TCPDUMP中文手冊(cè)的手冊(cè)

tcpdumptcpdumptcpdump[-adeflnNOpqStvx][-c數(shù)量][-F文件名][-i網(wǎng)絡(luò)接口][-r文件名][-ssnaplen][-T類型][-w文件名][表達(dá)式]描述(DESCRIPTION)TcpdumpexpressionSunOSnitbpftcpdump,你必需有/dev/nit/dev/bpf*的讀訪問(wèn)權(quán)限.Solarisdlpi:你必需有網(wǎng)絡(luò)仿真設(shè)備(networkpseudodevice),如/dev/leHP-UXdlpi:你必需是root,rootuidIRIXsnoop:你必需root,root的設(shè)置uid程序.對(duì)于Linuxroot,或者把它安裝成rootuidUltrixDigitalUNIX:一旦超級(jí)用戶使用pfconfig(8promiscuous(promiscuous-mode)tcpdump.對(duì)于BSD:你必需有/dev/bpf*的讀訪問(wèn)權(quán)限.參數(shù)-a-d參數(shù)-a-d-dd-ddd-e-f-l-n-t-v-vv-c-F-i-r-w介紹將網(wǎng)絡(luò)地址和播送地址轉(zhuǎn)變成名字將匹配信息包的代碼以人們能夠理解的匯編格式給出c將匹配信息包的代碼以十進(jìn)制的形式給出在輸出行打印出數(shù)據(jù)鏈路層的頭部信息Internet使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字在輸出的每一行不打印時(shí)間戳ipttl輸出具體的報(bào)文信息在收到指定的包的數(shù)目后，tcpdump就會(huì)停頓從指定的文件中讀取表達(dá)式,無(wú)視其它的表達(dá)式指定監(jiān)聽(tīng)的網(wǎng)絡(luò)接口從指定的文件中讀取包(這些包一般通過(guò)-w選項(xiàng)產(chǎn)生)直接將包寫入文件中，并不分析和打印出來(lái)-T-T將監(jiān)聽(tīng)到的包直接解釋為指定的類型的報(bào)文，常見(jiàn)的類型有rpc〔遠(yuǎn)程過(guò)程調(diào)用〕snmp〔簡(jiǎn)潔網(wǎng)絡(luò)治理協(xié)議；〕tcpdump表達(dá)式是一個(gè)正則表達(dá)式，tcpdump利用它作為過(guò)濾報(bào)文的條件，假設(shè)一個(gè)報(bào)文滿足表達(dá)式的條件，則這個(gè)報(bào)文將會(huì)被捕獲。假設(shè)沒(méi)有給出任何條件，則網(wǎng)絡(luò)上全部的信息包將會(huì)被截獲。在表達(dá)式中一般如下幾種類型的關(guān)鍵字，一種是關(guān)于類型的關(guān)鍵字，主要包括host，net，port,例如host，指明netport23指明端口號(hào)是23host.其次種是確定傳輸方向的關(guān)鍵字，主要包括src,dst,dstorsrc,dstandsrcsrc,ip,dstnet。假設(shè)沒(méi)有指srcordstfddi,ip,arp,rarp,tcp,udpFddi指明是在FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是“ether“的別名，fddi和ether具有類似的源地fddiether其他的幾個(gè)關(guān)鍵字就是指明白監(jiān)聽(tīng)的包的協(xié)議內(nèi)容。假設(shè)沒(méi)有指定任何協(xié)議，則tcpdump將會(huì)監(jiān)聽(tīng)全部協(xié)議的信息包。除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway,broadcast,less,greater,還有三種規(guī)律運(yùn)算，取非運(yùn)算是”not””!”,與運(yùn)算是”and”,”&&”;或運(yùn)算是”or”,”||”；這些關(guān)鍵字可以組合起來(lái)構(gòu)成強(qiáng)大的組合條件來(lái)滿足人們的需要，下面舉幾個(gè)例子來(lái)說(shuō)明。的主機(jī)收到的和發(fā)出的全部的數(shù)據(jù)包：#tcpdumphost(2)〔。