק פון אַ רללינן פון באַלעבאָס רצג צו באַלעבאָס קססאַם .

rtsg.1023> csam.login: S 768512: 768512 (0) win 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> csam. צייכן אריין: . ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. (1) ack 21 win 4077 csam.login> rtsg.1023: p 1: 2 (1) ack 21 win 4077 csam.login: p 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 2: 3 (1) ack 21 win 4077 urg 1 csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 urg 1

דער ערשטער שורה זאגט אַז טקפּ פּאָרט 1023 אויף rtsg געשיקט אַ פּאַקאַט צו פּאָרט לאָגין אויף קסאַם. די S ינדיקייץ אַז די סינ פאָן איז באַשטימט. די פּאַקאַט סיקוואַנס נומער איז 76,8512 און עס קאַנטיינד קיין דאַטן. (די נאָטיץ איז `ערשטער: לעצט (נביטעס) 'וואָס מיטל` סיקוואַנס נומערן ערשטער אַרויף אָבער אָבער ניט אַרייַנגערעכנט לעצט וואָס איז נאָביטעס ביטעס פון באַניצער דאַטן'.) עס איז געווען ניט פּיגי-באַקיאַרד, די פאַראַנען באַקומען פֿענצטער איז 4096 ביטעס און עס איז געווען אַ מאַקס-סעגמענט-גרייס אָפּציע וואָס ריקווייערז אַן מסס פון 1024 ביטעס.

Csam replies with a similar packet except it includes a piggy-backed ack for rtsg's SYN. Rtsg דעמאָלט acs csam's SYN. די `. ' מיטל קיין פלאַגס זענען שטעלן. די פּאַקאַט כּולל קיין דאַטן אַזוי עס איז קיין דאַטן סיקוואַנס נומער. באַמערקונג אַז די אַקי סיקוואַנס נומער איז אַ קליין ינטאַדזשער (1). דער ערשטער מאָל טקפּדומפּ זעט אַ טקפּ `שמועס ', עס דרוקן די סיקוואַנס נומער פון די פּאַקאַט. אויף סאַבסאַקוואַנט פּאַקיץ פון דעם שמועס, די חילוק צווישן די קראַנט סיקוואַנס נומער און דעם ערשט סיקוואַנס נומער איז געדרוקט. דעם מיטל אַז סיקוואַנס נומערן נאָך דער ערשטער קענען זיין ינטערפּראַטאַד ווי קאָרעוו בייט שטעלעס אין די קאַנווערזשאַן ס דאַטע טייַך (מיט די ערשטער דאַטן ביי יעדער ריכטונג זייַענדיק `1 '). `ס 'וועט אָווועררייד דעם שטריך, וואָס קען זיין די אָריגינעל סיקוואַנס נומערן.

אויף די 6 שורה, rtsg sends csam 19 bytes of data (bytes 2 through 20 in the rtsg -> csam side of the conversation). די פוס פאָן איז שטעלן אין די פּאַקאַט. אויף די 7 שורה, csam זאגט עס ס באקומען דאַטן געשיקט דורך רצג אַרויף צו אָבער ניט אַרייַנגערעכנט בייט 21. רובֿ פון דעם דאַטן איז משמעות זיצן אין די כאָלעל באַפער זינט ססאַם ס באַקומען פֿענצטער האט גאַטאַן 19 ביטעס קלענערער. Csam אויך סענדז איין ביטע פון ​​דאַטן צו רצג אין דעם פּאַקאַט. אויף די 8 און 9 שורות, ססאַם סענדז צוויי ביטעס פון דרינגלעך, פּושד דאַטן צו רצג.

אויב דער מאָמענט איז געווען קליין גענוג אַז טקפּדומפּ האט נישט כאַפּן דעם פול טקפּ כעדער, עס ינטערפּראַץ ווי פיל פון די קאָפּצעטל ווי עס קען און דעמאָלט ריפּאָרץ `` [| tcp ] '' צו אָנווייַזן די ריסטאַרט קען נישט זיין ינטערפּראַטאַד. אויב די כעדער כּולל אַ פאַלש אָפּציע (איינער מיט אַ לענג אַז איז אויך קליין אָדער ווייַטער פון די סוף פון די כעדער), טקפּדומפּ מעלדעט עס ווי `` [ שלעכט אָפּט ] '' און טוט נישט טייַטשן קיין ווייַטער אָפּציעס (זינט עס איז אוממעגלעך צו דערציילן ווו זיי אָנהייבן). אויב די כעדער לענג ינדיקייץ אָפּציעס זענען פאָרשטעלן, אָבער די IP דאַטאַגראַם לענג איז נישט לאַנג גענוג פֿאַר די אָפּציעס צו פאקטיש זיין דאָרט, tcpdump מעלדעט עס ווי `` [ bad hdr length ] ''.

