Tcpdump - Linux આદેશ - યુનિક્સ કમાન્ડ

NAME

tcpdump - નેટવર્ક પર ટ્રાફિક ડમ્પ કરો

સમન્વય

tcpdump [ -adeflnNOpqRStuvxX ] [ -c ગણતરી ]

[ -C file_size ] [ -F ફાઇલ ]

[ -i ઈન્ટરફેસ ] [ -એમ મોડ્યુલ ] [ -r ફાઇલ ]

[ -s snaplen ] [ -T પ્રકાર ] [ -યુ વપરાશકર્તા ] [ -w ફાઇલ ]

[ -E એલો: ગુપ્ત ] [ અભિવ્યક્તિ ]

DESCRIPTION

Tcpdump નેટવર્ક ઇન્ટરફેસ પરના પેકેટનાં હેડરોને છાપે છે જે બુલિયન અભિવ્યક્તિથી મેળ ખાય છે. તે -W ફ્લેગ સાથે પણ ચલાવી શકાય છે, જે તેને પેકેટ ડેટાને પાછળથી વિશ્લેષણ માટે ફાઇલમાં સાચવવા માટે અને / અથવા -r ફ્લેગ સાથે સાચવવા માટેનું કારણ બને છે, જે તેને પેકેટો વાંચવાને બદલે સાચવેલા પેકેટ ફાઇલમાંથી વાંચવા માટેનું કારણ આપે છે. નેટવર્ક ઇન્ટરફેસમાંથી. બધા કિસ્સાઓમાં, અભિવ્યક્તિથી મેળ ખાતી માત્ર પેકેટો Tcpdump દ્વારા પ્રક્રિયા કરવામાં આવશે.

Tcpdump , જો -c ફ્લેગ સાથે ચાલતું ન હોય, તો તે પેકેજોને કેપ્ચર કરવાનું ચાલુ રાખશે જ્યાં સુધી તે SIGINT સિગ્નલ દ્વારા પેદા થતું નથી (ઉદાહરણ તરીકે, તમારા ઇન્ટરપ્ટ અક્ષરને ટાઈપ કરીને, સામાન્ય રીતે નિયંત્રણ- C) અથવા SIGTERM સિગ્નલ (1) આદેશ); જો -C ફ્લેગ સાથે ચાલતા હોય, તો તે પૅકેટ્સ કે જ્યાં સુધી તે SIGINT અથવા SIGTERM સિગ્નલ દ્વારા વિક્ષેપિત થાય છે અથવા ચોક્કસ પેકેટોની પ્રક્રિયા કરવામાં આવી હોય ત્યાં સુધી તેને પકડશે.

જ્યારે tcpdump પૅકેટ્સ કબજે કરવાનું સમાપ્ત કરે છે, ત્યારે તે આની ગણતરી કરશે:

પેકેટ '' ફિલ્ટર દ્વારા પ્રાપ્ત '' (આનો અર્થ એ છે કે તમે OS ચલાવી રહ્યા છો તે OS પર આધાર રાખે છે, અને સંભવિત રીતે જે OS ને રૂપરેખાંકિત કરવામાં આવ્યું હતું - જો કોઈ ફિલ્ટર આદેશ વાક્ય પર સ્પષ્ટ થયેલ હોત તો કેટલાક ઓએસ પર તે ગણતરી કરે છે તે ફિલ્ટર અભિવ્યક્તિ દ્વારા મેળ ખાતી હોય કે નહીં તે અંગેના પેકેટો, અને અન્ય ઓએસએસ પર તે માત્ર પેકેટોની ગણતરી કરે છે જે ફિલ્ટર અભિવ્યક્તિ દ્વારા મેળ ખાતા હતા અને ટીસીડીડીપી દ્વારા પ્રક્રિયા કરવામાં આવી હતી);

પેકેટ `` કર્નલ દ્વારા તૂટી '' (ઓએસ પર પેકેટ કેપ્ચર મિકેનિઝમ દ્વારા બફર સ્પેસની અછતને કારણે આ ઘટાડો કરવામાં આવેલા પેકેટોની સંખ્યા છે, જેના પર ટીસીડીએડમ્પ ચાલી રહ્યો છે, જો ઓએસ એ માહિતીને માહિતીની જાણ કરે છે; જો નહિં, તો તે 0 તરીકે અહેવાલ આવશે).

SIGINFO સિગ્નલને આધાર આપતા પ્લેટફોર્મ્સ પર, જેમ કે મોટાભાગના BSDs, જ્યારે તે SIGINFO સિગ્નલ મેળવે ત્યારે તે ગણતરીની જાણ કરશે (ઉદાહરણ તરીકે, તમારા `` સ્થિતિ '' અક્ષરને ટાઈપ કરીને, સામાન્ય રીતે નિયંત્રણ-ટી) અને પેકેટો પકડવાનું ચાલુ રાખશે .

નેટવર્ક ઇન્ટરફેસમાંથી પેકેટો વાંચન જરૂરી છે કે તમારી પાસે વિશેષ વિશેષાધિકારો છે:

સનૉસ 3.x અથવા 4.x હેઠળ NIT અથવા BPF સાથે:

તમારી પાસે / dev / nit અથવા / dev / bpf * માં વાંચવાની ઍક્સેસ હોવી જ જોઈએ

DLPI સાથે સોલારિસ હેઠળ:

તમે નેટવર્ક સ્યુડો ઉપકરણ પર વાંચી / લખી હોવી જ જોઈએ, દા.ત. / dev / le સોલારિસનાં ઓછામાં ઓછા કેટલાક સંસ્કરણો પર, જોકે, તે tcpdump ને પ્રાસંગિક સ્થિતિમાં મેળવવાની પરવાનગી આપવા માટે પૂરતું નથી; સોલારિસની તે આવૃત્તિઓ પર, તમારે રુટ હોવું જોઈએ, અથવા પ્રાસંગિક સ્થિતિમાં મેળવવા માટે tcpdump root પર setuid સ્થાપિત હોવું જ જોઈએ. નોંધ કરો કે, ઘણા (કદાચ બધા) ઇન્ટરફેસો પર, જો તમે પ્રદૃશિત સ્થિતિમાં ન પકડો, તો તમે કોઈ આઉટગોઇંગ પેકેટો જોશો નહીં, તેથી મોટાભાગે કોઈ પણ પ્રકારનું કેપ્ચર ખૂબ જ ઉપયોગી ન હોઈ શકે.

ડીએલપીઆઇ સાથે એચપી-યુએક્સ હેઠળ:

તમારે રુટ હોવું જોઈએ અથવા tcpdump એ root માટે setuid સ્થાપિત થયેલ હોવું જ જોઈએ.

સ્નૂપ સાથે આઇઆરઆઇએક્સ હેઠળ:

તમારે રુટ હોવું જોઈએ અથવા tcpdump એ root માટે setuid સ્થાપિત થયેલ હોવું જ જોઈએ.

Linux હેઠળ:

તમારે રુટ હોવું જોઈએ અથવા tcpdump એ root માટે setuid સ્થાપિત થયેલ હોવું જ જોઈએ.

અલ્ટીક્સ અને ડિજિટલ યુનિક્સ / ટ્રુ 64 યુનિક્સ હેઠળ:

કોઈપણ વપરાશકર્તા tcpdump સાથે નેટવર્ક ટ્રાફિકને પકડી શકે છે. જો કે, કોઈ વપરાશકર્તા (સુપર-યુઝર પણ નહીં) એ ઈન્ટરફેસ પર પ્રાસંગિક સ્થિતિમાં પકડી શકે છે સિવાય કે સુપર-વપરાશકર્તાએ પીએફconfig (8) નો ઉપયોગ કરીને તે ઇન્ટરફેસ પર પ્રાસંગિક-સ્થિતિ ઓપરેશન સક્ષમ કર્યું હોય, અને કોઈ વપરાશકર્તા (સુપર-યુઝર પણ નહીં) ) એ ઈન્ટરફેસ પર મશીન દ્વારા પ્રાપ્ત અથવા મોકલવામાં વિનાના ટ્રાફિક કેપ્ચર કરી શકે છે જ્યાં સુધી સુપર વપરાશકર્તાએ તે ઇન્ટરફેસ પર કૉપિ-બધા-મોડ ઓપરેશનને સક્ષમ કર્યું ન હોય , જેથી ઇન્ટરફેસ પર ઉપયોગી પેકેટ કેપ્ચર કદાચ આવશ્યક છે કે ક્યાં તો મોંઘા-સ્થિતિ અથવા કોપી બધા-મોડ ઑપરેશન, અથવા ઓપરેશનના બંને મોડ્સ, તે ઇન્ટરફેસ પર સક્ષમ કરેલ છે.

બીએસડી હેઠળ:

તમારી પાસે / dev / bpf * માં વાંચવાની ઍક્સેસ હોવી જ જોઈએ

સાચવેલી પેકેટ ફાઇલને વાંચવા માટે વિશેષ વિશેષાધિકારોની જરૂર નથી.

વિકલ્પો

-એ

નેટવર્ક અને બ્રોડકાસ્ટ એડ્રેસોને નામોમાં કન્વર્ટ કરવાનો પ્રયાસ કરો.

-સી

ગણતરી પેકેટો પ્રાપ્ત કર્યા પછી બહાર નીકળો.

-સી

Savefile પર એક કાચો પેકેટ લખતા પહેલા, તપાસો કે ફાઇલ હાલમાં file_size કરતાં મોટી છે અને, જો આમ હોય, તો વર્તમાન સેવફાઇલ બંધ કરો અને નવું ખોલો. પ્રથમ સેવફાઇલ પછી સાચવેલી ફાઇલમાં -w ફ્લેગ સાથેનું નામ, તે પછીના નંબર સાથે, 2 થી શરૂ કરીને અને ઉપરનું ચાલુ રાખવું પડશે. File_isizeનાં એકમો લાખો બાયટ્સ છે (1,000,000 બાઇટ્સ, 1,048,576 બાઇટ્સ નહીં).

-ડી

પ્રમાણભૂત આઉટપુટ અને સ્ટોપ માટે માનવ વાંચનીય સ્વરૂપમાં સંકલિત પેકેટ-મેચિંગ કોડને ડમ્પ કરો.

-ડ

સી પ્રોગ્રામ ટુકડો તરીકે પેકેટ-મેચિંગ કોડને ડમ્પ કરો.

-ડીડી

પેકેટ-મેચિંગ કોડને દશાંશ સંખ્યા તરીકે ડમ્પ કરો (પહેલાં ગણતરી સાથે).

-e

પ્રત્યેક ડમ્પ લાઇન પર લિન્ક-લેવલ હેડર છાપો.

-ઇ

એલ્ગોનો ઉપયોગ કરો : IPsec ESP પેકેટોને ડિક્રિપ્ટ કરવા માટે ગુપ્ત . ઍલ્ગોરિધમ્સ ડેસી-સીબીસી , 3 ડીસ-સીબીસી , બ્લોફીશ -સીબીસી , આરસી 3-સીબીસી , કાસ્ટ 128-સીબીસી , અથવા કોઈ પણ હોઈ શકે છે . મૂળભૂત એ des-cbc છે પેકેટોને ડિક્રિપ્ટ કરવાની ક્ષમતા માત્ર ત્યારે હાજર હોય છે જો tcpdump સંકેતલિપી સાથે કમ્પાઈલ કરવામાં આવી હતી. ESP ગુપ્ત કી માટે ascii ટેક્સ્ટને ગુપ્ત બનાવો અમે આ ક્ષણે મનસ્વી દ્વિસંગી મૂલ્ય ન લઈ શકીએ. વિકલ્પ RFC2406 ESP ધારે છે, RFC1827 ESP નહીં. વિકલ્પ ડિબગીંગ હેતુઓ માટે જ છે, અને ખરેખર 'ગુપ્ત' કી સાથે આ વિકલ્પનો ઉપયોગ નિરુત્સાહ છે. આદેશ વાક્ય પર IPsec ગુપ્ત કી પ્રસ્તુત કરીને તમે તેને અન્ય લોકો માટે, પીએસ (1) અને અન્ય પ્રસંગો દ્વારા દૃશ્યક્ષમ કરો છો.

-એફ

પ્રિન્ટ 'ફોરેન' ઇન્ટરનેટ સંજ્ઞાઓની જગ્યાએ સંખ્યાત્મક રીતે (આ વિકલ્પનો હેતુ સૂર્યના વાયપી સર્વરમાં ગંભીર મગજની હાનિ થાય છે --- સામાન્ય રીતે તે હંમેશાં બિન-સ્થાનિક ઇન્ટરનેટ નંબરોને અનુવાદિત કરવામાં અટકી જાય છે).

-એફ

ફિલ્ટર અભિવ્યક્તિ માટે ઇનપુટ તરીકે ફાઇલનો ઉપયોગ કરો . આદેશ વાક્ય પર આપેલ વધારાના અભિવ્યકિત અવગણવામાં આવે છે.

-i

ઇન્ટરફેસ પર સાંભળો. જો અચોક્કસ છે, તો tcpdump સિસ્ટમ ઈન્ટરફેસ યાદીને સૌથી નીચાણવાળી, રૂપરેખાંકિત ઇન્ટરફેસ (લૂપબેક સિવાય) માટે શોધે છે. પ્રારંભિક મેચને પસંદ કરીને જોડાણ તૂટી ગયું છે

2.2 અથવા પછીના કર્નલો સાથે લિનક્સ સિસ્ટમ્સ પર, `` કોઈપણ '' નો ઈન્ટરફેસ દલીલ તમામ ઇન્ટરફેસોમાંથી પેકેટો કેપ્ચર કરવા માટે વાપરી શકાય છે. નોંધ કરો કે `` કોઈપણ '' ઉપકરણ પર મેળવે છે તે પ્રાસંગિક સ્થિતિમાં નહીં થાય.

-એલ

સ્ટેડઆઉટ લાઇન બફર કરો. જો તમે તેને કબજે કરતી વખતે માહિતી જોઈ શકો છો તો તે ઉપયોગી છે. દા.ત.,
`` tcpdump -l | ટી ડેટ '' અથવા `` ટીસીપીડમ્પ-એલ> ડેટા એન્ડ પૂલ -એફ ડેટા ''.