在命令行中使用括號(hào)時(shí)，肯定要#tcpdumphostand\(or\)之外全部主機(jī)通信的ip#tcpdumpiphostand!telnet#tcpdumptcpport23hosttcpdump的輸出結(jié)果介紹tcpdump數(shù)據(jù)鏈路層頭信息#tcpdump-ehosticeicelinuxMAC0：90：27：58：AF：1AH219SOLARICSUN工作站，它的MAC8：0：20：79：B：46；上一條命令的輸出結(jié)果如下所示：21:50:12.847509eth0<8:0:20:79:5b:460:90:27:58:af:1aip60:h219.33357>ice.telnet0:0(0)ack22535win8760(DF)分析：21：50：12847509ID，eth0eth0承受該數(shù)據(jù)包，eth0>表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送數(shù)據(jù)包,8:0:20:79:5b:46H219MACH2190:90:27:58:af:1aICEMACICE.ipIP,60是數(shù)據(jù)包的長(zhǎng)度,h219.33357>ice.telnetH21933357ICETELNET(23)端口.ack22535222535win87608760.ARPTCPDUMP使用命令#tcpdumparp得到的輸出結(jié)果是：22:32:42.802509eth0>arpwho-hasroutetellice(0:90:27:58:af:1a)22:32:42.802902eth0<arpreplyrouteis-at0:90:27:12:10:66(0:90:27:58:af:1a)分析:22:32:42802509IDeth0>說(shuō)明從主機(jī)發(fā)出該數(shù)據(jù)包,arpARP懇求包,who-hasroutetelliceICE懇求主機(jī)ROUTEMAC0:90:27:58:af:1aICEMACTCPTCPDUMPTCPsrc>dst:flagsdata-seqnoackwindowurgentoptionssrc>dst:說(shuō)明從源地址到目的地址,flagsTCP,SSYNF(FIN),P(PUSH),R(RST)data-seqnoack望的挨次號(hào),windowurgentOptionsUDPTCPDUMPUDProute.port1>ice.port2:udplenthUDPROUTEport1端口發(fā)出的一個(gè)UDP數(shù)據(jù)包到主機(jī)ICEport2UDP，包的長(zhǎng)度是lenthTCPDUMP名稱(NAME)tcpdump-總覽(SYNOPSIS)tcpdump[-adeflnNOpqStvx][-ccount][-Ffile][-iinterface][-rfile][-ssnaplen][-Ttype][-wfile][expression]描述(DESCRIPTION)Tcpdumpexpression的報(bào)頭.對(duì)于SunOS的nit或bpf界面:要運(yùn)行tcpdump,/dev/nit或/dev/bpf*對(duì)于Solaris的dlpi:(networkpseudodevice),如/dev/le的讀訪問(wèn)權(quán)限.對(duì)于HP-UX的dlpi:root,root的設(shè)置uid程序.對(duì)于IRIX的snoop:root,root的設(shè)置uidLinux:root,root的設(shè)置uid對(duì)于Ultrix和DigitalUNIX:pfconfig(8)開(kāi)放了promiscuous操作模式(promiscuous-mode),tcpdump.對(duì)于BSD:/dev/bpf*選項(xiàng)(OPTIONS)-a-c當(dāng)收到count報(bào)文后退出.-d把編譯好的報(bào)文匹配模板(packet-matchingcode)翻譯成可讀形式,傳往標(biāo)準(zhǔn)輸出,然后退出.-dd把報(bào)文匹配模板(packet-matchingcode)以C-ddd把報(bào)文匹配模板(packet-matchingcode)以十進(jìn)制數(shù)形式輸出(前面加上總數(shù)).-e每行都顯示鏈路層報(bào)頭.