קאַפּטשערינג טקפּ פּאַקיץ מיט באַזונדער פלאַג קאַמבאַניישאַנז (סינ-אַקק, URG-ACK, אאז"ו ו)

עס זענען 8 ביטן אין די קאָנטראָל ביטן אָפּטיילונג פון די טקפּ כעדער:

CWR | ECE | URG | אַקק | PSH | RST | SYN | FIN

זאל אונדז באַטראַכטן אַז מיר ווילן צו היטן פּאַקיץ געניצט צו באַשטעטיקן אַ טקפּ קאַנעקשאַן. צוריקרופן אַז TCP ניצט אַ 3-וועג האַנדשייק פּראָטאָקאָל ווען עס ינישאַליזיז אַ נייַ קשר; דער קשר סיקוואַנס מיט אַכטונג צו די טקפּ קאָנטראָל ביטן איז

1) קאַללער סענדז סינ

2) רעסיפּיענט ריספּאַנדז מיט סינ, אַקק

3) קאַללער סענדז אַקק

איצט מיר זענען אינטערעסירט אין קאַפּטשערינג פּאַקיץ וואָס האָבן בלויז די סינ ביסל שטעלן (סטעפּ 1). באַמערקונג אַז מיר טאָן נישט וועלן פּאַקיץ פון שריט 2 (סינ-אַקק), נאָר אַ קלאָר ערשט סינ. וואָס מיר דאַרפֿן איז אַ ריכטיק פילטער אויסדרוק פֿאַר טקפּדומפּ .

צוריקרופן די סטרוקטור פון אַ טקפּ כעדער אָן אָפּציעס:

0 15 31 ----------------------------------------------- ------------------ | מקור פּאָרט | דעסטיניישאַן פּאָרט | -------------------------------------------------- --------------- | סיקוואַנס נומער | -------------------------------------------------- --------------- | אַקקאָממאָדאַטיאָן נומער | -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | פֿענצטער גרייס | -------------------------------------------------- --------------- | TCP checksum | דרינגלעך טייַטל | -------------------------------------------------- ---------------

א טקפּ כעדער יוזשאַוואַלי האלט 20 אָקטעץ פון דאַטן, סייַדן אָפּציעס זענען פאָרשטעלן. דער ערשטער שורה פון די גראַפיק כּולל אָקטעץ 0 - 3, די רגע שורה ווייזט אָקטעץ 4-7 אאז"ו ו.

סטאַרטינג צו ציילן מיט 0, די באַטייַטיק טקפּ קאָנטראָל ביטן זענען קאַנטיינד אין אָקטעט 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | פֿענצטער גרייס | ---------------- | --------------- | --------------- | - --------------- | | 13 אקטאבער | | |

זאל ס האָבן אַ נעענטער קוקן בייַ אָקטעט ניט. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

דאס זענען די טקפּ קאָנטראָל ביטן מיר זענען אינטערעסירט ין מיר האָבן נומערן די ביטן אין דעם אָקטעט 0-7, רעכט צו לינקס, אַזוי די PSH ביסל איז ביסל נומער 3, בשעת די URG ביסל איז נומער 5.

צוריקרופן אַז מיר ווילן צו כאַפּן פּאַקיץ מיט בלויז סין שטעלן. זאל ס זען וואָס כאַפּאַנז צו אָקטעט 13 אויב אַ טקפּ דאַטאַגראַם ערייווז מיט די סינ ביסל שטעלן אין זייַן כעדער:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

קוקן בייַ די קאָנטראָל ביטן אָפּטיילונג מיר זען אַז בלויז ביסל נומער 1 (סינ) איז באַשטימט.

Assuming that octet number 13 is a 8-bit unsigned integer in network byte order, the binary value of this octet is

00000010

און זייַן דעצימאַל פאַרטרעטונג איז

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

מיר זענען כּמעט געטאן, ווייַל איצט מיר וויסן אַז אויב בלויז סינ איז באַשטימט, די ווערט פון די 13 אָקטעט אין די טקפּ כעדער, ווען ינטערפּראַטאַד ווי אַ 8-ביסל אַנסיינד ינטעגער אין נעץ בייט סדר, מוזן זיין פּונקט 2.

דעם שייכות קענען זיין אויסגעדריקט ווי

tcp [13] == 2

מיר קענען נוצן דעם אויסדרוק ווי די פילטער פֿאַר טקפּדומפּ אין סדר צו היטן פּאַקיץ וואָס האָבן בלויז סינ שטעלן:

tcpdump -i xl0 tcp [13] == 2

דער אויסדרוק זאגט "לאָזן די 13 אקטאבער פון אַ טקפּ דאַטאַגראַם האָבן די דעצימאַל ווערט 2", וואָס איז פּונקט וואָס מיר ווילן.

איצט, לאָזן מיר נעמען אַז מיר דאַרפֿן צו כאַפּן סין פּאַקיץ, אָבער מיר טאָן ניט זאָרגן אויב אַקק אָדער קיין אנדערע טקפּ קאָנטראָל ביט איז באַשטימט אין דער זעלביקער צייַט. זאל ס זען וואָס כאַפּאַנז צו אָקטעט 13 ווען אַ טקפּ דאַטאַגראַם מיט סינ-אַקק שטעלן ערייווז:

| C | E | U | A | P | R | S | F | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

איצט ביץ 1 און 4 זענען שטעלן אין די 13 אָקטעט. די ביינערי ווערט פון אָקטעט 13 איז

00010010

וואָס איבערזעצט צו דעצימאַל

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

איצט מיר קענען נישט נאָר נוצן 'tcp [13] == 18' אין די טקפּדומפּ פילטער אויסדרוק, ווייַל דאָס וואָלט נאָר אויסקלייַבן די פּאַקיץ וואָס האָבן סין-אַקק באַשטעטיקן, אָבער נישט מיט בלויז סין שטעלן. געדענקען אַז מיר טאָן ניט זאָרגן אויב אַקק אָדער קיין אנדערע קאָנטראָל ביט איז באַשטימט ווי לאַנג ווי סינ איז באַשטימט.