-એમ

ફાઇલ મોડ્યુલમાંથી SMI MIB મોડ્યુલની વ્યાખ્યાઓ લોડ કરો. આ વિકલ્પનો ઉપયોગ ઘણીવાર MIB મોડ્યુલોને tcpdump માં લોડ કરવા માટે ઘણી વખત વાપરી શકાય છે.

-ના

હોસ્ટ એડ્રેસોને નામોમાં રૂપાંતરિત કરશો નહીં. આનો ઉપયોગ DNS લુકઅર્સને ટાળવા માટે થઈ શકે છે.

-નિ

પ્રોટોકોલ અને પોર્ટ નંબર્સ વગેરેને નામોમાં રૂપાંતરિત કરશો નહીં.

-ન

યજમાન નામોની ડોમેન નામની લાયકાત છાપી નહી. દા.ત., જો તમે આ ફ્લેગ આપો છો તો tcpdump `` nic.ddn.mil '' ને બદલે '`સરસ' 'છાપશે.

-ઓ

પેકેટ-મેળ ખાતી કોડ ઑપ્ટિમાઇઝર ચલાવશો નહીં આ ઉપયોગી છે જો તમે ઑપ્ટિમાઇઝરમાં બગને શંકા કરો તો.

-પી

ઈન્ટરફેસને પ્રાસંગિક સ્થિતિમાં મૂકશો નહીં . નોંધો કે ઈન્ટરફેસ કેટલાક અન્ય કારણોસર પ્રગતિશીલ સ્થિતિમાં હોઈ શકે છે; તેથી `` ઇથર હોસ્ટ {લોકલ-એચડબલ્યુ-એડીઆર} અથવા ઈસ્ટર બ્રોડકાસ્ટ '' નું સંક્ષેપ તરીકે `-પી 'નો ઉપયોગ કરી શકાતો નથી.

-ક

ક્વિક (શાંત?) આઉટપુટ ઓછી પ્રોટોકોલ માહિતી છાપો જેથી આઉટપુટ રેખા ટૂંકા હોય છે.

-આર

જૂના સ્પષ્ટીકરણ (આરએફસી 1825 થી આરએફસી 1829) પર આધારિત હોવા માટે ESP / AH પેકેટો ગ્રહણ કરો. જો સ્પષ્ટ કરેલું હોય, તો tcpdump રીપ્લે પ્રિવેન્શન ક્ષેત્રને છાપી નહીં. ESP / AH સ્પષ્ટીકરણમાં કોઈ પ્રોટોકોલ વર્ઝન ફીલ્ડ નથી તેથી, tcpdump ઇએસપીએ / એએચ પ્રોટોકોલના વર્ઝનનું અનુમાન નથી કરી શકતું.

-આર

ફાઇલમાંથી પેકેટો વાંચો (જે -w વિકલ્પ સાથે બનાવવામાં આવ્યો હતો). જો ફાઈલ `` - '' હોય તો માનક ઇનપુટનો ઉપયોગ થાય છે.

-એસ

સૉફ્ટવેરની તુલનામાં સંપૂર્ણ, પ્રિન્ટ કરો, TCP ક્રમ નંબર્સ.

-s

ડિફૉલ્ટના 68 કરતાં ડિફૉલ્ટ ડેટાના સ્નેર્ફ સ્નેપલન બાઇટ્સ ( સનઓએસની એનઆઇટી સાથે, લઘુતમ વાસ્તવમાં 96 છે). આઇપી, ICMP, TCP અને UDP માટે 68 બાઇટ્સ પર્યાપ્ત છે પરંતુ નામ સર્વર અને NFS પેકેટો (નીચે જુઓ) માંથી પ્રોટોકોલ માહિતીને કાઢી શકે છે. મર્યાદિત સ્નેપશોટને કારણે કાપવામાં આવેલા પેકેટોને `` [[ પ્રોટો ] '' છે, જ્યાં પ્રોટોકૉલ સ્તરનું નામ પ્રોટોલૉપ છે, જેના પર કાપી નાંખવામાં આવ્યું છે. નોંધ કરો કે મોટા સ્નેપશોટ લેતી વખતે બન્ને પેકેટો પર પ્રક્રિયા કરવા માટેનો સમય વધે છે અને, અસરકારક રીતે, પેકેટ બફરીંગની સંખ્યા ઘટે છે. આના કારણે પેકેટો ખોવાઈ શકે છે તમારે નાની સંખ્યામાં સ્નેપલનને મર્યાદિત કરવું જોઈએ કે જે પ્રોટોકોલ માહિતીને તમે રુચિ ધરાવો છો તે મેળવશે . Snaplen ને 0 માં સુયોજિત કરવાથી આખા પેકેટો મેળવવા માટે જરૂરી લંબાઈનો ઉપયોગ થાય છે

-ટી

ચોક્કસ પ્રકારને અર્થઘટન કરવા માટે " અભિવ્યકિત " દ્વારા પસંદ કરાયેલા ફોર્સ પેકેટો. હાલમાં જાણીતા પ્રકારો CNFP (સિસ્કો નેટફ્લો પ્રોટોકોલ), આરપીસી (રિમોટ પ્રોસિજર કોલ), આરટીપી (રીઅલ-ટાઇમ એપ્લીકેશન પ્રોટોકોલ), આરટીસીપી (રીઅલ-ટાઇમ એપ્લીકેશન કંટ્રોલ પ્રોટોકોલ), એસએનપીપી (સિમ્પલ નેટવર્ક મેનેજમેન્ટ પ્રોટોકોલ), વીટ (વિઝ્યુઅલ ઑડિઓ ટૂલ) ), અને ડબલ્યુબી ( વિતરણવાળા વ્હાઇટ બોર્ડ).

-ટી

દરેક ડમ્પ લાઇન પર ટાઇમસ્ટેમ્પ છાપો નહીં .

-tt

પ્રત્યેક ડમ્પ લાઇન પર બિનઆધારિત ટાઇમસ્ટેમ્પ છાપો.

-યુ

રૂટ વિશેષાધિકારો રદ કરે છે અને વપરાશકર્તાની પ્રાથમિક જૂથ માટે વપરાશકર્તા ID અને વપરાશકર્તા ID ને બદલે છે.

નૉૅધ! Red Hat Linux આપોઆપ વપરાશકર્તા `` pcap '' માટે વિશેષાધિકારો નહીં કરે જો કંઇ પણ સ્પષ્ટ થયેલ નહિં હોય

-ટીટીટી

પ્રત્યેક ડમ્પ લાઇન પર વર્તમાન અને પહેલાની રેખા વચ્ચે ડેલ્ટા (સૂક્ષ્મ સેકંડમાં) છાપો.

-tttt

ડિફોલ્ટ ફોર્મેટમાં ટાઇમસ્ટેમ્પ છાપો, દરેક ડમ્પ લાઇન પર તારીખથી આગળ.

-યુ

અનિચ્છિત NFS હેન્ડલને છાપો.

-વી

(સહેજ વધુ) વર્બોઝ આઉટપુટ ઉદાહરણ તરીકે, જીવંત રહેવા માટે, ઓળખ, કુલ લંબાઈ અને IP પેકેટમાંના વિકલ્પો છાપવામાં આવે છે. IP અને ICMP હેડર ચેકસમની ચકાસણી કરવા જેવી વધારાની પેકેટ એકત્રિકરણ તપાસો પણ સક્ષમ કરે છે.

-vv

વધુ વર્બોઝ આઉટપુટ ઉદાહરણ તરીકે, વધારાના ક્ષેત્રો NFS જવાબ પેકેટોમાંથી છપાયેલા છે, અને SMB પેકેટો સંપૂર્ણપણે ડીકોડ છે.

-વીવીવી

વધુ વર્બોઝ આઉટપુટ ઉદાહરણ તરીકે, ટેલેનેટ એસબી ... SE વિકલ્પો સંપૂર્ણ મુદ્રિત કરવામાં આવે છે. સાથે -X ટેલનેટ વિકલ્પો હેક્સમાં તેમજ છાપવામાં આવે છે.

-ડબ્લ્યુ

કાચા પેકેટને પદચ્છેદન અને છાપવા કરતાં ફાઇલ કરવા માટે લખો. તેઓ પાછળથી -r વિકલ્પ સાથે મુદ્રિત થઈ શકે છે. જો ફાઈલ `` - '' હોય તો સ્ટાન્ડર્ડ આઉટપુટ વપરાય છે.

-x

હેક્સમાં દરેક પેકેટ (તેના લિંક સ્તરનું મથાળું ઓછા કરો) છાપો. સમગ્ર પેકેટ અથવા સ્નેપલન બાઇટ્સનું નાનું છાપવામાં આવશે. નોંધ લો કે આ સંપૂર્ણ લિન્ક-લેયર પેકેટ છે, તેથી કડી લેયર માટે પેડ (દા.ત. ઇથરનેટ), પેડિંગ બાઈટ પણ પ્રિન્ટ કરવામાં આવશે જ્યારે ઉચ્ચ સ્તર પેકેટ જરૂરી પેડિંગ કરતા ટૂંકા હોય છે.

-એક્સ

હેક્સ છાપતી વખતે, આસીસી પણ છાપો. આમ, જો -x પણ સેટ કરેલું હોય, તો પેકેટ હેક્સ / એસસીઆઈમાં છાપવામાં આવે છે. નવા પ્રોટોકોલનું વિશ્લેષણ કરવા માટે આ ખૂબ જ સરળ છે. જો -x પણ સેટ કરેલ ન હોય તો, કેટલાક પેકેટોના કેટલાક ભાગો હેક્સ / એસીસીમાં છાપવામાં આવી શકે છે.

અભિવ્યક્તિ

પસંદ કરે છે કે જે પેકેટને ડમ્પ કરવામાં આવશે. જો કોઈ અભિવ્યક્તિ આપવામાં ન આવે, તો નેટ પરનાં તમામ પેકેટોને ડમ્પ કરવામાં આવશે. નહિંતર, ફક્ત પેકેટ જેના માટે અભિવ્યક્તિ સાચી છે 'ડમ્પ' કરવામાં આવશે.

અભિવ્યક્તિમાં એક અથવા વધુ પ્રાચીન પૌરાણિક કથાઓ છે. પ્રિમીટિવ્સમાં સામાન્ય રીતે એક અથવા વધુ ક્વોલિફાયર્સ દ્વારા પહેલાથી id (નામ અથવા નંબર) હોય છે. ત્રણ અલગ અલગ ક્વોલિફાયર છે:

પ્રકાર

ક્વોલિફાયર કહે છે કે વસ્તુનું નામ કે નંબર શું છે શક્ય પ્રકારો હોસ્ટ , નેટ અને પોર્ટ છે . દા.ત. `યજમાન એફઇએ ',' નેટ 128.3 ',' પોર્ટ 20 '. કોઈ પ્રકાર ક્વોલિફાયર ન હોય તો, યજમાન ધારવામાં આવે છે.

ડીઆઈઆર

ક્વોલિફાયર ચોક્કસ ટ્રાન્સફર દિશા નિર્દેશ કરે છે અને / અથવા ID માંથી શક્ય દિશાઓ સ્રોત , ડીએસટી , સ્રોત અથવા ડીએસટી અને સ્રોત અને ડીએસટી છે . દા.ત., `src foo ',` dst નેટ 128.3', `src અથવા dst પોર્ટ ftp-data '. જો કોઈ ડિયર ક્વોલિફાયર ન હોય, તો સ્રોત અથવા ડીએસટી ધારવામાં આવે છે. `નલ 'લિન્ક સ્તરો માટે (એટલે ​​કે બિંદુ ટુ પ્રોટોકોલ જેમ કે કાપલી) ઈનબાઉન્ડ અને આઉટબાઉન્ડ ક્વોલિફાયરનો ઉપયોગ ઇચ્છિત દિશા નિર્દિષ્ટ કરવા માટે કરી શકાય છે.

પ્રોટો

ક્વોલિફાયર મેચને ચોક્કસ પ્રોટોકોલ પર પ્રતિબંધિત કરે છે. શક્ય પ્રોટો છે: ઇથર , એફડીડી , ટીએઆર , આઈપી , આઈપી 6 , આરપી , રૅરપ , ડીનનેટ , ટીસીપી અને યુડપી . દા.ત., 'આકાશ સૉફ્ટ એફયુ', 'અર્પ નેટ 128.3', 'ટેસીપ પોર્ટ 21'. જો કોઈ પ્રોટો ક્વોલિફાયર ન હોય, તો તમામ પ્રોટોકોલોને પ્રકાર મુજબ સુસંગત ગણવામાં આવે છે. દા.ત., `src foo 'એટલે` (ip અથવા arp અથવા rarp) src foo' (બાદમાં એ કાનૂની વાક્યરચના નથી), `નેટ બાર 'એટલે` (ip અથવા arp અથવા rarp) નેટ બાર' અને `પોર્ટ 53 'નો અર્થ `(ટીસીપી અથવા udp) પોર્ટ 53 '

[`fddi 'વાસ્તવમાં' આકાશ 'માટે ઉપનામ છે; વિશ્લેષક તેમને સમાન રૂપે જેનો અર્થ કરે છે, `ચોક્કસ નેટવર્ક ઇન્ટરફેસ પર વપરાતા ડેટા કડી લેવલનો ઉપયોગ કરે છે. '' એફડીઆઇઆઇ હેડરમાં ઇથરનેટ જેવા સ્ત્રોત અને ગંતવ્ય સરનામાંઓ હોય છે, અને ઘણી વખત ઇથરનેટ જેવી પેકેટ પ્રકારો હોય છે, તેથી તમે આ એફડીડીઆઇ ક્ષેત્રો પર ફિલ્ટર કરી શકો છો સમાન ઇથરનેટ ક્ષેત્રો સાથે. એફડીઆઇઆઇ હેડરમાં અન્ય ફીલ્ડ્સ પણ હોય છે, પરંતુ તમે તેમને સ્પષ્ટ રીતે ફિલ્ટર અભિવ્યક્તિમાં નામ આપી શકતા નથી.

તેવી જ રીતે, `tr 'એ` ઈથર' માટે ઉપનામ છે; એફડીડીઆઇ હેડર વિશેના અગાઉના ફકરાના નિવેદનો પણ ટોકન રીંગ હેડર્સ પર લાગુ પડે છે.]