-f用數(shù)字形式顯示”外部的”互聯(lián)網(wǎng)地址,而不是字符形式(這個(gè)選項(xiàng)用來(lái)繞開(kāi)腦殼壞光的SUN-F把file的內(nèi)容用作過(guò)濾表達(dá)式.無(wú)視命令行上的表達(dá)式.-i監(jiān)聽(tīng)interface.,tcpdump在系統(tǒng)的接口清單中,查找號(hào)碼最小,已經(jīng)配置好的接口(loopback除外).選中的時(shí)候會(huì)中斷連接.-l行緩沖標(biāo)準(zhǔn)輸出.可用于捕獲數(shù)據(jù)的同時(shí)查看數(shù)據(jù).例如,``tcpdump-l|teedat””or``tcpdump-l>dat&tail-fdat””.-n別把地址轉(zhuǎn)換成名字(就是說(shuō),主機(jī)地址,端口號(hào)等)-N不顯示主機(jī)名字中的域名局部.例如,假設(shè)使用這個(gè)選項(xiàng),tcpdump只顯示``nic””,``””.-Obug-ppromiscuous模式.留意,接口有可能因其他緣由而處于promiscuous模式;因此,”-p”`etherhost{local-hw-addr}或etherbroadcast”-q快速輸出.顯示較少的協(xié)議信息,輸出行會(huì)短一點(diǎn)點(diǎn).-r從file中讀入數(shù)據(jù)報(bào)(文件是用-w選項(xiàng)創(chuàng)立的).假設(shè)file``-””,-ssnaplen68(SunOS的NIT96).68IP,ICMP,TCP和UDP,但是有可能截掉名字效勞器和NFS報(bào)文的協(xié)議信息(見(jiàn)下面).輸出時(shí)假設(shè)指定``[|proto]””,tcpdump可以指出那些捕獲量過(guò)小的數(shù)據(jù)報(bào),這里的proto是截?cái)喟l(fā)生處的協(xié)議層名稱.留意,承受更大的捕獲范圍既增加了處理報(bào)文的時(shí)間,又相應(yīng)的削減了報(bào)文的緩沖數(shù)量,可能導(dǎo)致報(bào)文的丟失.你應(yīng)當(dāng)把snaplen-T把通過(guò)“expression“type.:rpc(RemoteProcedureCall),rtp(實(shí)時(shí)應(yīng)用協(xié)議Real-TimeApplicationsprotocol),rtcp(Real-TimeApplicationscontrolprotocol),vat(可視音頻工具VisualAudioTool),和wb(分布式白板distributedWhiteBoard).-STCP-t制止顯示時(shí)戳標(biāo)志.-tt顯示未格式化的時(shí)戳標(biāo)志.-vIP-vvNFS應(yīng)答報(bào)文的附加域.-wfile,-rfile``-””,-x以16snaplen個(gè)字節(jié).expression用來(lái)選擇要轉(zhuǎn)儲(chǔ)的數(shù)據(jù)報(bào).假設(shè)沒(méi)有指定expression,expression為`true”expression一個(gè)或多個(gè)原語(yǔ)(primitive)組成.原語(yǔ)通常由一個(gè)標(biāo)識(shí)(id,個(gè)修飾子(qualifier)typehost,net和port.如,`hostfoo”,`net128.3”,`port20”.host.dir方向修飾子指出相對(duì)于標(biāo)識(shí)的傳輸方向(數(shù)據(jù)是傳入還是傳出標(biāo)識(shí)).可以使用的方向有src,dst,srcordst和srcanddst.`srcfoo”,`dstnet128.3”,`srcordstportftp-data”.假設(shè)不指定方向修飾子,就使用缺省的srcordst.對(duì)于`nullslip之類的點(diǎn)到點(diǎn)協(xié)議),用inbound和outbound傳輸方向.proto:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp和udp.,`ethersrcfoo”,`arpnet128.3”,`tcpport21”.假設(shè)不指定協(xié)議修飾子,就使用所有符合類型的協(xié)議.