אין סדר צו דערגרייכן אונדזער ציל, מיר דאַרפֿן צו לאַדזשיקלי און די ביינערי ווערט פון אָקטעט 13 מיט עטלעכע אנדערע ווערט צו ראַטעווען דעם סינ ביט. מיר וויסן אַז מיר וועלן סין זיין שטעלן אין קיין פאַל, אַזוי מיר וועט לאַדזשיקלי און די ווערט אין די 13 אקטעט מיט די ביינערי ווערט פון אַ סינ:

00010010 SYN-ACK 00000010 SYN AND 00000010 (מיר וועלן סינ) און 00000010 (מיר וועלן סינ) -------- -------- = 00000010 = 00000010

מיר זען אַז דעם און אָפּעראַציע דיליווערז די זעלבע רעזולטאַט ראַגאַרדלאַס צי אַקק אָדער אנדערן טקפּ קאָנטראָל ביט איז באַשטימט. די דעצימאַל פאַרהעלטעניש פון די AND ווערט און דער רעזולטאַט פון דעם אָפּעראַציע איז 2 (ביינערי 00000010), אַזוי מיר וויסן אַז פֿאַר פּאַקיץ מיט סינ שטעלן די פאלגענדע באַציונג מוזן האַלטן אמת:

((ווערט פון אָקטעט 13) און (2)) == (2)

דעם ווייזט אונדז צו די טקפּדומפּ פילטער אויסדרוק

tcpdump -i xl0 'tcp [13] & 2 == 2'

באַמערקונג אַז איר זאָל נוצן אַ איין קוואָטעס אָדער אַ באַקקלאַש אין דער אויסדרוק צו באַהאַלטן די AND ('&') ספּעציעל כאַראַקטער פון די שאָל.

UDP Packets

UDP פֿאָרמאַט איז יללוסטרירט דורך דעם ראָאָ פּאַקאַט:

actinide.who> broadcast.who: ודפּ 84

דאָס זאגט אז פּאָרט וואס אויף באַלעבאָס אַקטינידע געשיקט אַ ודפּ דאַטאַגראַם צו פּאָרט וואס אויף באַלעבאָס בראָדקאַסט , די אינטערנעץ בראָדקאַסט אַדרעס. די פּאַקאַט כּולל 84 ביטעס פון באַניצער דאַטן.

עטלעכע ודפּ באַדינונגס זענען אנערקענט (פון די מקור אָדער דעסטיניישאַן פּאָרט נומער) און די העכער מדרגה פּראָטאָקאָל אינפֿאָרמאַציע געדרוקט. אין באַזונדער, פעלד נעמען דינסט ריקוועס (RFC-1034/1035) און Sun RPC רופט (RFC-1050) צו NFS.

UDP נאָמען סערווירער ריקוועס

(NB: די פאלגענדע באַשרייַבונג אַסומז קאַנווענשאַנערי מיט די פעלד סערוויס פּראָטאָקאָל דיסקרייבד אין RFC-1035. אויב איר זענט נישט באַקאַנט מיט דעם פּראָטאָקאָל, די ווייַטערדיק באַשרייַבונג וועט זיין געוויזן צו זיין געשריבן אין גריכיש.)

נאָמען סערווער ריקוועס זענען פאָרמאַטטעד ווי

src> dst: id op? פלאַגס qtype qclass name (len) h2opolo.1538> helios.domain: 3+ א? ucbvax.berkeley.edu. (37)

באַלעבאָס געבעטן די פעלד סערווער אויף העליאָס פֿאַר אַ אַדרעס רעקאָרד (קטיפּע = א) פארבונדן מיט די נאָמען ucbvax.berkeley.edu. די אָנפֿרעג שייַן איז '3'. די `+ 'ינדיקייץ די רעקורסיאָן געוואלט פאָן איז געווען באַשטימט. די לענג פון די אָנפֿרעג איז געווען 37 ביטעס, ניט אַרייַנגערעכנט די ודפּ און IP פּראָטאָקאָל כעדערז. די אָפּציע אָפּעראַציע איז געווען דער נאָרמאַל איינער, קיקי , אַזוי די אָפּ פעלד איז געווען איבערגעהיפּערט. אויב דער אָפּציע איז עפּעס אַנדערש, עס וואָלט זיין געדרוקט צווישן די `3 'און די` +'. סימילאַרלי, די קקלאַסס איז דער נאָרמאַל איינער, C_IN , און איבערגעהיפּערט. קיין אַנדערער קקלאַסס וואָלט האָבן שוין געדרוקט נאָך די `א '.