ઉપરોક્ત ઉપરાંત, કેટલાક વિશિષ્ટ 'આદિમ' કીવર્ડ્સ છે જે પેટર્નને અનુસરતા નથી: ગેટવે , પ્રસારણ , ઓછું , વધારે અને અંકગણિત સમીકરણો. આ તમામ નીચે વર્ણવેલ છે.

વધુ જટિલ ફિલ્ટર અભિવ્યક્તિઓ શબ્દોનો ઉપયોગ કરીને અને અથવા , અથવા પ્રિમીટીવ્સને જોડવા માટે નહીં બાંધવામાં આવ્યા છે. દા.ત., 'હોસ્ટ એફયુ અને પોર્ટ નહીં અને પોર્ટ ફોટ-ડેટા' નહીં. ટાઈપ બચાવવા માટે, સમાન ક્વોલિફાયર સૂચિને અવગણી શકાય છે. દા.ત. `ટીસીપી ડીએસટી પોર્ટ FTP અથવા એફટીપી-ડેટા અથવા ડોમેન 'એ બરાબર` tcp dst port ftp અથવા tcp dst પોર્ટ ftp-data અથવા tcp dst પોર્ટ ડોમેન' જેવું જ છે.

માન્ય પ્રાથમિકતાઓ છે:

ડીએસટી હોસ્ટ યજમાન

સાચું છે જો પેકેટનું IPv4 / v6 લક્ષ્ય ક્ષેત્ર હોસ્ટ છે , જે કોઈ સરનામું અથવા નામ હોઈ શકે છે.

સ્રોત હોસ્ટ હોસ્ટ

સાચું છે જો પેકેટનું IPv4 / v6 સ્રોત ક્ષેત્ર હોસ્ટ છે .

હોસ્ટ હોસ્ટ

સાચું છે કે જો પેકેટનું IPv4 / v6 સ્રોત અથવા સ્થળ યજમાન છે . ઉપરોક્ત યજમાન સમીકરણોમાંના કોઈપણ કીવર્ડ્સ, ip , arp , rarp , અથવા ip6 સાથે આ પ્રમાણે કરી શકાય છે:

ip હોસ્ટ હોસ્ટ

જે સમકક્ષ છે:

ઇથર પ્રો અને IP હોસ્ટ હોસ્ટ

જો હોસ્ટ બહુવિધ IP સરનામાઓનું નામ છે, તો દરેક સરનામાંને મેચ માટે તપાસવામાં આવશે.

ઈથર ડીસ્ટ એહોસ્ટ

સાચું છે કે ઇથરનેટ ગંતવ્ય સરનામું એહોસ્ટ છે . Ehost ક્યાંતો નામ / etc / ethers અથવા નંબર (જુઓ આંકડાકીય ફોર્મેટ માટે ethers (3N)).

આકાશ સૂચિ ehost

સાચું જો ઇથરનેટ સ્ત્રોત સરનામું એહોસ્ટ છે .

ઇથ હોસ્ટ એહોસ્ટ

સાચું છે જો ઇથરનેટ સ્રોત અથવા ગંતવ્ય સરનામું એહોસ્ટ છે

ગેટવે યજમાન

પેકેટએ ગેટવે તરીકે હોસ્ટનો ઉપયોગ કર્યો હોય તો સાચું છે. એટલે કે, ઈથરનેટ સ્ત્રોત અથવા સ્થળ સરનામું હોસ્ટ હતું પરંતુ આઇપી સ્ત્રોત ન તો આઇપી ગંતવ્ય યજમાન હતું . યજમાન નામ હોવું જ જોઈએ અને મશીનની યજમાન-નામ-થી-આઇપી-એડ્રેસ રીઝોલ્યુશન પદ્ધતિઓ (યજમાન નામ ફાઇલ, DNS, NIS, વગેરે) અને મશીનના યજમાન-નામ-ટુ-ઇથરનેટ-એડ્રેસ રીઝોલ્યુશન દ્વારા બંને હોવા જોઈએ. પદ્ધતિ (/ etc / ethers, વગેરે.) (સમકક્ષ અભિવ્યક્તિ છે

ઇથ હોસ્ટ હોસ્ટ અને હોસ્ટ હોસ્ટ નથી

જેનો ઉપયોગ હોસ્ટ / ઍહૉસ્ટ માટે નામો અથવા સંખ્યાઓ સાથે કરી શકાય છે.) આ વાક્યરચના આ ક્ષણે IPv6- સક્રિય થયેલ રૂપરેખાંકનમાં કામ કરતું નથી.

DST નેટ નેટ

સાચું છે જો પેકેટના IPv4 / v6 ગંતવ્ય સરનામાંમાં નેટનો નેટવર્ક નંબર છે. નેટ ક્યાંતો / etc / નેટવર્ક્સ અથવા નેટવર્ક નંબર (વિગતો માટે નેટવર્ક્સ (4) જુઓ ) હોઇ શકે છે.

સ્રોત નેટ નેટ

સાચું છે જો પેકેટના IPv4 / v6 સ્ત્રોત સરનામાંમાં નેટનો નેટવર્ક નંબર છે.

નેટ નેટ

સાચું છે કે જો IPv4 / v6 સ્ત્રોત અથવા પેકેટનું લક્ષ્યસ્થાન સરનામું ચોખ્ખી નેટવર્ક નંબર ધરાવે છે.

નેટ નેટ માસ્ક નેટમાસ્ક

સાચું જો IP સરનામું ચોક્કસ નેટમાસ્ક સાથે ચોખ્ખી કરે છે. સ્રોત અથવા ડીએસટી સાથે ક્વોલિફાય થઈ શકે છે નોંધ કરો કે આ વાક્યરચના IPv6 નેટ માટે માન્ય નથી.

નેટ નેટ / લેન

સાચું છે જો IPv4 / v6 સરનામું નેટમાસ્ક લેન બિટ્સ વિશાળ સાથે ચોખ્ખી કરે છે. સ્રોત અથવા ડીએસટી સાથે ક્વોલિફાય થઈ શકે છે

dst પોર્ટ પોર્ટ

સાચું છે જો પેકેટ IP / tcp, ip / udp, ip6 / tcp અથવા ip6 / udp છે અને તેની પોર્ટ પોર્ટનું ગંતવ્ય પોર્ટ મૂલ્ય છે. પોર્ટ એ / etc / services ( tcp (4P) અને udp (4P)) માં ઉપયોગમાં લેવાયેલા નંબર અથવા નામ હોઇ શકે છે. જો નામનો ઉપયોગ થાય, તો બંદર નંબર અને પ્રોટોકોલ ચકાસવામાં આવે છે. જો કોઈ નંબર અથવા સંદિગ્ધ નામનો ઉપયોગ કરવામાં આવે છે, તો ફક્ત પોર્ટ નંબરની તપાસ કરવામાં આવે છે (દા.ત., dst પોર્ટ 513 બંને ટીસીીપી / લોગઇન ટ્રાફિક અને udp / જે ટ્રાફિક, અને પોર્ટ ડોમેન બંને ટીસીીપી / ડોમેન અને udp / domain ટ્રાફિકને છાપશે).

સ્રોત પોર્ટ બંદર

પેકેટમાં પોર્ટનો સ્રોત પોર્ટ વેલ્યુ છે તે સાચું છે.

પોર્ટ બંદર

સાચું છે જો પેકેટનું સ્રોત અથવા સ્થળ પોર્ટ બંદર છે . ઉપરોક્ત કોઈપણ પૉર્ટ સમીકરણો કીવર્ડ્સ, ટીસીપી અથવા udp સાથે પ્રિપેન્ડ કરી શકાય છે:

tcp સ્રોત પોર્ટ બંદર

જે ફક્ત tcp પેકેટો સાથે બંધબેસે છે જેની સ્રોત પોર્ટ બંદર છે .

ઓછી લંબાઈ

સાચું છે જો પેકેટની લંબાઈની લંબાઇ અથવા તેની લંબાઇ ઓછી છે. આ સમકક્ષ છે:

લેન <= લંબાઈ

વધુ લંબાઈ

સાચું છે જો પેકેટની લાંબી લંબાઈ અથવા તેની લંબાઇ બરાબર છે. આ સમકક્ષ છે:

લેન> = લંબાઈ

આઇપી પ્રોટો પ્રોટોકોલ

સાચું છે જો પેકેટ પ્રોટોકોલ પ્રોટોકૉલના IP પેકેટ ( IP (4P) જુઓ). પ્રોટોકોલ નંબર અથવા આઈસીએમપી , આઈસીએમપી 6 , igmp , igrp , પિમ , એહ , ઇએસપી , વીઆરઆરપી , udp , અથવા ટીસીપી નો નામો હોઈ શકે છે . નોંધ કરો કે આઇડેન્ટીફાયર ટીસીपी , udp , અને icmp પણ કીવર્ડ્સ છે અને બેકસ્લેશ (\) દ્વારા ભાગી જ હોવું જોઈએ, જે \\ સી-શેલમાં છે. નોંધ કરો કે આ આદિમ પ્રોટોકોલ હેડર ચેઇનનો પીછો કરતું નથી.

ip6 પ્રોટો પ્રોટોકોલ

સાચું છે જો પેકેટ પ્રોટોકોલ પ્રોટોકોલનું IPv6 પેકેટ છે. નોંધ કરો કે આ આદિમ પ્રોટોકોલ હેડર ચેઇનનો પીછો કરતું નથી.

આઇપી 6 પ્રોટોકોન પ્રોટોકોલ

સાચું જો પેકેટ IPv6 પેકેટ હોય, અને તેના પ્રોટોકોલ હેડર ચેઇનમાં પ્રોટોકોલ સાથે પ્રોટોકોલ હેડર ધરાવે છે. દાખ્લા તરીકે,

આઇપી 6 પ્રોટોકેઇન 6

પ્રોટોકોલ હેડર ચેઇનમાં TCP પ્રોટોકોલ હેડર સાથે કોઈપણ IPv6 પેકેટ સાથે મેળ ખાય છે. પેકેટમાં IPv6 હેડર અને TCP હેડર વચ્ચે, ઉદાહરણ તરીકે, પ્રમાણીકરણ હેડર, રૂટીંગ હેડર અથવા હોપ-બાય-હોપ વિકલ્પ હેડર શામેલ હોઈ શકે છે. આ આદિમ દ્વારા બહાર ફેંકાયેલી બી.પી.એફ. કોડ જટીલ છે અને બીપીએફ ઑપ્ટિમાઈઝર કોડ દ્વારા ટીસીપેડમ્પમાં ઑપ્ટિમાઇઝ કરી શકાતો નથી, તેથી તે અંશે ધીમું હોઈ શકે છે.

આઇપી પ્રોટોકોઇન પ્રોટોકોલ

આઇપી 6 પ્રોટોકોન પ્રોટોકોલના સમકક્ષ, પરંતુ આ IPv4 માટે છે.

આકાશ પ્રસારણ

સાચું જો પેકેટ ઇથરનેટ પ્રસારણ પેકેટ છે. ઈથર કીવર્ડ વૈકલ્પિક છે.

આઇપી પ્રસારણ

સાચું જો પેકેટ IP પ્રસારણ પેકેટ છે. તે બધા-ઝરણાંઓ અને બ્રોડકાસ્ટ સંમેલનો બંને માટે તપાસ કરે છે, અને સ્થાનિક સબનેટ માસ્કને જુએ છે

આકાશ મલ્ટીકાસ્ટ

સાચું જો પેકેટ ઇથરનેટ મલ્ટીકાસ્ટ પેકેટ છે. ઈથર કીવર્ડ વૈકલ્પિક છે. આ ' આકાશ [0] અને 1! = 0 ' માટે લઘુલિપિ છે.

આઇપી મલ્ટીકાસ્ટ

સાચું જો પેકેટ એક IP મલ્ટીકાસ્ટ પેકેટ છે.

ip6 મલ્ટીકાસ્ટ

સાચું જો પેકેટ IPv6 મલ્ટિકાસ્ટ પેકેટ છે.

ઇથર પ્રોટો પ્રોટોકોલ

સાચું જો પેકેટ આકાશ પ્રકાર પ્રોટોકોલ છે . પ્રોટોકોલ આઇપી , આઈપી 6 , એઆરપ , રૅર્પ , એટક , એર્પ , ડીનનેટ , એસસીએ , લેટ , એમઓપીડીએલ , એમઓપીઆરસી , આઇસો , એસટીપી , આઈપીક્સ અથવા નેટબીઇ નામના નામોમાંના એક અથવા નંબર હોઈ શકે છે . નોંધ કરો કે આ ઓળખાણકર્તા પણ કીવર્ડ્સ છે અને બેકસ્લેશ (\) દ્વારા બચી જવું જોઈએ.

[મોટા ભાગના પ્રોટોકોલ્સ માટે એફડીડીઆઇ (દા.ત. એફડીડીઆઇ પ્રોટોકોલ અર્પ ) અને ટોકન રિંગ (દા.ત. ` ટ્રૉક પ્રોટોકોલ અર્પ ') ના કિસ્સામાં, પ્રોટોકોલની ઓળખ 802.2 લોજિકલ લિંક કંટ્રોલ (એલએલસી) હેડરથી મળે છે, જે સામાન્ય રીતે એફડીડીઆઇ અથવા ટોકન રીંગ હેડરની ટોચ પર સ્તરવાળી હોય છે.

એફડીડીઆઇ અથવા ટોકન રીંગ પર મોટાભાગના પ્રોટોકોલ આઇડેન્ટીફાયર માટે ફિલ્ટર કરતી વખતે, ટીસીએસપીડમ્પ એમેઝોનિત ઈથરનેટ માટે 0x000000 ના સંસ્થાકીય એકમ ઓળખકર્તા (ઓયુઆઈ) સાથે કહેવાતા એસએએપી ફોર્મેટમાં એલએલસી હેડરના પ્રોટોકોલ આઈડી ક્ષેત્રની ચકાસણી કરે છે; તે તપાસ કરતું નથી કે પેકેટ 0x000000 ના OUI સાથે SNAP ફોર્મેટમાં છે કે નહીં.