例如,`srcfoo”`(ip或arp或rarp)srcfoo”(),`netbar”`(ip或arp或rarp)netbar”,`port53”`(tcp或udp)port53”.[`fddi”`ether”``用在指定網(wǎng)絡(luò)接口上的數(shù)據(jù)鏈路層.””FDDI報(bào)頭包含類似于以太協(xié)議的源目地址,而且通常包含類似于以太協(xié)議的報(bào)文類型,因此你可以過(guò)濾FDDI域,就象分析以太協(xié)議一樣.FDDI作為上述的補(bǔ)充,有一些特別的`原語(yǔ)”關(guān)鍵字,它們不同于上面的模式:gateway,broadcast,less,greater和數(shù)學(xué)表達(dá)式.這些在后面有表達(dá).更簡(jiǎn)單的過(guò)濾器表達(dá)式可以通過(guò)and,or和not,`hostfooandnotportftpandnotportftp-data”.,`tcpdstportftporftp-dataordomain”實(shí)際上就是`tcpdstportftportcpdstportftp-dataortcpdstportdomain”.允許的原語(yǔ)有:dsthosthostIPhost,.host既可以是地址,也可以是主機(jī)名.srchosthostIPhost,hosthostIPhost,hostip,arp,或rarp關(guān)鍵字做前綴,就象:iphosthost它等價(jià)于:etherproto\ipandhosthost假設(shè)hostIP地址的主機(jī)名,它的每個(gè)地址都會(huì)被查驗(yàn).etherdstehost假設(shè)報(bào)文的以太目的地址是ehost,.Ehost既可以是名字(/etc/ethers里有),也可以是數(shù)字(有關(guān)ethers(3N)).ethersrcehost假設(shè)報(bào)文的以太源地址是ehost,etherhostehost假設(shè)報(bào)文的以太源地址或以太目的地址是ehost,gatewayhosthost當(dāng)做網(wǎng)關(guān),則規(guī)律為真.也就是說(shuō),報(bào)文的以太源或目的地址是host,IP是host.host必需是個(gè)主機(jī)名,而且必需存在/etc/hosts和/etc/ethers中.(一個(gè)等價(jià)的表達(dá)式是etherhostehostandnothosthost對(duì)于host/ehost,dstnetnetIPnet,.net既可以是名字(存在/etc/networks中),也可以是網(wǎng)絡(luò)號(hào).(詳見(jiàn)networks(4)).srcnetnetIPnet,netnetIPnet,netnetmaskmask假設(shè)IP地址匹配指定網(wǎng)絡(luò)掩碼(netmask)的netsrc或dstnetnet/len假設(shè)IPnet,len.src或dstdstportport假設(shè)報(bào)文是ip/tcp或ip/udp,port,.port是一個(gè)數(shù)字,也可以是/etc/services中說(shuō)明過(guò)的名字(參看tcp(4P)和udp(4P)).名字,則只檢查端口號(hào)(例如,dstport513將顯示tcp/login的數(shù)據(jù)和udp/who的數(shù)據(jù),而portdomain將顯示tcp/domain和udp/domainsrcportport假設(shè)報(bào)文的源端口號(hào)是port,portport假設(shè)報(bào)文的源端口或目的端口是port,tcp或udp前綴,就象:tcpsrcportportport的TCPlesslength假設(shè)報(bào)文的長(zhǎng)度小于等于length,len<=length.greaterlength假設(shè)報(bào)文的長(zhǎng)度大于等于length,len>=length.ipprotoprotocolIP數(shù)據(jù)報(bào)(參見(jiàn)ip(4P)),protocol,.Protocol可以是數(shù)字,也可以是以下名稱中的一個(gè):icmp,igrp,udp,nd,或tcptcp,udp,和icmp用反斜杠(\)C-shell中應(yīng)當(dāng)是\\.etherbroadcastether是可選的.ipbroadcastIP.Tcpdump01ethermulticast假設(shè)報(bào)文是以太多目傳送報(bào)文(multicast),ether是可選的.