א ביסל אַנאַמאַליז זענען אָפּגעשטעלט און קען רעזולטאַט אין עקסטרע פעלדער ענקלאָוזד אין קוואַדראַט בראַקאַץ: אויב אַ אָנפֿרעג כּולל אַ ענטפֿערן, אַקשאָנעס רעקאָרדס אָדער נאָך רעקאָרדס אָפּטיילונג, אַנקאַונט , נסקאָונט , אָדער אַרקאָונט זענען געדרוקט ווי `[ n אַ] ',` [ ] 'אָדער' [ ען אָו] 'ווו n איז די צונעמען ציילן. אויב קיין פון די ענטפער ביטן זענען באַשטימט (אַאַ, ראַ אָדער רקאָדע) אָדער קיין פון די `מוזן זיין נול 'ביץ שטעלן אין ביטעס צוויי און דרייַ,` [ב 2 & 3 = רענטגענ ]' איז געדרוקט, ווו רענטגענ איז די העקס ווערט פון כעדער ביטעס צוויי און דרייַ.

UDP נאָמען סערווירער רעספּאָנסעס

נאָמען רעספּאָנסעס נאָמען זענען פאָרמאַטטעד ווי

src> dst: id אויף rcode flags a / n / au טיפּ קלאַס דאַטן (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

אין דער ערשטער בייַשפּיל, העליאָס ריספּאַנדז צו אָנפֿרעג יד 3 פון ה 2 אָפּאָלאָ מיט 3 ענטפֿערס רעקאָרדס, 3 נאָמען סערווער רעקאָרדס און 7 נאָך רעקאָרדס. דער ערשטער ענטפער רעקאָרד איז טיפּ א (אַדרעס) און זייַן דאַטן איז אינטערנעט אַדרעס 128.32.137.3. די גאַנץ גרייס פון דער ענטפער איז 273 ביטעס, עקסקלודינג ודפּ און IP כעדערז. די אָפּ (קווערי) און ענטפער קאָד (NoError) זענען אוועקגענומען, ווי איז די קלאַס (C_IN) פון די א רעקאָרד.

אין דעם צווייטן בייַשפּיל, העליאָס ריספּאַנדז צו אָנפֿרעג 2 מיט אַ ענטפער קאָד פון ניט-עקסיסטירן פעלד (NXDomain) מיט קיין ענטפֿערס, איינער נאָמען סערווער און קיין אויטאָריטעט רעקאָרדס. די `* 'ינדיקייץ אַז די אַטאָראַטייטיוו ענטפֿערן ביט איז באַשטימט. זינט עס זענען קיין ענטפֿערס, קיין טיפּ, קלאַס אָדער דאַטן זענען געדרוקט.

אנדערע פאָן אותיות אַז קען דערשייַנען זענען '-' (רעקורסיאָן פאַראַנען, ראַ, ניט שטעלן) און `| ' (טראַנזקאַטעד אָנזאָג, טק, שטעלן). אויב די 'קשיא' אָפּטיילונג טוט נישט אַנטהאַלטן פּונקט איין פּאָזיציע, '[q]' איז געדרוקט.

באַמערקונג אַז נאָמען סערווער ריקוועס און רעספּאָנסעס טענד צו זיין גרויס און די פעליקייַט סנאַפּלאַן פון 68 ביטעס קען נישט כאַפּן גענוג פון דעם פּאַקאַט צו דרוקן. ניצן די -ס פאָן צו פאַרגרעסערן די סנאַפּלען אויב איר דאַרפֿן צו עמעס יבערקוקן נאָמען סערווער פאַרקער. `` סס 128 'אַרבעט געזונט פֿאַר מיר.

סמב / סיפס דיקאָודינג

טקפּדומפּ איצט כולל פערלי ברייט סמב / סיפס / נבט דיקאָודינג פֿאַר דאַטן אויף ודפּ / 137, ודפּ / 138 און טקפּ / 139. עטלעכע פּרימיטיוו דיקאָודינג פון יפּקס און נעטבעיו סמב דאַטן איז אויך געשען.

דורך פעליקייַט אַ פייַן מינימאַל דעקאָדע איז געטאן, מיט אַ פיל מער דיטיילד דעקאָדע געטאן אויב -וו איז געניצט. זיין געווארנט אַז מיט-אַ איין סמב פּאַקאַט קען נעמען אַרויף אַ בלאַט אָדער מער, אַזוי נאָר נוצן -וו אויב איר טאַקע ווילן אַלע די גאָרי פרטים.

אויב איר זענען דיקאָודינג סמב סעשאַנז מיט אוניקאָד סטרינגס דעמאָלט איר זאל וועלן צו באַשטימען די סוויווע בייַטעוודיק USE_UNICODE צו 1. א לאַטע צו אַוטאָ-דעטעקט וניקאָדע סרינגס וואָלט זיין באַגריסן.