આ અપવાદો આયો છે , જેના માટે તે એલએએલસી હેડર, એસટીપી અને નેટબેઇના ડીએસએપી (ડેસ્ટિનેશન સર્વિસ એક્સેસ પોઇન્ટ) અને એસએસએપી (સોર્સ સર્વિસ એક્સેસ પોઇન્ટ) ક્ષેત્રોને ચકાસે છે, જ્યાં તે એલએલસી હેડરના ડીએસએપી અને પ્રારંભિક તપાસ કરે છે , જ્યાં તે 0x080007 ના એક OUI અને Appletalk etype સાથે SNAP- ફોર્મેટ પેકેટ માટે તપાસ કરે છે.

ઈથરનેટના કિસ્સામાં, તે પ્રોટોકોલ્સ માટે tcpdump ઇથરનેટ પ્રકાર ક્ષેત્રને ચકાસે છે; અપવાદો આઇસો , સૅપ અને નેટબેઇ છે , જેના માટે તે 802.3 ફ્રેમ માટે ચકાસે છે અને તે પછી એલડીસી હેડરની તપાસ કરે છે કારણ કે તે એફડીડીઆઇ અને ટોકન રીંગ, ઍકાલાક માટે કરે છે , જ્યાં તે ઇથરનેટ ફ્રેમમાં એપ્લેટ ઍટાઇપ અને બંને માટે ચકાસે છે. એસએનએપી-ફોર્મેટ પેકેટ જેમ તે એફડીડીઆઇ અને ટોકન રિંગ, એર્પ માટે કરે છે , જ્યાં તે ઇથરનેટ ફ્રેમમાં એપલટક એઆરપી ઍટાઈપ માટે અથવા 0x000000 ની એક ઓયુઆઈ સાથે 802.2 SNAP ફ્રેમ અને આઇપીએક્સ માટે તપાસ કરે છે, જ્યાં તે IPX etype માટે તપાસ કરે છે. એક ઇથરનેટ ફ્રેમ, એલએલસી હેડરમાં આઇપીએક્સ ડીએસએપી, 802.3, આઈપીએક્સની કોઈ એલએલસી હેડર એન્કેપ્સ્યુલેશન અને એસએનએપી ફ્રેમમાં આઈપીએક્સ એટાઇપ.]

decnet સ્રોત હોસ્ટ

સાચું છે કે DECNET સ્રોત સરનામું હોસ્ટ છે , જે ફોર્મ '`10.123' ', અથવા DECNET હોસ્ટ નામનું સરનામું હોઈ શકે છે. [DECNET યજમાન નામનું સમર્થન એ ઓટટ્રિક્સ સિસ્ટમો પર જ ઉપલબ્ધ છે, જે DECNET ચલાવવા માટે રૂપરેખાંકિત થયેલ છે.]

ડિનનેટ ડીએસટી હોસ્ટ

સાચું છે કે DECNET ગંતવ્ય સરનામું હોસ્ટ છે .

ડિકનેટ યજમાન હોસ્ટ

સાચું છે કે ક્યાં DECNET સ્રોત અથવા સ્થળ સરનામું હોસ્ટ છે .

આઇપી , આઈપી 6 , એઆરપી , રૅર્પ , એટક , એર્પ , ડિકનેટ , આઇસો , એસટીપી , આઇપીએક્સ , નેટબેઇ

માટે સંક્ષિપ્ત શબ્દો:

ઇથર પ્રોટો પી

જયાં ઉપરના પ્રોટોકોલ પૈકી એક છે.

lat , moprc , mopdl

માટે સંક્ષિપ્ત શબ્દો:

ઇથર પ્રોટો પી

જયાં ઉપરના પ્રોટોકોલ પૈકી એક છે. નોંધ કરો કે tcpdump હાલમાં આ પ્રોટોકોલને કેવી રીતે વિશ્લેષણ કરવું તે જાણતું નથી.

vlan [vlan_id]

સાચું છે જો પેકેટ આઇઇઇઇ 802.1 ક્યુ વીએલએન પેકેટ છે. જો [vlan_id] સ્પષ્ટ કરેલ હોય, તો માત્ર સાચા પેકેટમાં સ્પષ્ટ થયેલ vlan_id છે . નોંધ લો કે અભિવ્યક્તિમાં પ્રથમ વૅલન કર્કશ શબ્દનો ઉપયોગ એ ધારણા પર બાકી રહેલા અભિવ્યક્તિ માટે ડિકીડિંગ ઓફસેટ્સને બદલે છે કે જે પેકેટ વીએલએન (GNU) પેકેટ છે.

tcp , udp , icmp

માટે સંક્ષિપ્ત શબ્દો:

આઇપી પ્રોટો પી અથવા આઇપી 6 પ્રોટો પી

જયાં ઉપરના પ્રોટોકોલ પૈકી એક છે.

આઇસો પ્રોટો પ્રોટોકોલ

સાચું છે જો પેકેટ પ્રોટોકોલ પ્રોટોકોલનો OSI પેકેટ છે. પ્રોટોકોલ નંબર અથવા નામો પૈકી એક હોઈ શકે છે clnp , esis , અથવા isis .

સીએનએનપી , એસિસ , ઇસિસ

માટે સંક્ષિપ્ત શબ્દો:

આઇસો પ્રોટો પી

જયાં ઉપરના પ્રોટોકોલ પૈકી એક છે. નોંધ કરો કે tcpdump આ પ્રોટોકોલ્સને વિશ્લેષિત કરવાની અપૂર્ણ કામ કરે છે.

expr relop expr

સાચું છે કે, જો relop એક છે>, <,> =, <=, =,! =, અને expr એક અંકગણિત અભિવ્યક્તિ છે પૂર્ણાંક સ્થિરાંકો (સ્ટાન્ડર્ડ C વાક્યરચનામાં વ્યક્ત), સામાન્ય દ્વિસંગી ઓપરેટરો [ , -, *, /, અને, |], એક લંબાઈ ઓપરેટર, અને વિશિષ્ટ પેકેટ ડેટા એક્સેસર્સ. પેકેટની અંદરની માહિતીને ઍક્સેસ કરવા માટે, નીચેનો વાક્યરચના વાપરો:

પ્રોટો [ એક્સપ : કદ ]

પ્રોટો ઇથર, એફડીડી, ટીએઆર, પીપીપી, સ્લિપ, લિન્ક, આઈપી, એઆરપ, રૅરપ , ટીસીपी , યુડીપી , આઈસીએમપી અથવા આઇપી 6 નો એક છે અને ઇન્ડેક્સ કામગીરી માટે પ્રોટોકોલ સ્તર સૂચવે છે. ( ઇથર, એફડીડી, ટીઆર, પીપીપી, સ્લિપ અને લિન્ક લીંક સ્તરનો સંદર્ભ આપે છે.) નોંધ લો કે ટીસીपी, યુડીપી અને અન્ય ઉપલા-સ્તરના પ્રોટોકોલના પ્રકારો માત્ર આઇપીવી 4 માટે લાગુ નથી, IPv6 (આ ભવિષ્યમાં સુધારવામાં આવશે). સૂચિત પ્રોટોકોલ સ્તરની તુલનામાં બાય ઓફસેટ, એક્સપ દ્વારા આપવામાં આવે છે. કદ વૈકલ્પિક છે અને રસના ક્ષેત્રમાં બાઇટ્સની સંખ્યા સૂચવે છે; તે કાં તો એક, બે કે ચાર હોઈ શકે છે, અને એકની ડિફોલ્ટ હોઈ શકે છે. લેન્થ ઓપરેટર, જે કીવર્ડ લેન દ્વારા દર્શાવેલ છે, તે પેકેટની લંબાઈ આપે છે.

ઉદાહરણ તરીકે, ` આકાશ [0] અને 1! = 0 'તમામ મલ્ટિકાસ્ટ ટ્રાફિકને પકડે છે. અભિવ્યકિત ' ip [0] અને 0xf! = 5 ' વિકલ્પો સાથે તમામ આઇપી પેકેટો પકડે છે. અભિવ્યકિત ' આઇપી [6: 2] અને 0x1fff = 0 ' માત્ર અયોગ્ય ડેટાગ્રામ્સ અને ફ્રેગમેન્ટ ડેટાગ્રામ્સના ગોરા સિક્વન્સને પકડી રાખે છે. આ ચેક ઇન્ટરેક્ટિવ રીતે TCP અને udp ઇન્ડેક્સ ઓપરેશન્સ પર લાગુ થાય છે. દાખલા તરીકે, ટીસીપી [0] નો અર્થ હંમેશા ટીસીપી હેડરના પ્રથમ બાઇટનો અર્થ થાય છે અને મધ્યસ્થી ટુકડાના પ્રથમ બાઇટનો ક્યારેય અર્થ નથી.

કેટલાંક ઓફસેટ્સ અને ફિલ્ડ મૂલ્યો આંકડાકીય મૂલ્યોની જગ્યાએ નામો તરીકે વ્યક્ત કરી શકે છે. નીચેના પ્રોટોકોલ હેડર ફીલ્ડ ઑફસેટ્સ ઉપલબ્ધ છે: ICLINK પ્રકાર (ICMP પ્રકાર ક્ષેત્ર), આઇસીએમપી કોડ (ICMP કોડ ફીલ્ડ), અને ટીસીપીફ્લેગ (TCP ફ્લેગ ફિલ્ડ).

નીચેના ICMP પ્રકાર ક્ષેત્ર મૂલ્યો ઉપલબ્ધ છે: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp- રીડાર્ડ , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp- ireq , icmp- ireqreply , icmp - maskreq , icmp - maskreply .

નીચેના ટીસીપી ફ્લેગ્સ ફીલ્ડ વેલ્યુ ઉપલબ્ધ છે: ટીસીपी- ફિન , ટીસીપી-સિન , ટીસીपी-રસ્ટ , ટીસીપી-પુશ , ટીસીપી-પુશ , ટીસીपी-એક , ટીસીપી-જિઆડ .

પ્રાયમિટિવ્સનો ઉપયોગ કરીને તેનો ઉપયોગ કરી શકાય છે:

પ્રિમીટીવીઝ અને ઑપરેટર્સનો કૌંસ બંધ કરાયેલ ગ્રુપ (કૌંસ શેલ માટે ખાસ છે અને છટકી જ જોઈએ).

નકારાત્મક (` ! 'અથવા` નહીં ')

કન્સેટેનેશન (` && ' અથવા` અને ')

પરિવર્તન (`` 'અથવા ` અથવા ')

નકારાત્મકતા સૌથી વધુ અગ્રતા છે. પરિવર્તન અને જોડાણોને સમાન પ્રાધાન્યતા અને ડાબેથી જમણે સંલગ્ન છે. નોંધ કરો કે સ્પષ્ટ અને ટોકન્સ, સંમિશ્રિત નથી, હવે જોડાણ માટે જરૂરી છે.

જો ઓળખકર્તાને કોઈ શબ્દ વિના આપવામાં આવે છે, તો સૌથી તાજેતરનું કીવર્ડ ધારી લેવામાં આવ્યું છે. દાખ્લા તરીકે,

યજમાન વિ અને પાસાનો પો નહીં

માટે ટૂંકા છે

હોસ્ટ vs અને યજમાન પાસાનો પો નહીં

જે સાથે ગેરસમજ ન થવી જોઈએ

નથી (યજમાન વિ અથવા પાસાનો પો)

અભિવ્યક્તિ દલીલોને એક જ દલીલ તરીકે અથવા બહુવિધ દલીલો તરીકે, જે વધુ અનુકૂળ હોય તે રીતે tcpdump ને પસાર કરી શકાય છે. સામાન્ય રીતે, જો અભિવ્યક્તિમાં શેલ મેટાચાકરનો સમાવેશ થાય છે, તો તેને એક, અવતરણ દલીલ તરીકે પસાર કરવાનું સરળ છે. મલ્ટીપલ દલીલોને વિશ્લેષિત કરતા પહેલાં જગ્યાઓ સાથે જોડવામાં આવે છે.

ઉદાહરણો

સુદૂવનથી પહોંચતા અથવા પ્રસ્થાન કરતા બધા પેકેટો છાપવા માટે:

tcpdump હોસ્ટ સુન્ડાવન

હેલીયોસ વચ્ચેના ટ્રાફિકને પ્રિન્ટ કરવા અને હોટ અથવા પાસાનો સ્વાદ :

tcpdump હોસ્ટ હેલિયોસ અને \ (ગરમ અથવા પાસાનો પો)

હેલીઓ સિવાય ઍક્સ અને કોઈપણ યજમાન વચ્ચેના તમામ આઇપી પેકેટો છાપવા માટે:

tcpdump ip host ace અને હેલિયોસ નથી

બર્કલે ખાતે સ્થાનિક યજમાનો અને યજમાનો વચ્ચેના તમામ ટ્રાફિકને છાપવા માટે:

tcpdump net ucb-ether

ઈન્ટરનેટ ગેટવે સ્નૂપ દ્વારા તમામ એફટીપી ટ્રાફિકને છાપવા માટે: (નોંધ કરો કે શેલને (ખોટી) કૌંસને અર્થઘટન કરવાથી રોકવા માટે અભિવ્યક્તિનો ઉલ્લેખ કરવામાં આવ્યો છે):

tcpdump 'ગેટવે સ્નૂપ અને (પોર્ટ એફટીપી અથવા એફટીપી-ડેટા)'

ટ્રાફિકને પ્રિન્ટ કરવા માટે કે જે સ્થાનિક યજમાનો માટે સ્ત્રોત નથી અથવા નસીબિત છે (જો તમે એક અન્ય ચોખ્ખા ગેટવે છે, તો આ સામગ્રી તેને તમારા સ્થાનિક નેટ પર ક્યારેય ન કરવી જોઈએ).

tcpdump ip અને નેટ લોકલનેટ નહીં

દરેક TCP વાતચીતની પ્રારંભ અને સમાપ્ત પેકેટો (SYN અને FIN પેકેટો) છાપવા માટે કે જે બિન-સ્થાનિક યજમાનનો સમાવેશ કરે છે.

tcpdump 'tcp [tcpflags] અને (tcp-syn | tcp-fin)! = 0 અને સ્રોત અને dst નેટ localnet '

ગેટવે સ્નૂપ દ્વારા મોકલવામાં આવેલા 576 બાઇટ્સ કરતા વધુ સમયથી આઇપી પેકેટ્સને છાપવા માટે:

tcpdump 'ગેટવે સ્નૂપ અને આઇપી [2: 2]> 576'

આઇપી બ્રોડકાસ્ટ અથવા મલ્ટિકાસ્ટ પેકેટોને પ્રિન્ટ કરવા માટે કે જે ઇથરનેટ બ્રૉડકાસ્ટ અથવા મલ્ટિકાસ્ટ દ્વારા મોકલવામાં આવતા નથી :

tcpdump 'આકાશ [0] અને 1 = 0 અને ip [16]> = 224'

બધી ICMP પેકેટો છાપવા માટે કે જે વિનંતીઓ / જવાબો પડતી નથી (એટલે ​​કે, પિંગ પૅકેટ્સ નથી):

tcpdump 'icmp [icmptype]! = icmp-echo અને icmp [icmptype]! = icmp-echoreply'

ઉત્પાદન ફોર્મેટ

Tcpdump નું આઉટપુટ પ્રોટોકોલ આધારિત છે. નીચેનામાં મોટા ભાગના બંધારણોના સંક્ષિપ્ત વર્ણન અને ઉદાહરણો છે.