這實(shí)際上是`ether[0]&1!=0”的簡(jiǎn)寫.ipmulticastIP多目傳送報(bào)文,則規(guī)律為真.etherprotoprotocol假設(shè)報(bào)文協(xié)議屬于以太類型的protocol,.Protocolip,arp,rarp.留意這些標(biāo)識(shí)符也是關(guān)鍵字,所以必需用反斜杠(\)FDDI(,`fddiprotocolarp”),802.2(LLC)FDDI,Tcpdump假設(shè)全部的FDDILLCLLCSNAPdecnetsrchost假設(shè)DECNET的源地址是host,``10.123””,或者是DECNET主機(jī)名.[只有DECNET的Ultrix系統(tǒng)支持DECNETdecnetdsthost假設(shè)DECNEThost,decnethosthost假設(shè)DECNEThost,ip,arp,rarp,decnet是:etherprotop的簡(jiǎn)寫形式,其中p為上述協(xié)議的一種.lat,moprc,mopdl是:etherprotop的簡(jiǎn)寫形式,其中ptcpdump目前不知道如何分析這些協(xié)議.tcp,udp,icmp是:ipprotop的簡(jiǎn)寫形式,其中p為上述協(xié)議的一種.exprrelopexpr假設(shè)這個(gè)關(guān)系成立,則規(guī)律為真,其中relop,expr是數(shù)學(xué)表達(dá)式,由常整數(shù)(標(biāo)準(zhǔn)C形式),一般的二進(jìn)制運(yùn)算符[+,-,*,/,&,|],數(shù)據(jù),使用下面的語(yǔ)法:proto[expr:size]Proto是ether,fddi,ip,arp,rarp,tcp,udp,oricmp之一,同時(shí)也指出了下標(biāo)操作的協(xié)議層.expr位的偏移量,該偏移量相對(duì)于指定的協(xié)議層.Size1,2,4,1len例如,`ether[0]&1!=0”捕獲全部的多目傳送報(bào)文.表達(dá)式`ip[0]&0xf!=5”IP`ip[6:2]&0x1fff=0”0tcp和udp,tcp[0]肯定是TCPIP原語(yǔ)可以用下述方法結(jié)合使用:園括弧括起來(lái)的原語(yǔ)和操作符(園括弧在Shell中有專用,所以必需轉(zhuǎn)義).取反操作(`!”or`not”).連結(jié)操作(`&&”or`and”).或操作(`||”or`or”).取反操作有最高優(yōu)先級(jí).或操作和連結(jié)操作有一樣的優(yōu)先級(jí),運(yùn)算時(shí)從左到右結(jié)合.留意連結(jié)操作需要顯式的andnothostvsandace作為nothostvsandhostace的簡(jiǎn)寫形式,不應(yīng)當(dāng)和not(hostvsorace)混淆.表達(dá)式參數(shù)可以作為單個(gè)參數(shù)傳給tcpdump,也可以作為復(fù)合參數(shù),后者更便利一些.一般說(shuō)來(lái),假設(shè)表達(dá)式包含Shell(metacharacter),例如(EXAMPLES)sundown的報(bào)文:tcpdumphostsundown顯示helios和主機(jī)hot,ace之間的報(bào)文傳送:tcpdumphostheliosand\(hotorace\)顯示aceheliosIPtcpdumpiphostaceandnotheliosBerkeley的主機(jī)之間的網(wǎng)絡(luò)數(shù)據(jù):tcpdumpnetucb-ethersnup的ftpshelltcpdump”gatewaysnupand(portftporftp-data)”把數(shù)據(jù)發(fā)往你的本地網(wǎng)絡(luò)).tcpdumpipandnotnetlocalnetTCP(SYN和FINtcpdump”tcp[13]&3!