פֿאַר אינפֿאָרמאַציע אויף סמב פּאַקאַט פֿאָרמאַטירונגען און וואָס אַלע די פעלדער מיינען זען www.cifs.org אָדער די שענק / סאַמבאַ / ספּעקס / Directory אויף דיין באַליבט samba.org שפּיגל פּלאַץ. די סמב פּאַטשאַז זענען געשריבן דורך Andrew Tridgell (tridge@samba.org).

NFS ריקוועס און רעפּליעס

Sun NFS (Network File System) ריקווייערז און ענטפֿערס זענען געדרוקט ווי:

src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ​​אויף רעזולטאַטן sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: reply ok 40 רעאַדלינק "../var" sushi.201b> wrl.nfs: 144 lookup fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: ענטפער ok 128 lookup fh 9,74 / 4134.3150

אין דער ערשטער שורה, באַלעבאָס סושי סענדז אַ מאַסע - מאַטן מיט שייַן 6709 צו וורל (טאָן אַז די נומער נאָך די סרטאָ באַלעבאָס איז אַ טראַנסאַקטיאָן שייַן, נישט די מקור פּאָרט). די בעטן איז 112 ביטעס, עקסקלודינג די ודפּ און יפּ כעדערז. דער אָפּעראַציע איז געווען אַ רעאַדלינק (לייענען סימבאָליש לינק) אויף טעקע הענטל ( פה ) 21,24 / 10,731657119. (אויב איינער איז מאַזלדיק, ווי אין דעם פאַל, די טעקע שעפּן קענען זיין ינטערפּראַטאַד ווי אַ הויפּט, מינערווערטיק נומער נומער פּאָר, נאכגעגאנגען דורך די ינאָדע נומער און דור נומער.) רסל רעספּיעס `גוט 'מיט די אינהאַלט פון די לינקס.

אין די דריט שורה, סושי פראַנגקלי גערופן ' xcolors ' אין Directory טעקע 9,74 / 4096.6878. באַמערקונג אַז די דאַטע געדרוקט דעפּענדס אויף די אָפּעראַציע טיפּ. דער פֿאָרמאַט איז בדעה צו זיין זיך יקספּלאַנאַטאָרי אויב לייענען אין קאַנדזשאַנגקשאַן מיט אַ נפס פּראָטאָקאָל ספּעק.

אויב די -v (verbose) פאָן איז געגעבן, נאָך אינפֿאָרמאַציע איז געדרוקט. פֿאַר בייַשפּיל:

sushi.1372a> wrl.nfs: 148 לייענען פה 21,11 / 12.195 8192 ביטעס @ 24576 wrl.nfs> sushi.1372a: ענטפער ok 1472 לייענען רעג 100664 ידס 417/0 sz 29388

(-v אויך דרוקן די יפּ כעדער טטל, שייַן, לענג, און פראַגמאַנטיישאַן פעלדער, וואָס זענען געווען איבערגעקערט פון דעם בייַשפּיל.) אין דער ערשטער שורה, סושי ריקווייערז צו לייענען 8192 ביטעס פון טעקע 21,11 / 12,195, ביי ביי ווערסיע 24576. Wrl ריפּלייז `גוט '; די פּאַקקאַגינג געוויזן אויף די רגע שורה איז דער ערשטער פראַגמענט פון דער ענטפער, און דאָס איז בלויז 1472 ביטעס לאַנג (די אנדערע ביטעס וועט נאָכפאָלגן אין סאַבסאַקוואַנט פראַגמאַנץ, אָבער די פראַגמאַנץ טאָן ניט האָבן נפס אָדער אַפֿילו ודפּ כעדערז און אַזוי קען נישט ווערן געדרוקט, דיפּענדינג אויף די פילטער אויסדרוק געניצט). ווייַל די -וו פאָן איז געגעבן, עטלעכע פון ​​די טעקע אַטריביוץ (וואָס זענען אומגעקערט צו די טעקע דאַטע) זענען געדרוקט: דער טעקע טיפּ (`` רעג '', פֿאַר רעגולער טעקע), די טעקע מאָדע (אין אָקטאַל) די וי און פירן, און די טעקע גרייס.

אויב די -v פאָן איז געגעבן מער ווי אַמאָל, אפילו מער פרטים זענען געדרוקט.

באַמערקונג אַז NFS ריקוועס זענען זייער גרויס, און פיל פון די דעטאַל וועט נישט זיין געדרוקט אויב סנאַפּלאַן איז געוואקסן. פרובירט ניצן ` -ז 192 'צו היטן NFS פאַרקער.

נפס ענטפער פּאַקיץ טאָן נישט עקסקליטיוולי ידענטיפיצירן די רפּק אָפּעראַציע. אַנשטאָט, tcpdump האלט שפּור פון `` פריש '' ריקוועס, און שוועבעלעך זיי צו די ריפּלייז ניצן די טראַנסאַקטיאָן שייַן. אויב אַ ענטפער טוט נישט ענג נאָכפאָלגן די קאָראַספּאַנדינג בעטן, עס קען נישט זיין פּאַרסאַבאַל.