લિંક સ્તર હેડર્સ

જો '-e' વિકલ્પ આપવામાં આવે, તો લિંક સ્તરનું હેડર છપાય છે. ઇથરનેટ પર, સ્રોત અને ગંતવ્ય સરનામાંઓ, પ્રોટોકોલ અને પેકેટની લંબાઈ છાપવામાં આવે છે.

એફડીડીઆઇ નેટવર્ક્સ પર, '-e' વિકલ્પ tcpdump ને `ફ્રેમ કંટ્રોલ 'ક્ષેત્ર, સ્રોત અને ગંતવ્ય સરનામાં, અને પેકેટ લંબાઈ છાપવા માટેનું કારણ બને છે. ('ફ્રેમ કંટ્રોલ' ફિલ્ડ બાકીના પેકેટના અર્થઘટનને નિયંત્રિત કરે છે.સામાન્ય પેકેટો (જેમ કે આઇપી ડેટાગ્રામ ધરાવતી હોય છે) એ `અસિનક 'પેકેટ છે, જે 0 અને 7 ની વચ્ચે અગ્રતા મૂલ્ય ધરાવે છે; ઉદાહરણ તરીકે,` async4 '. પેકેટમાં 802.2 લોજિકલ લિંક કંટ્રોલ (એલએલસી) પેકેટ હોવાની ધારણા છે; એલએલસી હેડર પ્રિન્ટ થાય છે જો તે ISO ડેટાગ્રામ અથવા કહેવાતા એસએએપી પેકેટ નથી.

ટોકન રીંગ નેટવર્ક્સ પર, '-e' વિકલ્પ tcpdump ને `એક્સેસ કન્ટ્રોલ 'અને` ફ્રેમ કંટ્રોલ' ક્ષેત્રો, સ્રોત અને ગંતવ્ય સરનામાં, અને પેકેટ લંબાઈ છાપવા માટેનું કારણ બને છે. એફડીડીઆઇ નેટવર્કની જેમ, પેકેટોને એલએલસી પેકેટ હોવાની ધારણા છે. અનુલક્ષીને '-e' વિકલ્પ સ્પષ્ટ છે કે નહીં, સ્રોત રૂટિંગ માહિતી સ્રોત-રૂટ કરેલ પેકેટો માટે છપાય છે.

(એનબી: નીચેના વર્ણન RFC-1144 માં વર્ણવેલ SLIP કમ્પ્રેશન ઍલ્ગોરિધમ સાથે પારિવારિકતા ધારે છે.)

SLIP લિંક્સ પર, દિશા સૂચક (ઇનબાઉન્ડ માટે `` આઇ '', આઉટબાઉન્ડ માટે `ઓ '), પેકેટનો પ્રકાર, અને કમ્પ્રેશનની માહિતી છાપવામાં આવે છે. પેકેટનો પ્રકાર પહેલા છપાય છે. ત્રણ પ્રકારના IP , utcp , અને ctcp છે . આઇપી પેકેટો માટે કોઈ વધુ લિંક માહિતી છાપવામાં આવી નથી. TCP પેકેટો માટે, જોડાણ ઓળખકર્તા પ્રકારને અનુસરવામાં આવે છે. જો પેકેટ સંકુચિત છે, તો તેનો એન્કોડેડ હેડર છપાય છે. વિશિષ્ટ કેસ * S + n અને * SA + n તરીકે મુદ્રિત કરવામાં આવે છે, જ્યાં n એ રકમ છે જેના દ્વારા ક્રમાંક સંખ્યા (અથવા અનુક્રમ સંખ્યા અને ack) બદલાઈ ગઈ છે. જો તે વિશિષ્ટ કેસ નથી, તો શૂન્ય અથવા વધુ ફેરફારો છાપવામાં આવે છે. પરિવર્તન યુ (તાત્કાલિક નિર્દેશક), ડબલ્યુ (વિન્ડો), એ (એન્ક), એસ (ક્રમ નંબર) અને આઇ (પેકેટ આઈડી) દ્વારા સૂચવવામાં આવે છે, તે પછી ડેલ્ટા (+ n અથવા -n), અથવા નવું મૂલ્ય (= n) છેલ્લે, પેકેટ અને કોમ્પ્રેસ્ડ હેડર લંબાઈના ડેટાની સંખ્યા છપાય છે.

ઉદાહરણ તરીકે, નીચેની લીટી એક આઉટબાઉન્ડ સંકુચિત TCP પેકેટને ગર્ભિત જોડાણ ઓળખકર્તા સાથે બતાવે છે; એ 6 દ્વારા અનુક્રમ સંખ્યા, 49 દ્વારા પેકેટ ID, 6 દ્વારા બદલાઈ ગયો છે; ડેટાના 3 બાઇટ્સ અને સંકુચિત હેડરના 6 બાઇટ્સ છે:

ઓ સીટીસીપી * A + 6 S + 49 I + 6 3 (6)

એઆરપી / આરએઆરપી પેકેટો

Arp / rarp આઉટપુટ એ વિનંતીનો પ્રકાર અને તેની દલીલો બતાવે છે. ફોર્મેટ સ્વયંસ્પષ્ટ હોય તેવું હેતુ છે હોસ્ટ આરટીએસજીથી સીએસએમ હોસ્ટ કરવા માટે ` રૉગિન 'ની શરૂઆતથી લેવામાં આવતો ટૂંકા નમૂનો છે:

એઆરપ કોણ છે - સી.એસ.એમ. rtsg અર્પ જવાબ સી.એસ.એમ- સી.એન.એમ.

પ્રથમ લીટી કહે છે કે આરટીએસજીએ ઇન્ટરનેટ હોસ્ટ સીએસએમના ઇથરનેટ એડ્રેસ માટે પૂછતા આર્પ પેકેટ મોકલ્યો છે. Csam તેના ઇથરનેટ સરનામાં સાથે જવાબ આપે છે (આ ઉદાહરણમાં, ઇથરનેટ સરનામાંઓ ટોપ કેસમાં કેપ્સ અને ઈન્ટરનેટ સરનામામાં છે).

જો આપણે tcpdump -n કર્યું હોત તો આ ઓછી અનાવશ્યક દેખાશે.

એઆરપ, જેની પાસે 128.3.254.6 છે 128.3.254.68 એઆરપી જવાબ 128.3.254.6 છે -0 02: 07: 01: 00: 01: સી 4

જો આપણે tcpdump -e કર્યું હોત, તો હકીકત એ છે કે પ્રથમ પેકેટ બ્રોડકાસ્ટ કરવામાં આવે છે અને બીજી બિંદુથી બિંદુ દેખાય છે:

આરટીએસજી બ્રોડકાસ્ટ 0806 64: એઆરપી કોણ છે - સી.એસ.એમ આરએસએસએનને કહે છે આરએસએસજી 0806 64: સીઆરએસએચ સી.એસ.એમ.

પ્રથમ પેકેટ માટે ઇથરનેટ સ્ત્રોતનું સરનામું આરટીએસજી છે, તે સ્થળ ઇથરનેટ બ્રોડકાસ્ટ એડ્રેસ છે, પ્રકાર ક્ષેત્ર હેક્સ 0806 (ટાઈપ ETHER_ARP) ધરાવે છે અને કુલ લંબાઈ 64 બાઇટ્સ હતી.

TCP પૅકેટ્સ

(NB: નીચેના વર્ણન આર.સી.સી.-793 માં વર્ણવ્યાેલા TCP પ્રોટોકોલ સાથે પરિચિતતા ધારે છે. જો તમે પ્રોટોકોલથી પરિચિત ન હોવ, તો આ વર્ણન આપતું નથી અને ટીસીડીપીડમ્પ તમારા માટે ઘણું ઉપયોગી છે .)

ટીસીપી પ્રોટોકોલ રેખાના સામાન્ય સ્વરૂપ છે:

src> dst: ફ્લેગો ડેટા- seqno ack વિન્ડો તાત્કાલિક વિકલ્પો

Src અને dst એ સ્રોત અને ગંતવ્ય IP સરનામાઓ અને બંદરો છે. ધ્વજ એસ (SYN), F (FIN), P (PUSH) અથવા R (RST) અથવા એક ``. (કોઈ ફ્લેગ નથી) ડેટા-સિકેનો આ પેકેટમાં ડેટા દ્વારા આવરી લેવામાં આવતી શ્રેણીના ભાગનું વર્ણન કરે છે (નીચે જુઓ). Ack આ જોડાણ પર બીજી દિશામાં અપેક્ષિત આગામી ડેટાનું અનુક્રમ નંબર છે. વિન્ડો પ્રાપ્ત બફર સ્પેસના બાઇટ્સની સંખ્યા છે જે આ જોડાણ પર બીજી દિશા ઉપલબ્ધ છે. ઉર્જ સૂચવે છે કે પેકેટમાં 'તાકીદનું' ડેટા છે. વિકલ્પો tcp વિકલ્પો કોણ કૌંસમાં બંધ છે (દા.ત., ).

Src, dst અને ફ્લેગ્સ હંમેશા હાજર છે. અન્ય ક્ષેત્રો પેકેટના TCP પ્રોટોકોલ હેડરની સામગ્રી પર આધારિત છે અને જો યોગ્ય હોય તો જ તે આઉટપુટ છે.

અહીં હોસ્ટ rtsg માંથી rlogin નું પ્રારંભિક ભાગ છે જે સીએસએમ હોસ્ટ કરે છે .

rtsg.1023> csam.login: S 768512: 768512 (0) જીત 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 જીતી 4096 rtsg.1023> csam પ્રવેશ:. ack 1 જીત 4096 rtsg.1023> csam.login: પી 1: 2 (1) ack 1 જીત 4096 csam.login> rtsg.1023:. ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 જીત 4096 csam.login> rtsg.1023: પી 1: 2 (1) એએક્સ 21 જીત 4077 csam.login> rtsg.1023: પી 2: 3 (1) એક 21 જીત 4077 તાકીદ 1 csam.login> rtsg.1023: પી 3: 4 (1) એએક્સ 21 જીત 4077 વિનંતી 1

પ્રથમ લીટી કહે છે કે આરસીએસજી પરના ટીસીપી પોર્ટ 1023 એ સીએસએમ પર પોર્ટ લોટ પર પેકેટ મોકલ્યો છે. એસ સૂચવે છે કે SYN ફ્લેગ સેટ કરવામાં આવ્યો હતો. પેકેટ ક્રમ નંબર 768512 હતો અને તેમાં કોઈ ડેટા નથી. (સંકેત એ છે કે 'પ્રથમ: છેલ્લું (nbytes)' એટલે કે અનુક્રમ સંખ્યાઓ પ્રથમ પરંતુ વપરાશકર્તા ડેટાના nbytes બાઇટ્સની છેલ્લી સમાવિષ્ટ નથી.) કોઈ પિગી-સમર્થિત એઇક ન હતી, ઉપલબ્ધ પ્રાપ્ત વિંડો 4096 બાઇટ્સ હતી અને ત્યાં એક મહત્તમ-સેગમેન્ટ-માપનો વિકલ્પ છે જે એમએસએસની 1024 બાઇટ્સની વિનંતી કરે છે.

સીસમ સમાન પેકેટ સાથે જવાબ આપે છે સિવાય કે તેમાં આરટીએસજીની એસઇએન માટે પિગી-સમર્થિત એન્કનો સમાવેશ થાય છે. આરટીએસજી પછી સીએએસએમની એસઇએન `. ' નો મતલબ કોઈ ફ્લેગ સેટ નથી. પેકેટમાં કોઈ ડેટા નથી તેથી કોઈ ડેટા ક્રમ નંબર નથી. નોંધ કરો કે એક ક્રમાંક સંખ્યા એક નાનો પૂર્ણાંક (1) છે. પ્રથમ વખત tcpdump એ tcp `વાતચીત 'જુએ છે, તે પેકેટમાંથી અનુક્રમ નંબર છાપે છે. વાટાઘાટોના અનુગામી પેકેટો પર, વર્તમાન પેકેટના ક્રમ સંખ્યા અને આ પ્રારંભિક ક્રમ નંબર વચ્ચેનો તફાવત છાપવામાં આવે છે. તેનો અર્થ એ કે પ્રથમ પછી ક્રમ નંબરો વાતચીતના ડેટા સ્ટ્રીમમાં સંબંધિત બાઇટ પોઝિશન્સ તરીકે અર્થઘટન કરી શકાય છે (પ્રથમ ડેટા બાઇટ સાથે દરેક દિશા '1' છે). `-S 'આ લક્ષણને ઓવરરાઇડ કરશે, જેના પરિણામે મૂળ શ્રેણી નંબરો આઉટપુટ બનશે.