=0andnotsrcanddstnetlocalnet”snup576字節(jié)的IPtcpdump”gatewaysnupandip[2:2]>576”顯示IP播送或多目傳送的數(shù)據(jù)報(bào),這些報(bào)文不是通過(guò)以太網(wǎng)的播送或多目傳送形式傳送的:tcpdump”ether[0]&1=0andip[16]>=224”顯示全部不是回響懇求/ICMPpingtcpdump”icmp[0]!=8andicmp[0]!=0“輸出格式(OUTPUTFORMAT)tcpdump的輸出格式取決于協(xié)議.下面的描述給出大多數(shù)格式的簡(jiǎn)要說(shuō)明和范例.鏈路層報(bào)頭(LinkLevelHeaders)假設(shè)給出”-e”選項(xiàng)就顯示鏈路層報(bào)頭.在以太網(wǎng)上,顯示報(bào)文的源目地址,協(xié)議和報(bào)文長(zhǎng)度.在FDDI網(wǎng)絡(luò)上,”-e”tcpdump顯示出`幀掌握(framecontrol)”域,源目地址和報(bào)文長(zhǎng)度.(`幀掌握”域IP`07;例如,`async4”.802.2規(guī)律鏈路掌握(LLC)ISOSNAPLLC報(bào)頭.(留意:以下描述中假設(shè)你生疏RFC-1144中說(shuō)明的SLIP在SLIP鏈路上,tcpdump顯示出方向指示(``I””指inbound,``O””指outbound),示的是報(bào)文類型.有三種類型ip,utcp和ctcp.ipTCP后面顯示連接標(biāo)識(shí).假設(shè)報(bào)文是壓縮過(guò)的,就顯示出編碼的報(bào)頭.特別情形以*S+n*SA+n的形式顯示,這里的n0U(urgentpointer),W(window),A(ack),S(sequencenumber)和I(packetID)(+nor-n),另一個(gè)值(=n).最終顯示報(bào)文中的數(shù)據(jù)總和,以及壓縮報(bào)頭的長(zhǎng)度.例如,下面一行顯示了一個(gè)傳出的壓縮的TCP報(bào)文,有一個(gè)隱含的連接標(biāo)識(shí);確認(rèn)(ack)6,挨次號(hào)是49,ID6Octcp*A+6S+49I+63(6)ARP/RARPArp/rarp報(bào)文的輸出顯示懇求類型及其參數(shù).輸出格式傾向于能夠自我解釋.這里是一個(gè)簡(jiǎn)潔的例子,來(lái)自主機(jī)rtsg到主機(jī)csam”rlogin”arpwho-hascsamtellrtsgarpreplycsamis-atCSAMrtsgarp報(bào)文詢問(wèn)internet主機(jī)csam.Csam用它的以太地址作應(yīng)答(這個(gè)例子中,以太地址是大寫的,internet地址為小寫).假設(shè)用tcpdump-n看上去要清楚一些:arpwho-hastell8arpreplyis-at02:07:01:00:01:c4假設(shè)用tcpdump-e,可以看到實(shí)際上第一個(gè)報(bào)文是播送,其次個(gè)報(bào)文是點(diǎn)到點(diǎn)的:RTSGBroadcast080664:arpwho-hascsamtellrtsgCSAMRTSG080664:arpreplycsamis-atCSAM這里第一個(gè)報(bào)文指出以太網(wǎng)源地址是RTSG,160806(ETHER_ARP),64TCP(留意:以下的描述中假設(shè)你生疏RFC-793中說(shuō)明的TCPtcpdump都對(duì)你用處不大)tcp協(xié)議的輸出格式是:src>dst:flagsdata-seqnoackwindowurgentoptionsSrc和dst是源目IP.Flags是S(SYN),F(FIN),P(PUSH)或R(RST)`.”(們的組合.Data-seqno).Ack是在這條連接上信源機(jī)期望下一個(gè)接收的字節(jié)的流序號(hào)(sequencenumber).Window.Urg報(bào)文內(nèi)是`緊急(urgent)”O(jiān)ptions是tcpSrc,dst和flagstcp報(bào)頭內(nèi)容,只輸出有必要的局部.rtsgrlogin到主機(jī)csamrtsg.1023>csam.login:S768512:768512(0)win4096csam.login>rtsg.1023:S947648:947648(0)ack768513win4096rtsg.1023>csam.login:.ack1win4096rtsg.1023>csam.