AFS ריקוועס און רעפּליעס

Transarc AFS (Andrew File System) ריקווייערז און ריפּלייז זענען געדרוקט ווי:

src.sport> dst.dport: רקס פּאַקאַט-טיפּ src.sport> דסט.דפּאָרט: רקס פּאַקאַט-טיפּ דינסט רופן רופן-נאָמען אַרגס src.sport> דסט.דפּאָרט: רקס פּאַקאַט-טיפּ דינסט ענטפער רופן-נאָמען אַרגס עלוויס. 7001> pike.afsfs: רקס דאַטן פס רופן רענאַמע אַלט פאָן 536876964/1/1 ".נעווסרק.נעוו" נייַ פאָן 536876964/1/1 ".נעווסרק" פּיקע.אַפספס> עלוויס .7001: רקס דאַטן פס ענטפער רענאַמע

אין דער ערשטער שורה, באַלעבאָס עלוויס סענדז אַ רקס פּאַקאַט צו העכט. דעם איז אַ רקס דאַטן פּאַקאַט צו די פס (פילעסערווער) דינסט, און איז דער אָנהייב פון אַ רפּק רופן. די רפּק רופן איז געווען אַ רענאַמע מיט די אַלט Directory טעקע פון ​​536876964/1/1 און אַן אַלט טעקע נאָמען פון `.נעווסרק.נעוו ', און אַ נייַע טעקע טעקע פון ​​536876964/1/1 און אַ נייַע טעקע נאָמען פון`. newsrc '. דער באַלעבאָס פּיקאָ ריספּאַנדז מיט אַ רפּק ענטפער צו די רענאַמע רופן (וואָס איז געווען מצליח, ווייַל עס איז געווען אַ דאַטן פּאַקאַט און ניט אַ אַבאָרט פּאַקקאַגע).

אין אַלגעמיין, אַלע אַפס רפּקס זענען דיספּאָוזד בייַ מינדסטער רפּק רופן נאָמען. רוב אַפס רפּקס האָבן בייַ מינדסטער עטלעכע פון ​​די אַרגומענטן דיקאָודאַד (בכלל בלויז די `טשיקאַווע 'אַרגומענטן, פֿאַר עטלעכע דעפֿיניציע פון ​​טשיקאַווע).

די פֿאָרמאַט איז בדעה צו זיין זיך-דיסקרייבינג, אָבער עס וועט מיסטאָמע נישט נוציק צו מענטשן וואָס זענען נישט באַקאַנט מיט די ווערקינגז פון אַפס און רקס.

אויב די -וו (verbose) פאָן איז געגעבן צוויי מאָל, דערקענטלעשונג פּאַקיץ און נאָך כעדער אינפֿאָרמאַציע איז געדרוקט, אַזאַ ווי די רקס רופן שייַן, רופן נומער, סיקוואַנס נומער, סיריאַל נומער, און די רקס פּאַקאַט פלאַגס.

אויב די -וו פאָן איז געגעבן צוויי מאָל, נאָך אינפֿאָרמאַציע איז געדרוקט, אַזאַ ווי די רקס רופן שייַן, סיריאַל נומער, און די רקס פּאַקאַט פלאַגס. די מטו פאַרהאַנדלונג אינפֿאָרמאַציע איז אויך געדרוקט פון רקס אַק פּאַקיץ.

אויב די -v פאָן איז געגעבן דרייַ מאָל, די זיכערהייַט אינדעקס און דינען שייַן זענען געדרוקט.

טעות קאָודז זענען געדרוקט פֿאַר אַבאָרד פּאַקיץ, מיט די ויסנעם פון וביק ביקאַן פּאַקיץ (ווייַל אַבאָרד פּאַקיץ זענען געניצט צו באַטראַכטן אַ יאָ שטימען פֿאַר די וביק פּראָטאָקאָל).

באַמערקונג אַז AFS ריקוועס זענען זייער גרויס, און פילע אַרגומענטן וועט נישט זיין געדרוקט אויב סנאַפּלאַן איז געוואקסן. פּרוּווט ניצן ` ס 256 'צו זען אַפס פאַרקער.

AFS ענטפֿערן פּאַקיץ טאָן ניט בישטיקע ידענטיפיצירן די RPC אָפּעראַציע. אַנשטאָט, tcpdump האלט שפּור פון `` פריש '' ריקוועס, און שוועבעלעך זיי צו די ריפּלייז ניצן די רופן נומער און דינען שייַן. אויב אַ ענטפער טוט נישט ענג נאָכפאָלגן די קאָראַספּאַנדינג בעטן, עס קען נישט זיין פּאַרסאַבאַל.