છઠ્ઠી રેખા પર, આરટીએસજી ડેટાના 19 બાઇટ્સ (વાતચીતની આરએસજી -> સીસમ બાજુમાં બાઇટ્સ 2 થી 20 માં) મોકલે છે. પુશ ધ્વજ પેકેટમાં સેટ કરવામાં આવે છે. 7 મી લાઇન પર, સીએએસએમ કહે છે કે તે rtsg દ્વારા મોકલાયેલ ડેટા પ્રાપ્ત થયો છે પરંતુ બાઇટ 21 નો સમાવેશ નહીં. આ ડેટા મોટા ભાગે સોકેટ બફરમાં બેસી રહ્યો છે કારણ કે સીસમની પ્રાપ્ત વિન્ડોએ 19 બાઇટ્સ નાના મેળવ્યા છે. Csam પણ આ પેકેટમાં rtsg માટે માહિતી એક બાઇટ મોકલે છે. 8 મી અને 9 મી રેખાઓ પર, સીસમ તાકીદનું, ડેટાને આરટીએસજીના બે બાઇટ્સ મોકલે છે.

જો સ્નેપશોટ એટલો નાનો હતો કે TCPDump સંપૂર્ણ TCP હેડરને કેપ્ચર ન કરી શકતો, તો તે હેડર જેટલો વધુ અર્થઘટન કરે છે અને તે પછી `` [[| ટીસીપી ] '' દર્શાવવા માટે બાકીની માહિતી અર્થઘટન કરી શકાતી નથી. જો હેડરમાં એક બનાવટી વિકલ્પ હોય (એક લંબાઈ સાથે કે જે ક્યાં તો ખૂબ નાનું છે અથવા હેડરના અંતની બહાર છે), તે ટીસીપેડમ્પ તેને `` [ ખરાબ પસંદ કરો ] '' તરીકે અહેવાલ આપે છે અને આગળ કોઈ વિકલ્પોનો અર્થઘટન કરતું નથી (કારણ કે તે કહેવું અશક્ય છે જ્યાં તેઓ પ્રારંભ કરે છે). જો હેડર લંબાઈ સૂચવે છે કે વિકલ્પો હાજર છે પરંતુ આઈટી ડેટાગ્રામ લંબાઈ વિકલ્પો માટે વાસ્તવમાં ત્યાં પૂરતી લાંબુ નથી, તો તે `` [ ખરાબ એચડીઆર લંબાઈ ] '' તરીકે અહેવાલ આપે છે.

ચોક્કસ ધ્વજ સંયોજનો (SYN-ACK, URG-ACK, વગેરે) સાથે TCP પેકેટોને પકડવા

TCP હેડરના કંટ્રોલ બીટ્સ વિભાગમાં 8 બિટ્સ છે:

સીડબલ્યુઆર | ઇસીઇ | યુઆરજી | એસીકે | પીએસએચ | આરએસટી | SYN | FIN

ચાલો ધારો કે આપણે ટીસીપી કનેક્શન સ્થાપવા માટે ઉપયોગમાં લેવાતી પેકેટો જોવા માંગીએ છીએ. યાદ રાખો કે જ્યારે TCP એક નવું જોડાણ શરૂ કરે ત્યારે 3-વે હેન્ડશેક પ્રોટોકૉલનો ઉપયોગ કરે છે; ટીસીપી કન્ટ્રોલ બિટ્સના સંબંધમાં જોડાણ ક્રમ છે

1) કોલર SYN મોકલે છે

2) પ્રાપ્તકર્તા SYN, ACK સાથે પ્રતિક્રિયા આપે છે

3) કોલર એસીકે મોકલે છે

હવે અમે પેકેટ કે જે ફક્ત SYN બીટ સેટ (પગલું 1) ધરાવે છે તે મેળવવા માટે અમને રસ છે. નોંધ કરો કે આપણે પગલું 2 (SYN-ACK) માંથી પેકેટ્સ નથી માંગતા, ફક્ત એક સાદી પ્રારંભિક SYN. Tcpdump માટે આપણે શું જોઇએ તે યોગ્ય ફિલ્ટર અભિવ્યક્તિ છે.

વિકલ્પો વિના TCP હેડરનું માળખું યાદ કરો:

0 15 31 ----------------------------------------------- ------------------ | સ્ત્રોત પોર્ટ | ગંતવ્ય પોર્ટ | -------------------------------------------------- --------------- | ક્રમ નંબર | -------------------------------------------------- --------------- | સ્વીકૃતિ સંખ્યા | -------------------------------------------------- --------------- | એચએલ | આરએસવીડી | સી | ઇ | યુ | એ | પી | આર | એસ | એફ | વિન્ડો કદ | -------------------------------------------------- --------------- | ટીસીપી ચેકસુમ | તાકીદનું નિર્દેશક | -------------------------------------------------- ---------------

એક TCP હેડર સામાન્ય રીતે 20 ઓક્ટેટ ડેટા ધરાવે છે, જ્યાં સુધી વિકલ્પો હાજર ન હોય. ગ્રાફની પ્રથમ લીટી ઓક્ટેટ 0 - 3 ધરાવે છે, બીજી લાઈન ઑક્ટેટ 4 - 7 વગેરે બતાવે છે.

0 સાથે ગણતરી કરવાનું શરૂ કરી રહ્યા છે, સંબંધિત TCP નિયંત્રણ બિટ્સ ઓક્ટેટ 13 માં સમાયેલ છે:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | એચએલ | આરએસવીડી | સી | ઇ | યુ | એ | પી | આર | એસ | એફ | વિન્ડો કદ | ---------------- | --------------- | --------------- | - - --------------- | | 13 મી ઓક્ટેટ | | |

ચાલો ઓક્ટેટ નં પર નજીકથી નજર રાખીએ. 13:

| | | --------------- | | સી | ઇ | યુ | એ | પી | આર | એસ | એફ | | --------------- | | 7 5 3 0 |

આ તે ટીસીપી કન્ટ્રોલ બિટ્સ છે જેમાં આપણે રસ ધરાવીએ છીએ. આપણે આ ઓક્ટેટમાં બીટ્સને 0 થી 7, જમણે ડાબે નંબર, તેથી પીએસએચ બીટ બીટ નંબર 3 છે, જ્યારે યુઆરજી બીટ નંબર 5 છે.

યાદ રાખો કે અમે ફક્ત SYN સેટ સાથેના પેકેટો મેળવવા માંગો છો. ચાલો જોઈએ કે ઑક્ટેટ 13 શું થાય છે જો ટીસીપી ડેટાગ્રામ તેના હેડરમાં SYN બીટ સેટમાં આવે તો:

| સી | ઇ | યુ | એ | પી | આર | એસ | એફ | | --------------- | | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

કંટ્રોલ બીટ્સ વિભાગ પર જોવાથી આપણે જોઈ શકીએ છીએ કે માત્ર બીટ નંબર 1 (SYN) સુયોજિત છે.

ધારી રહ્યા છીએ કે ઑક્ટેટ નંબર 13 નેટવર્ક બાઇટ ઓર્ડરમાં 8-બીટ સંદિગ્ધાંકિત પૂર્ણાંક છે, આ ઓક્ટેટનું બાઈનરી મૂલ્ય એ છે

00000010

અને તેની દશાંશ રજૂઆત છે

7 6 5 4 3 2 1 0 0 * 2 + 2 * 2 + 2 * 2 + 0 * 2 + 2 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

અમે લગભગ પૂર્ણ કરી લીધું છે, કારણ કે હવે અમને ખબર છે કે જો ફક્ત SYN સેટ કરેલું હોય, તો TCP હેડરમાં 13 મી ઑક્ટેટનું મૂલ્ય, જ્યારે નેટવર્ક બાઈટ ઓર્ડરમાં 8-બીટ સંદિગ્ધાંકિત પૂર્ણાંક તરીકે અર્થઘટન થાય છે, તે બરાબર 2 હોવું જોઈએ.

આ સંબંધ તરીકે વ્યક્ત કરી શકાય છે

ટીસીીપી [13] == 2

અમે આ અભિવ્યક્તિનો ઉપયોગ ટીકીપીડમ્પ માટેના ફિલ્ટર તરીકે કરી શકીએ છીએ જેથી પેકેજો કે જે ફક્ત SYN સેટ કરે છે:

tcpdump -i xl0 tcp [13] == 2

અભિવ્યક્તિ કહે છે કે "ટીસીપી ડેટાગ્રામના 13 મી ઓક્ટેટમાં દશાંશ મૂલ્ય 2 હોય", જે બરાબર આપણે શું કરવા માગીએ છીએ.

હવે, ચાલો ધારો કે આપણને એસવાયએન પૅકેટ્સ કેપ્ચર કરવાની જરૂર છે, પરંતુ ACK અથવા અન્ય કોઇ ટીસીપી કંટ્રોલ બીટ એક જ સમયે સુયોજિત થયેલ છે તેની અમે કાળજી રાખતા નથી. ચાલો જોઈએ કે ઑક્ટેટ 13 શું થાય છે જ્યારે SYN-ACK સેટ સાથેનું TCP ડેટાગ્રામ આવે છે:

| સી | ઇ | યુ | એ | પી | આર | એસ | એફ | | --------------- | | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

હવે બીટ્સ 1 અને 4 13 મી ઓક્ટેટમાં સેટ થયા છે. ઓક્ટેટ 13 નું બાઈનરી મૂલ્ય એ છે

00010010

જે દશાંશ તરીકે અનુવાદિત થાય છે

7 6 5 4 3 2 1 0 0 * 2 + 2 * 2 + 2 * 2 + 1 * 2 + 2 * 2 + 0 * 2 + 1 * 2 + 2 * 2 = 18

હવે આપણે ફક્ત 'tcp [13] == 18' tcpdump ફિલ્ટર અભિવ્યક્તિમાં ઉપયોગ કરી શકતા નથી, કારણ કે તે ફક્ત તે પેકેટોને જ પસંદ કરશે જે SYN-ACK સમૂહ છે, પરંતુ તે ફક્ત તે જ SYN સેટ સાથે નહીં. યાદ રાખો કે જો આપણે ACK અથવા અન્ય કોઇ નિયંત્રણ બિંદુ SYN સેટ કરેલું હોય તો તે કાળજી રાખતા નથી.

અમારા ધ્યેયને હાંસલ કરવા માટે, આપણે તાર્કિક રીતે અને ઓક્ટેટ 13 ની બાઈનરી કિંમતની જરૂર છે, જે SYN બીટને બચાવવા માટે અન્ય કોઇ મૂલ્ય સાથે છે. અમે જાણીએ છીએ કે આપણે કોઈ પણ સંજોગોમાં SYN સુયોજિત કરવા માગીએ છીએ, તેથી આપણે તાર્કિક રીતે અને 13 ઓકટેટમાંનું મૂલ્ય SYN ની બાઈનરી મૂલ્ય સાથે કરીશું:

00010010 SYN-ACK 00000010 SYN અને 00000010 (અમે SYN માંગો છો) અને 00000010 (અમે SYN માંગો છો) -------- -------- = 00000010 = 00000010

આપણે જોઈ શકીએ છીએ કે આ અને ઓપરેશન એસીકે અથવા અન્ય ટીસીપી કંટ્રોલ બીટ સેટ કરેલ છે કે કેમ તે ધ્યાનમાં લીધા વગર એ જ પરિણામ પહોંચાડે છે. AND મૂલ્યની દશાંશ રજૂઆત તેમજ આ ઓપરેશનના પરિણામ 2 (બાઈનરી 00000010) છે, તેથી અમે જાણીએ છીએ કે SYN સાથેના પેકેટો માટે નીચેના સંબંધો સાચવવા જોઈએ:

(ઓક્ટેટ 13 નું મૂલ્ય) અને (2)) == (2)

આ અમને tcpdump ફિલ્ટર અભિવ્યક્તિ તરફ દોરી જાય છે

tcpdump -i xl0 'tcp [13] અને 2 == 2'

નોંધ લો કે તમારે શેલમાંથી AND ('&') વિશિષ્ટ અક્ષર છુપાવવા માટે અભિવ્યક્તિમાં સિંગલ અવતરણ અથવા બેકસ્લેશનો ઉપયોગ કરવો જોઈએ.

UDP પૅકેટ્સ

UDP ફોર્મેટને આ રવા પેકેટ દ્વારા સચિત્ર કરવામાં આવ્યું છે:

actinide.who> પ્રસારણ .who: udp 84

આનો મતલબ એ છે કે બંદર, જે યજમાન એક્ટિનેડને યૂડ બ્રોડકાસ્ટ , ઈન્ટરનેટ બ્રોડકાસ્ટ એડ્રેસ પર પોર્ટને udp ડેટાગ્રામે મોકલ્યું હતું. પેકેટમાં વપરાશકર્તા ડેટાના 84 બાઇટ્સનો સમાવેશ થતો હતો.

કેટલાક UDP સેવાઓ (સ્ત્રોત અથવા ગંતવ્ય પોર્ટ સંખ્યામાંથી) ઓળખાય છે અને ઉચ્ચ સ્તરની પ્રોટોકોલ માહિતી છપાયેલ છે. ખાસ કરીને, ડોમેન નેમ સેવાની અરજીઓ (RFC-1034/1035) અને સન આરપીસી કૉલ્સ (RFC-1050) ને NFS માં

UDP નામ સર્વર વિનંતીઓ

(નોબ: નીચેના વર્ણન આરએફસી -1035 માં વર્ણવેલ ડોમેન સર્વિસ પ્રોટોકોલ સાથે પરિચિતતા ધારે છે. જો તમે પ્રોટોકોલથી પરિચિત ન હો, તો નીચેનું વર્ણન ગ્રીકમાં લખેલું હશે.)

નામ સર્વર વિનંતીઓ આ રીતે ફોર્મેટ થાય છે

src> dst: id ઑપ? ફ્લેગો qtype qclass નામ (લેન) h2opolo.1538> હેલિઓસ.ડોમેઇન: 3+ એ? ucbvax.berkeley.edu (37)

યજમાન h2opolo નામના ucbvax.berkeley.edu સાથે સંકળાયેલ એડ્રેસ રેકોર્ડ (qtype = A) માટે ડોમેન સર્વરને હેલિઓસ પર પૂછવામાં આવ્યું . ક્વેરી આઈડી '3' હતી '+' સૂચવે છે કે રિકર્ઝન ઇચ્છિત ફ્લેગ સેટ કરવામાં આવ્યું હતું. ક્વેરીની લંબાઈ 37 બાઇટ્સ હતી, જેમાં UDP અને IP પ્રોટોકોલ હેડર્સનો સમાવેશ થતો નથી. ક્વેરી ઓપરેશન સામાન્ય હતું, ક્વેરી , તેથી ઑપ ફિલ્ડ અવગણવામાં આવ્યું હતું. ઑપ અન્ય કંઈપણ હોવા છતા, તે `3 'અને` +' વચ્ચે છાપવામાં આવ્યો હોત. તેવી જ રીતે, ક્યૂક્લાસ સામાન્ય, સીઆઇએવી , અને અવગણવામાં આવી હતી. 'એ' પછી તરત જ કોઈપણ અન્ય ક્વૉક્લાસ છાપવામાં આવ્યો હોત.