login:P1:2(1)ack1win4096csam.login>rtsg.1023:.ack2win4096rtsg.1023>csam.login:P2:21(19)ack1win4096csam.login>rtsg.1023:P1:2(1)ack21win4077csam.login>rtsg.1023:P2:3(1)ack21win4077urg1csam.login>rtsg.1023:P3:4(1)ack21win4077urg1rtsg的tcp1023向csam的login端口發(fā)送報(bào)文.SSYN768512,`first:last(nbytes)”,意思是`從流序號(hào)first到last,last,nbytes(piggy-backedack),4096段大小(max-segment-size)mss1024CsamrtsgSYN的捎帶確認(rèn).然后Rtsg確認(rèn)csam的SYN.`.”(1).tcpdump第一次覺(jué)察一個(gè)tcp會(huì)話時(shí),它顯示報(bào)文攜帶的流序號(hào).在隨后收到的報(bào)文里,它顯示當(dāng)前報(bào)文和最初那個(gè)報(bào)asrelativebytepositionsintheconversation”sdatastream(withthefirstdatabyteeachdirectionbeing`1”).`-S”選項(xiàng)能夠轉(zhuǎn)變這個(gè)特性,直接顯示原始的流序號(hào).在第六行,rtsg傳給csam19220).PUSHcsamrtsg21,21socket的緩沖區(qū)內(nèi),由于csam19個(gè)字節(jié).同時(shí)csam向rtsgcsamrtsg.tcpdump不能捕獲到完整的TCP,tcpdump會(huì)盡可能的翻譯已捕獲的局部,然后顯示``[|tcp]””,說(shuō)明無(wú)法翻譯其余局部.假設(shè)報(bào)頭包含一個(gè)偽造的選項(xiàng)(onewithalengththat”seithertoosmallorbeyondtheendoftheheader),tcpdump 顯示``[badopt]””并且不再翻譯其他選項(xiàng)局部(由于它不行能推斷出從哪兒開(kāi)頭).假設(shè)報(bào)頭長(zhǎng)度說(shuō)明存在選項(xiàng),但是IP數(shù)據(jù)報(bào)長(zhǎng)度不夠,不行能真的保存選項(xiàng),tcpdump就顯示``[badhdrlength]””.UDPUDPrwhoactinide.who>broadcast.who:udp84udpactinide的who端口發(fā)送到broadcast,Internet播送地址的who84某些UDP(RFC-1034/1035)和NFS的RPC(RFC-1050).UDP(NameServerRequests)(留意:以下的描述中假設(shè)你生疏RFC-1035說(shuō)明的域名效勞協(xié)議.假設(shè)你不生疏這個(gè)協(xié)議,下面的內(nèi)容就象是天書(shū).)域名效勞懇求的格式是src>dst:idop?flagsqtypeqclassname(len)h2opolo.1538>helios.domain:3+A?.(37)主機(jī)h2opolo訪問(wèn).關(guān)聯(lián)的地址記錄(qtype=A).`3”.`37UDP和IPQuery因此op域可以無(wú)視.假設(shè)op設(shè)置成其他什么東西,它應(yīng)當(dāng)顯示在`3”`+”,qclass是一般的C_INqclass`A”Tcpdump會(huì)檢查一些不規(guī)章?tīng)顩r,相應(yīng)的結(jié)果作為補(bǔ)充域放在方括號(hào)內(nèi):假設(shè)某個(gè)查詢包含答復(fù),名字效勞或治理機(jī)構(gòu)局部,就把a(bǔ)ncount,nscount,或arcount`[na]”,`[nn]”`[nau]”,n假設(shè)在其次和第三字節(jié)中,任何一個(gè)答復(fù)位(AA,RA或rcode)`必需為零”的位被置位,就顯示`[b2&3=x]”,x16UDP名字效勞答復(fù)的格式是src>dst:idoprcodeflagsa/n/autypeclassdata(len)helios.domain>h2opolo.1538:33/3/7A(273)helios.domain>h2opolo.1537:2NXDomain*0/1/0(97)第一個(gè)例子里,helios答復(fù)了h2opolo33,37治理構(gòu)造記錄.