קיפּ אַפּפּלעטאַלק (דדפּ אין ודפּ)

אַפּפּלעטאַלק דדפּ פּאַקיץ ענקאַפּסאַלייטיד אין ודפּ דאַטאַגראַמז זענען דע-ענקאַפּסאַלייטיד און דאַמפּט ווי דדפּ פּאַקיץ (י.ע., אַלע די ודפּ כעדער אינפֿאָרמאַציע איז דיסקאַרדיד). דער טעקע / עטק / יטאַלק.נאַמעס איז געניצט צו איבערזעצן אַפּלאַטאַלק נעץ און נאָדע נומערן צו נעמען. לינעס אין דעם טעקע האָבן די פאָרעם

נומער נאָמען 1.254 עטהער 16.1 icsd-net 1.254.110 אַס

דער ערשטער צוויי שורות געבן די נעמען פון אַפּלאַטאַלק נעטוואָרקס. די דריט שורה גיט די נאָמען פון אַ באַזונדער באַלעבאָס (אַ באַלעבאָס איז אונטערטעניק פון אַ נעץ דורך די 3 אָקטעט אין די נומער - אַ נעץ נומער מוזן האָבן צוויי אָקטעץ און אַ האָסט נומער מוזן האָבן דרייַ אָקטעץ.) די נומער און נאָמען זאָל זיין אפגעשיידט דורך ווהיטעספּאַסע (בלאַנקס אָדער טאַבס). די /עטק/אַטאַלק.נאַמעס טעקע קען אַנטהאַלטן ליידיק שורות אָדער קאָמענטאַר שורות (שורות סטאַרטינג מיט אַ `# ').

אַפּפּלעטאַלק אַדרעסעס זענען געדרוקט אין די פאָרעם:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(אויב די / עטק / אַנאַטעק.נאַמעס טוט ניט עקסיסטירן אָדער טוט נישט אַנטהאַלטן אַ פּאָזיציע פֿאַר עטלעכע אַפּלאַטאַלק באַלעבאָס / נעץ נומער, אַדרעסעס זענען געדרוקט אין נומעריק פאָרעם.) אין דער ערשטער בייַשפּיל, NBP (דדפּ פּאָרט 2) אויף נעץ 144.1 נאָדע 209 איז געשיקט צו וואָס איז ליסטענינג אויף פּאָרט 220 פון נעץ ייקסד נאָדע 112. די רגע שורה איז די זעלבע, אָבער די פול נאָמען פון די מקור נאָדע איז באקאנט (`אָפיס '). די דריט שורה איז אַ שיקן פון פּאָרט 235 אויף נעץ דזשסמאַג נאָדע 149 צו בראָדקאַסט אויף די יקלד-נעץ נבפּ פּאָרט (טאָן אַז דער בראָאַדקאַסט אַדרעס (255) איז אנגעוויזן דורך אַ נעץ נאָמען מיט קיין באַלעבאָס נומער - דעריבער עס ס אַ גוט געדאַנק צו האַלטן נאָדע נעמען און נעץ נעמען אַנדערש אין / עטק / יטאַלק.נאַמעס).

נבפּ (נאָמען ביינדינג פּראָטאָקאָל) און אַטפּ (אַפּפּלעטאַלק טראַנסאַקטיאָן פּראָטאָקאָל) פּאַקיץ האָבן זייער צופרידן ינטערפּראַטאַד. אנדערע פּראָטאָקאָלס פּונקט דאַמפּ די פּראָטאָקאָל נאָמען (אָדער נומער אויב קיין נאָמען איז רעגיסטרירט פֿאַר דעם פּראָטאָקאָל) און פּאַקאַט גרייס.

נפּפּ פּאַקיץ זענען פאָרמאַטטעד ווי די ווייַטערדיק ביישפילן:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-reply 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -נעט.112.220: נבפּ-ענטפער 190: "טעקפּיט: לאַסערווריטער @ *" 186

דער ערשטער שורה איז אַ נאָמען לוקאַפּ בעטן פֿאַר לאַזער ווריטערס געשיקט דורך נעץ יקסד האָסט 112 און בראָדקאַסט אויף נעץ דזשססמאַג. די נב בילד פֿאַר די לוקאַפּ איז 190. די רגע שורה ווייזט אַ ענטפער פֿאַר דעם בעטן (טאָן אַז עס האט די זעלבע שייַן) פון באַלעבאָס דזשססמאַג .209 געזאגט אַז עס האט אַ לאַזערווריטער מיטל געהייסן "רמ 1140" רעגיסטרירט אויף פּאָרט 250. די דריט שורה איז אן אנדערן ענטפער צו דער זעלביקער בעטן דערקלערט באַלעבאָס טעטשפּיט האט לאַזערווריטער "טעקפּיט" רעגיסטרירט אויף פּאָרט 186.

ATP פּאַקאַט פאָרמאַטטינג איז דעמאַנסטרייטיד דורך די ווייַטערדיק בייַשפּיל:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- ריפּער 12266: 4 (512) 0xae040000 העליאָס .132> דזשססמאַג .209.165: אַטפּ-אָפּשפּרונג 12266: 5 (512) 0xae040000 העליאָס .132> דזשססמאַג .209.165: אַטפּ-אָפּשיקן 12266: 6 (512) 0xae040000 העליאָס .132> דזשססמאַג. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3,5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

דזשססמאַג .209 ינישיייטז טראַנסאַקטיאָן id 12266 מיט באַלעבאָס העליאָס דורך ריקוועסטינג אַרויף צו 8 פּאַקיץ (די `<0-7> '). די העקס נומער אין די סוף פון די שורה איז די ווערט פון די 'וסערדאַטאַ' פעלד אין די בעטן.