થોડા ફેરફારોની ચકાસણી કરવામાં આવે છે અને ચોરસ કૌંસમાં આવેલા વધારાના ક્ષેત્રોમાં પરિણમે છે: જો કોઈ ક્વેરીમાં કોઈ જવાબ હોય, તો સત્તાના રેકોર્ડ અથવા અતિરિક્ત રેકોર્ડ્સ વિભાગ, ancount , nscount અથવા arcount `[ n એ] 'તરીકે છપાય છે,` [ n n ] 'અથવા `[ એન એયુ]' છે જ્યાં n એ યોગ્ય ગણતરી છે. જો કોઈ પ્રતિક્રિયા બિટ્સ સેટ કરવામાં આવે છે (એએ, આરએ અથવા આરકોડ) અથવા 'શૂન્ય' બિટ્સમાંના કોઈપણ બાઈટને બે અને ત્રણમાં સુયોજિત કરેલા હોય તો `[b2 અને 3 = x ] 'છપાયેલ છે, જ્યાં x એ હેક્સ વેલ્યુ છે હેડર બાઇટ્સ બે અને ત્રણ.

યુડીપી નામ સર્વર પ્રતિસાદ

નામ સર્વર પ્રતિસાદોને આ રીતે ફોર્મેટ કરેલ છે

src> dst: id ઑપ રેકોડ ફ્લેગ એ / એન / એયુ ટાઈપ ક્લાસ ડેટા (લેન) હેલિઓસ.ડોમેન> h2opolo.1538: 3 3/3/7 એ 128.32.137.3 (273) હેલિયોસ.ડોમેઇન> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

પ્રથમ ઉદાહરણમાં, હેલિયોઝ 3 જવાબ રેકોર્ડ્સ, 3 નામ સર્વર રેકોર્ડ્સ અને 7 અતિરિક્ત રેકોર્ડ્સ સાથે h2opolo માંથી ક્વેરી ID 3 નો જવાબ આપે છે. પ્રથમ જવાબ રેકોર્ડ એ પ્રકાર એ (સરનામું) છે અને તેનું ડેટા ઇન્ટરનેટ સરનામું 128.32.137.3 છે. પ્રતિસાદનો કુલ કદ 273 બાઇટ્સ હતો, જેમાં UDP અને IP હેડરોનો સમાવેશ થતો નથી. ઑપ (ક્વેરી) અને રિસ્પોન્સ કોડ (નોઈરર) ને અવગણવામાં આવ્યા હતા, કારણ કે એ રેકોર્ડની ક્લાસ (C_IN) હતી.

બીજા ઉદાહરણમાં, હેલિયોઝ ક્વેરી -2 નો જવાબ આપે છે, જેમાં કોઈ જવાબો, એક નામ સર્વર અને કોઈ સત્તાના રેકોર્ડ્સ વગર બિન-અસ્તિત્વ ધરાવતા ડોમેન (એનએક્સડોમેઇન) નો પ્રતિભાવ કોડ છે. `* 'સૂચવે છે કે અધિકૃત જવાબ બિટ સેટ કરવામાં આવ્યો હતો. કોઈ જવાબો ન હોવાથી, કોઈ પ્રકાર, વર્ગ અથવા ડેટા છાપવામાં આવતો નથી.

અન્ય ધ્વજ અક્ષરો જે દેખાઈ શકે છે તે `- '(રિકર્ઝન ઉપલબ્ધ છે, આરએ, સેટ નથી ) અને` |' (કાપવામાં આવેલ સંદેશ, ટીસી, સમૂહ). જો `પ્રશ્ન 'વિભાગમાં એક જ એન્ટ્રી હોતી નથી, તો` [ n q]' છપાયેલ છે.

નોંધ કરો કે નામ સર્વર વિનંતીઓ અને પ્રતિસાદો મોટા હોય છે અને 68 બાયટ્સનો ડિફોલ્ટ સ્નેપલન છાપવા માટે પૅકેટનો પર્યાપ્ત પકડી શકે નહીં. સ્નેપલનને વધારવા માટે -s ફ્લેગનો ઉપયોગ કરો જો તમને નામ સર્વર ટ્રાફિકની ગંભીરતાપૂર્વક તપાસ કરવાની જરૂર હોય. ` -123 'મારા માટે સારું કામ કર્યું છે.

એસએમબી / સીઆઈએફએસ ડિકોડિંગ

tcpdump માં હવે UDP / 137, UDP / 138 અને TCP / 139 પરના ડેટા માટે એકદમ વિસ્તૃત SMB / CIFS / NBT ડીકોડિંગ શામેલ છે. IPX અને NetBEUI SMB ડેટાના કેટલાક આદિમ ડીકોડિંગ પણ કરવામાં આવે છે.

મૂળભૂત રીતે એકદમ ન્યૂનતમ ડીકોડ કરવામાં આવે છે, જો વધુ વિગતવાર ડીકોડ કરવામાં આવે તો જો -v વપરાય છે. સાવચેત રહો કે- એક સિંગલ એસએમબી પેકેટ સાથે પૃષ્ઠ અથવા વધુ લઇ શકે છે, તેથી માત્ર -v વાપરો જો તમે ખરેખર તમામ લોહીનો ઉપયોગ કરવા માંગો છો

જો તમે યુનિકોડ શબ્દમાળાઓ ધરાવતા એસએમબી સત્રને ડીકોડિંગ કરી રહ્યા હોવ તો તમે પર્યાવરણ ચલ USE_UNICODE ને 1 થી સુયોજિત કરવા ઈચ્છતા હોઈ શકો છો. યુનિકોડના ઝરણાંને સ્વતઃ શોધવાની પેચ સ્વાગત હશે

એસએમબી પેકેટ ફોર્મેટ પરની માહિતી માટે અને તમારા બધા મનપસંદ ક્ષેત્રોમાં શું છે તે www.insts.org અથવા pub / samba / specs / ડિરેક્ટરીને તમારા મનપસંદ samba.org મિરર સાઇટ પર જુઓ. એસએમબી પેચ એન્ડ્રુ ટ્રિગવેલ (ટ્રિજ @ એસબા.જી.આર.) દ્વારા લખવામાં આવ્યા હતા.

NFS વિનંતીઓ અને જવાબો

સન NFS (નેટવર્ક ફાઇલ સિસ્ટમ) વિનંતીઓ અને જવાબો આ રીતે છપાય છે:

src.xid> dst.nfs: len op args src.nfs> dst.xid: જવાબ stat લેન ઑપ પરિણામો sushi.6709> wrl.nfs: 112 readlink એફએચ 21,24 / 10.73165 wrl.nfs> sushi.6709: બરાબર જવાબ આપો 40 readlink "../var" સુશી201b> wrl.nfs: 144 લુકઅપ એફએએફ 9, 74 / 4096.6878 "એક્સકલૉર્સ" wrl.nfs> સુશી -2012: જવાબ બરાબર 128 લુકઅપ એફએએ 9, 74 / 4134.3150

પ્રથમ લીટીમાં હોસ્ટ સુશી ID 6709 સાથે wrl સાથે વ્યવહાર મોકલે છે (નોંધ કરો કે સ્રોત હોસ્ટની પાછળની સંખ્યા સોદા પોર્ટ છે, સોદા પોર્ટ નથી). આ વિનંતી 112 બાઇટ્સ હતી, સિવાય કે યુડીપી અને આઇપી હેડર. ઓપરેશન ફાઇલ હેન્ડલ ( એફએચ ) 21,24 / 10.731657119 પર રીલિંકંક (સિમ્બોલિક લિંક વાંચો) હતું. (જો એક નસીબદાર છે, આ કિસ્સામાં, ફાઈલ હેન્ડલને મુખ્ય, નાના ઉપકરણ નંબર જોડી તરીકે અર્થઘટન કરી શકાય છે, તે પછી ઇનોડ નંબર અને જનરેશન નંબર.) Wrl એ લિંકની સમાવિષ્ટો સાથે 'બરાબર' જવાબ આપ્યો છે.

ત્રીજા વાક્યમાં, સુશી દિગ્દર્શક ફાઇલ 9, 74 / 4096.6878 માં નામ ` xcolors 'જોવા માટે wrl પૂછે છે. નોંધ કરો કે મુદ્રિત ડેટા ઓપરેશન પ્રકાર પર આધારિત છે. NFS પ્રોટોકોલ સ્પેક સાથેના જોડાણમાં જો ફોર્મેટ સ્વયંસ્પષ્ટ હોય તેવું હેતુ છે.

જો -v (વર્બોઝ) ફ્લેગ આપવામાં આવે, તો વધારાની માહિતી છાપવામાં આવે છે. દાખ્લા તરીકે:

સુશી .1372a> wrl.nfs: 148 વાંચી એફએચ 21,11 / 12.195 8192 બાઇટ્સ @ 24576 wrl.nfs> સુશી .1372: જવાબ બરાબર 1472 વાંચો REG 100664 IDs 417/0 sz 29388

(-વી એ આઇપી હેડર TTL, ID, લંબાઈ, અને ફ્રેગ્મેન્ટેશન ફીલ્ડ્સ પણ પ્રિન્ટ કરે છે, જે આ ઉદાહરણમાંથી અવગણવામાં આવ્યા છે.) પ્રથમ લીટીમાં, સુશી રાઈટે ઑફસેટ પર 21, 11 / 12.195, ફાઇલમાંથી 8192 બાઇટ્સ વાંચવા માટે પૂછે છે. 24576. Wrl જવાબો `ઠીક '; બીજી રેખા પર દર્શાવવામાં આવેલ પેકેટ એ જવાબનો પ્રથમ ટુકડો છે, અને તેથી માત્ર 1472 બાઇટ્સ લાંબી છે (અન્ય બાઇટ્સ અનુગામી ટુકડાઓમાં અનુસરશે, પરંતુ આ ટુકડાઓમાં NFS અથવા UDP હેડર્સ નથી અને તેથી છાપી શકાતા નથી, વપરાયેલ ફિલ્ટર અભિવ્યક્તિ પર આધાર રાખીને). કારણ કે -v ફ્લેગ આપવામાં આવે છે, કેટલીક ફાઇલ એટ્રીબ્યુટો (જે ફાઈલ માહિતી ઉપરાંત પરત આવે છે) છપાય છે: ફાઇલ પ્રકાર (`` REG '', નિયમિત ફાઇલ માટે), ફાઈલ મોડ (ઓક્ટેટમાં) uid અને gid, અને ફાઈલ માપ.

જો -v ફ્લેગ એકથી વધુ વખત આપવામાં આવે, તો વધુ વિગતો પણ છાપવામાં આવે છે.

નોંધ કરો કે NFS અરજીઓ ખૂબ મોટી છે અને સ્નેપલન વધારો ન થાય ત્યાં સુધી મોટા ભાગની વિગત પ્રિન્ટ કરવામાં આવશે નહીં. એનએફએસ ટ્રાફિક જોવા માટે ` -192 'નો ઉપયોગ કરવાનો પ્રયાસ કરો.

એનએફએસએસના જવાબ પેકેટો આરપીસીની ક્રિયાને સ્પષ્ટ રીતે ઓળખતા નથી. તેના બદલે, tcpdump `` તાજેતરના '' વિનંતીઓનો ટ્રેક રાખે છે, અને વ્યવહાર ID નો ઉપયોગ કરીને તેમને જવાબો સાથે મેળ ખાય છે જો જવાબ અનુલક્ષીને વિનંતીને અનુસરતું નથી, તો તે કદાચ વિશ્લેષણાત્મક ન હોઈ શકે.

એએફટીએસ અરજીઓ અને જવાબો

ટ્રાન્સર્ક એએફએસ (એન્ડ્રુ ફાઇલ સિસ્ટમ) વિનંતીઓ અને જવાબો છાપવામાં આવે છે:

src.sport> dst.dport: rx પેકેટ-પ્રકાર src.sport> dst.dport: rx પેકેટ-ટાઈપ સર્વિસ કોલ કોલ-નામ એગ્રેસ src.sport> dst.dport: rx પેકેટ-ટાઈપ સર્વિસ જવાબ કોલ-નામ એલ્જીસ એલ્વિસ. 7001> પાઈક.આફ્સ: આરએક્સ ડેટા એફએસ કોલ જૂની નામ બદલીને એફિડ 536876964/1/1 ". ન્યૂઝટ્રિસ.ન્યૂ" નવી ફેડ 536876964/1/1 ". ન્યૂઝક્રિક" પાઈક.ફા.એસ.એસ.> એલ્વિસ .7001: આરએક્સ ડેટા એફએસ રીપોર્ટનું નામ બદલવું

પ્રથમ લીટીમાં હોસ્ટ એલ્વિસ પાઈકને RX પેકેટ મોકલે છે. આ fs (fileserver) સેવા માટે એક આરએક્સ ડેટા પેકેટ હતી, અને તે RPC કૉલની શરૂઆત છે. 536876964/1/1 ની જૂના ડિરેક્ટરી ફાઇલ આઇડી અને '.newsrc.new' ના જૂના ફાઇલનામ સાથે, અને 536876964/1/1 નું નવું ડાયરેક્ટરી ફાઇલ આઇડી અને `` નું નવું ફાઇલનું નામ, આરપીસી કોલ નામનું નામ હતું. ન્યૂઝટ્રિક ' યજમાન પાઇક નામના કોલને RPC નો જવાબ આપે છે (જે સફળ હતી, કારણ કે તે એક ડેટા પેકેટ હતી અને તે કોઈ ગર્ભપાત પેકેટ નથી).