第一個(gè)答復(fù)紀(jì)錄的類型是A(internet.273節(jié),不包括UDP和IP報(bào)頭.作為Aclass(C_IN)可以無(wú)視op(rcode(NoError).在其次個(gè)例子里,helios2的詢問(wèn)作出域名不存在(NXDomain)錄,而且沒(méi)有治理構(gòu)造.`*”(authoritativeanswer).type,class和data.其他標(biāo)志字符可以顯示為`-”((RA))`|”((TC)).`問(wèn)題”局部沒(méi)有有效的內(nèi)容,就顯示`[nq]”.,68snaplen可能無(wú)法捕獲到足夠的報(bào)文內(nèi)容.假設(shè)你確實(shí)在爭(zhēng)論名字效勞的狀況,可以使用-s.`-s128”NFSSunNFS(src.xid>dst.nfs:lenopargssrc.nfs>dst.xid:replystatlenopresultssushi.6709>wrl.nfs:112readlinkfh21,24/10.73165wrl.nfs>sushi.6709:replyok40readlink“../var“sushi.201b>wrl.nfs:144lookupfh9,74/4096.6878“xcolors“wrl.nfs>sushi.201b:replyok128lookupfh9,74/4134.3150在第一行,主機(jī)sushi向wrl6709112UDP和IP報(bào)頭.在文件句柄(fh)21,24/10.731657119上執(zhí)行readlink(,i(generationnumber).)Wrl答復(fù)`ok”和連接的內(nèi)容.在第三行,sushi懇求wrl9,74/4096.6878中查找`xcolors”.格式應(yīng)當(dāng)是可以自我說(shuō)明的.給出-v(verbose)選項(xiàng)可以顯示附加信息.例如:sushi.1372a>wrl.nfs:148readfh21,11/12.1958192bytes@24576wrl.nfs>sushi.1372a:replyok1472readREG100664ids417/0sz29388(-v同時(shí)使它顯示IPTTL,ID,,sushi懇求wrl21,11/12.195245768192.Wrl`ok”;1472字節(jié)(其余數(shù)據(jù)在后續(xù)的分片中傳過(guò)來(lái),但由于這些分片里沒(méi)有NFS甚至UDP所使用的過(guò)濾器表達(dá)式,有可能不顯示).-v選項(xiàng)還會(huì)顯示一些文件屬性(它們作為文件數(shù)據(jù)的附帶局部傳回來(lái)):文件類型(一般文件``REG””),),uid和gid,假設(shè)再給一個(gè)-v(-vv),留意NFSsnaplen,`-s192”NFSRPCtcpdump保存有``近來(lái)的””懇求記錄,依據(jù)交易號(hào)匹配應(yīng)答報(bào)文.假設(shè)KIPAppletalk(UDP上的DDP)AppletalkDDP報(bào)文封裝在UDPDDPUDP報(bào)頭信息).文件/etc/s用來(lái)把a(bǔ)ppletalk網(wǎng)絡(luò)和節(jié)點(diǎn)號(hào)翻譯成名字.這個(gè)文件的行格式是numbername1.254ether16.1icsd-net1.254.110aceappletalk的網(wǎng)絡(luò)名稱.第三行給出某個(gè)主機(jī)的名字(主機(jī)和網(wǎng)絡(luò)依據(jù)第三組數(shù)字區(qū)分-網(wǎng)絡(luò)號(hào)肯定tab)./etc/s文件可以包含空行或注釋行(以`#”Appletalknet.host.port>icsd-net.112.220office.2>icsd-net.112.220jssmag.149.235>icsd-net.2(假設(shè)不存在/etc/s,或者里面缺少有效工程,就以數(shù)字形式顯示地址.)第一個(gè)例子里,網(wǎng)絡(luò)144.1209節(jié)點(diǎn)的NBP