העליאָס ריספּאַנדז מיט 8 512-בייט פּאַקיץ. די `: ציפֿער 'ווייַטערדיק די טראַנסאַקטיאָן יד גיט די פּאַקאַט סיקוואַנס נומער אין די מאַסע - מאַטן און די נומער אין פּאַרענס איז די סומע פון ​​דאַטן אין די פּאַקאַט, עקסקלודינג די אַטפּ כעדער. די `* 'אויף פּאַקאַט 7 ינדיקייץ אַז די עאָמ ביסל איז באַשטימט.

דזשססמאַג .209 דעמאָלט ריקווייערז אַז פּאַקיץ 3 & 5 ווערן רעטראַנסמיטיד. Helios resends them then jssmag.209 ריליסיז די מאַסע - מאַטן. סוף, דזשססמאַג .209 ינישיאַץ די ווייַטער בקשה. די `* 'אויף די בקשה ינדיקייץ אַז XO (` פּונקט אַמאָל') איז נישט שטעלן.

יפּ פראַגמענטאַטיאָן

פראַגמענטעד אינטערנעט דאַטאַגראַמז זענען געדרוקט ווי

(פראג שייַן : גרייס @ אָפסעט +) (פראג שייַן : גרייס @ פאָטאָ )

(דער ערשטער פאָרעם ינדיקייץ דאָרט זענען מער פראַגמאַנץ. די רגע ינדיקייץ דעם איז די לעצטע פראַגמענט.)

יד איז די פראַגמענט שייַן. גרייס איז די פראַגמענט גרייס (אין ביטעס) עקסקלודינג די יפּ כעדער. אָפסעט איז דער פראַגמענט 'ס פאָטאָ (אין ביטעס) אין דער אָריגינעל דאַטאַגראַם.

דער פראַגמענט אינפֿאָרמאַציע איז רעזולטאַט פֿאַר יעדער פראַגמענט. דער ערשטער פראַגמענט כּולל די העכער מדרגה פּראָטאָקאָל כעדער און די פראַג אינפֿאָרמאַציע איז געדרוקט נאָך דעם פּראָטאָקאָל אינפֿאָרמאַציע. פראַגמענץ נאָך דער ערשטער אַנטהאַלטן ניט העכער מדרגה פּראָטאָקאָל כעדער און די פראַג אינפֿאָרמאַציע איז געדרוקט נאָך די מקור און דעסטיניישאַן ווענדט. פֿאַר בייַשפּיל, דאָ איז טייל פון אַ פטפּ פון arizona.edu צו lbl-rtsg.arpa איבער אַ קסנעט פֿאַרבינדונג וואָס טוט ניט דערשייַנען צו שעפּן 576 ביטע דאַטאַגראַמס:

אַריזאָנ.פטפּ-דאַטן> רצג .1170:. 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) אַריזאָנאַ> rtsg: (frag 595a: 204 @ 328) rtsg.1170> arizona.ftp-data:. אַק 1536 געווינען 2560

עס זענען דאָ אַ פּאָר פון זאכן צו טאָן: ערשטער, אַדדרעססעס אין די 2 שורה טאָן ניט אַרייַננעמען פּאָרט נומערן. דעם איז ווייַל די טקפּ פּראָטאָקאָל אינפֿאָרמאַציע איז אַלע אין דער ערשטער פראַגמענט און מיר האָבן קיין געדאַנק וואָס די פּאָרט אָדער סיקוואַנס נומערן זענען ווען מיר דרוקן די שפּעטער פראַגמאַנץ. רגע, די טקפּ סיקוואַנס אינפֿאָרמאַציע אין דער ערשטער שורה איז געדרוקט ווי אויב עס זענען 308 ביטעס פון באַניצער דאַטן ווען, אין פאַקט, עס זענען 512 ביטעס (308 אין דער ערשטער פראַג און 204 אין די רגע). אויב איר זוכט פֿאַר האָלעס אין די סיקוואַנס אָרט אָדער טריינג צו גלייַכן אַרויף אַאַקס מיט פּאַקיץ, דעם קענען נאַר איר.

א פּאַקאַט מיט די יפּ טאָן ניט פראַגמענט פאָן איז אנגעצייכנט מיט אַ טריילינג (דף) .

טימעסטאַמפּס

דורך פעליקייַט, אַלע רעזולטאַט שורות זענען פּריסטיד דורך אַ טימעסטאַמפּ. די טימעסטאַמפּ איז די קראַנט זייגער צייַט אין די פאָרעם

hh: mm: ss.frac

און איז ווי פּינטלעך ווי די קערן זייגער. די טימעסטאַמפּ ריפלעקס די צייַט די קערן ערשטער געזען דעם פּאַקאַט. ניט פּרווון איז געמאכט צו חשבון פֿאַר די צייט אָפּשטיי צווישן די עטהערנעט צובינד אראפגענומען די פּאַקאַט פון די דראָט און ווען די קערן סערוויסט די `נייַע פּאַקאַט 'יבעררייַס.

זען אויך

פאַרקער (1 ק), ניט (4 פּ), בפף (4), פּקאַפּ (3)

וויכטיק: ניצן די מענטש באַפֿעל ( % man ) צו זען ווי אַ באַפֿעל איז געוויינט אויף דיין באַזונדער קאָמפּיוטער.