સામાન્ય રીતે, બધા AFS RPCs ઓછામાં ઓછા RPC કોલ નામ દ્વારા ડીકોડ થાય છે. મોટાભાગના એએફએસ (RPF) RPCs પાસે ઓછામાં ઓછી કેટલીક દલીલો ડિકોડેડ છે (સામાન્ય રીતે માત્ર રસપ્રદ 'દલીલો, રસપ્રદની કેટલીક વ્યાખ્યા માટે).

બંધારણ સ્વયં વર્ણન કરવાના હેતુ માટે છે, પરંતુ તે કદાચ એવા લોકો માટે ઉપયોગી નથી કે જેઓ એએફએસ અને આરએક્સની કામગીરીથી પરિચિત નથી.

જો -v (વર્બોઝ) ધ્વજને બે વાર આપવામાં આવે છે, સ્વીકૃતિ પેકેટ અને વધારાની હેડર માહિતી છપાય છે, જેમ કે આરએક્સ કોલ આઈડી, કોલ નંબર, ક્રમાંક નંબર, સીરીયલ નંબર, અને RX પેકેટ ફ્લેગ.

જો -v ફ્લેગ બે વાર આપવામાં આવે, તો વધારાની માહિતી છપાય છે, જેમ કે આરએક્સ કોલ આઈડી, સીરીયલ નંબર, અને આરએક્સ પેકેટ ફ્લેગ. એમટીયુ (MTU) વાટાઘાટની માહિતી આરએક્સ (AX) પેકેટોથી પણ છપાય છે.

જો -v ફ્લેગ ત્રણ વખત આપવામાં આવે, તો સુરક્ષા ઇન્ડેક્સ અને સર્વિસ આઈડી છાપવામાં આવે છે.

Ubik beacon પેકેટોના અપવાદ સિવાય, અપૂર્ણ પૅકેટ માટે ભૂલ કોડ્સ છાપવામાં આવે છે (કારણ કે ગર્ભપાત પેકેટનો Ubik પ્રોટોકોલ માટે હા મત દર્શાવવા માટે ઉપયોગ થાય છે).

નોંધ કરો કે એએફટીએસ અરજીઓ ખૂબ મોટી છે અને સ્નેપલન વધે ત્યાં સુધી ઘણા દલીલો છાપવામાં આવશે નહીં. એએફએસ ટ્રાફિક જોવા માટે ` 256 'નો ઉપયોગ કરવાનો પ્રયાસ કરો.

એએફએસ (ASM) નો જવાબ પેકેટો આરપીસીની ક્રિયાને સ્પષ્ટપણે ઓળખતા નથી. તેના બદલે, tcpdump `` તાજેતરના '' વિનંતીઓનો ટ્રેક રાખે છે, અને તેમને કૉલ નંબર અને સેવા ID નો ઉપયોગ કરીને જવાબો સાથે મેળ ખાય છે. જો જવાબ અનુલક્ષીને વિનંતીને અનુસરતું નથી, તો તે કદાચ વિશ્લેષણાત્મક ન હોઈ શકે.

કેપ એપ્લેટક (UDP માં ડીડીપી)

UDP ડેટાગ્રામ્સમાં સમાવિષ્ટ એપલટૉક ડીડીપી પેકેટો ડી-એનકેપેટ્યુલેટ થાય છે અને ડીએડપીના પેકેટો તરીકે ડમ્પ થાય છે (એટલે ​​કે, તમામ UDP હેડર માહિતીને તોડવામાં આવે છે). ફાઈલ /etc/atalk.names નો ઉપયોગ એપલેટટ નેટ અને નોડ નંબરોને નામોમાં અનુવાદિત કરવા માટે થાય છે. આ ફાઇલમાં લીટીઓ ફોર્મ ધરાવે છે

નંબર નામ 1.254 ઇથર 16.1 icsd- નેટ 1.254.110 પાસાનો પો

પ્રથમ બે રેખાઓ એપલેટૉક નેટવર્કના નામો આપે છે. ત્રીજા રેખાથી કોઈ ચોક્કસ યજમાનનું નામ આપવામાં આવે છે (એક યજમાન ચોખ્ખી થી સંખ્યામાં 3 જી ઓક્ટેટ દ્વારા અલગ પડે છે - એક ચોખ્ખો નંબર બે ઓક્ટેટ હોવો જોઈએ અને હોસ્ટ નંબરને ત્રણ ઓક્ટેટ હોવો જ જોઈએ .) સંખ્યા અને નામ અલગ હોવું જોઈએ સફેદજગ્યા દ્વારા (બ્લેન્ક્સ અથવા ટૅબ્સ) /etc/atalk.names ફાઇલમાં ખાલી લીટીઓ અથવા ટિપ્પણી રેખાઓ (`# 'થી પ્રારંભ થતી રેખાઓ) હોઈ શકે છે.

એપલટૉક સરનામાં ફોર્મમાં મુદ્રિત કરવામાં આવે છે:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd- નેટ.112.220 jssmag.149.235> icsd-net.2

(જો /etc/atalk.names અસ્તિત્વમાં નથી અથવા તેમાં અમુક એપ્લેટૉક યજમાન / ચોખ્ખો નંબર માટે પ્રવેશ ન હોય તો, સરનામાં આંકડાકીય સ્વરૂપમાં મુદ્રિત કરવામાં આવે છે.) પ્રથમ ઉદાહરણમાં, નેટ 144.1 પર NBP (DDP port 2) નોડ 209 ને નેટ icsd નોડ 112 ની પોર્ટ 220 પર સાંભળીને તે મોકલવામાં આવે છે. બીજી લાઈન સ્રોત નોડના સંપૂર્ણ નામ સિવાય જાણીતી છે ('કાર્યાલય'). ત્રીજા લાઇન એ નેટ જાસ્મેગ નોડ 149 પર પોર્ટ 235 પર મોકલવામાં આવે છે જે icsd-net NBP બંદર પર પ્રસારિત કરે છે (નોંધ કરો કે બ્રોડકાસ્ટ એડ્રેસ (255) કોઈ યજમાન નંબર સાથે ચોખ્ખો નામ દ્વારા દર્શાવેલ છે - આ કારણોસર તે એક સારો વિચાર છે નોડના નામો અને /etc/atalk.names માં વિશિષ્ટ નામો રાખવા).

એનબીપી (નામ બંધનકર્તા પ્રોટોકોલ) અને એટીપી (એપલટૉક ટ્રાંઝેક્શન પ્રોટોકોલ) પેકેટોમાં તેમના સમાવિષ્ટોનો અર્થઘટન થાય છે. અન્ય પ્રોટોકોલો માત્ર પ્રોટોકોલ નામ (અથવા સંખ્યા જો પ્રોટોકોલ માટે કોઈ નામ રજીસ્ટર કરતું નથી) અને પેકેટનું કદ ડમ્પ કરે છે.

નીચેના ઉદાહરણોની જેમ NBP પેકેટો ફોર્મેટ કરવામાં આવે છે:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: લેસર વાઇટર @ *" jssmag.209.2> icsd-net.112.220: nbp-answer 190: "RM1140: લેસરવ્રાઇટર @ *" 250 techpit.2> icsd -નેટ .112.220: એનબીપી-જવાબ 1 9 0: "ટેક્નપિટટ: લેસર વાઇટર @ *" 186

પ્રથમ લાઇન નેટ icsd હોસ્ટ 112 દ્વારા મોકલવામાં આવેલ લેસરવિટર્સ માટે નામ લુકઅપ વિનંતી છે અને નેટ jssmag પર બ્રોડકાસ્ટ કરે છે. લુકઅપ માટે એનબીપી આઈડી એ 190 છે. બીજી રેખા આ હોસ્ટ માટે jssmag.209 થી વિનંતી કરે છે (નોંધ કે તેની પાસે તે જ id છે) કહે છે કે તેની પાસે પોર્ટ 250 પર રજીસ્ટર થયેલ "RM1140" નામનું લેસરલેખક સાધન છે. ત્રીજા રેખા એ જ વિનંતીનો એક બીજો જવાબ છે જેમાં હોસ્ટ ટેકટાઇપ પાસે લેસરલેખક "ટેકપીટ" છે, જે પોર્ટ 186 પર રજીસ્ટર થયેલ છે.

એટીપી પેકેટ ફોર્મેટિંગ નીચેના ઉદાહરણ દ્વારા દર્શાવવામાં આવે છે:

jssmag.209.165> હેલિઓસ.132: એટીપી-રેક 12266 <0-7> 0xae030001 હેલિયોસ.132> જેએસએસએમગ.209.165: એટીપી-રિસ 12266: 0 (512) 0xae040000 હેલિઓસ.132> જેએસએસએમગ .09.165: એટીપી-રિસ 12266: 1 (512) 0xae040000 હેલિઓસ.132> jssmag.209.165: એટીપી-રિસ 12266: 2 (512) 0xae040000 હેલિઓસ.132> જેએસએસએમગ .209.165: એટીપી-રિસ 12266: 3 (512) 0xae040000 હેલિયોસ.132> જેએસએસએમગ .09.165: એટીપી- resp 12266: 4 (512) 0xae040000 હેલિઓસ.132> jssmag.209.165: એટીપી-રિસ 12266: 5 (512) 0xae040000 હેલિયોસ.132> જેએસએસએમગ. 209.165: એટીપી-રિસ 12266: 6 (512) 0xae040000 હેલિઓસ.132> જસમેગ 209.165: એટીપી-રિસ્ક * 12266: 7 (512) 0xae040000 jssmag.209.165> હેલિઓસ.132: એટીપી-રેક 12266 <3,5> 0xae030001 હેલિઓસ.132> જેએસએસએમગ .209.165: એ.પી.પી.-resp 12266: 3 (512) 0xae040000 હેલિઓસ .132> jssmag.209.165: એટીપી-રિસ 12266: 5 (512) 0xae040000 jssmag.209.165> હેલિયોસ.132: એ.પી.પી.- રીલ 12266 <0-7> 0xae030001 jssmag.209.133> હેલિઓસ.132: એટીપી-રેક * 12267 <0 -7> 0xae030002

Jssmag.209 8 પેકેટ (`<0-7> ') સુધી વિનંતી કરીને યજમાન હોયુઓ સાથે વ્યવહાર આઈડી 12266 શરૂ કરે છે. લીટીના અંતે હેક્સ નંબર વિનંતીમાં `userdata 'ફીલ્ડનું મૂલ્ય છે.

હેલિયોસ 8 512-બાઇટ પેકેટોનો જવાબ આપે છે. ટ્રાંઝેક્શન આઈડી પછી `` ડિજ '' ટ્રાન્ઝેકશનમાં પેકેટ ક્રમ નંબર આપે છે અને પેરેન્સમાં સંખ્યા એ એપેડ હેડર સિવાયના, પેકેટમાં ડેટાની સંખ્યા છે. પેકેટ 7 પર `* 'સૂચવે છે કે EOM બીટ સેટ કરવામાં આવી હતી.

Jssmag.209 પછી તે વિનંતી કરે છે કે પેકેટ 3 અને 5 ફરીથી સંમિશ્રિત થશે. હેલિયોસ તેમને ફરીથી મોકલે છે પછી jssmag.209 વ્યવહારને રિલીઝ કરે છે. છેલ્લે, jssmag.209 આગળની વિનંતી શરૂ કરે છે વિનંતી પર `* 'સૂચવે છે કે XO (` બરાબર એકવાર') સેટ કરેલું ન હતું.

આઇપી ફ્રેગમેન્ટેશન

વિભાજીત ઈન્ટરનેટ ડેટાગ્રામ આ રીતે છાપવામાં આવે છે

(ફ્રેગ આઈડી : કદ @ ઑફસેટ +) (ગોગ આઈડી : કદ @ ઑફસેટ )

(પ્રથમ સ્વરૂપ સૂચવે છે કે ત્યાં વધુ ટુકડાઓ છે. બીજા સૂચવે છે કે આ છેલ્લું ટુકડો છે.)

Id એ ટુકડો id છે માપ એ હેડર સિવાયના ટુકડા માપ (બાઇટ્સમાં) છે ઑફસેટ એ આ ટુકડોનું ઓફસેટ છે (બાઇટ્સમાં) મૂળ ડેટાગ્રામમાં.

ટુકડો માહિતી દરેક ટુકડા માટે આઉટપુટ છે. પ્રથમ ટુકડોમાં હાઇ લેવલ પ્રોટોકોલ હેડર છે અને પ્રોટોકોલ માહિતી પછી ફ્રેગ માહિતી છાપવામાં આવે છે. પ્રથમ પછી ફ્રેગમેન્ટ્સમાં ઉચ્ચ સ્તરના પ્રોટોકોલ હેડર નથી અને સ્રોત અને ગંતવ્ય સરનામાં પછી ટુકડો છાપવામાં આવે છે. ઉદાહરણ તરીકે, અહીં સીએસએનઇટી કનેક્શન પર એરીઝોના.ઈડુથી એલબીએલ -આરટીએસજી. રૅપ પરથી એફટીપીનો ભાગ છે જે 576 બાઇટ ડેટાગ્રામ્સને હેન્ડલ કરતું દેખાતું નથી:

એરીઝોના. FTP- ડેટા> rtsg.1170:. 1024: 1332 (308) એક 1 જીત 4096 (ગોટ 595a: 328 @ 0 +) એરીઝોના> આરટીએસજી: (frag 595a: 204 @ 328) rtsg.1170> એરીઝોના.એફટીપી-ડેટા:. એએચ 1536 જીત 2560

અહીં નોંધવા માટે થોડી વસ્તુઓ છે: પ્રથમ, બીજી રેખામાંના સરનામાંમાં પોર્ટ નંબર શામેલ નથી. આ કારણ એ છે કે ટીસીપી પ્રોટોકોલ માહિતી પ્રથમ ટુકડોમાં છે અને જ્યારે આપણે પાછળના ભાગોને છાપીએ ત્યારે પોર્ટ અથવા અનુક્રમ સંખ્યાઓ શું છે તે અંગે કોઈ જાણ નથી. બીજું, પ્રથમ રેખામાંની ટીસીપી ક્રમની માહિતી છાપવામાં આવે છે, જેમ કે વપરાશકર્તા માહિતીના 308 બાઇટ્સ હતા, જ્યારે હકીકતમાં, 512 બાઇટ્સ (બીજા ખંડમાં 308 અને બીજામાં 204) છે. જો તમે અનુક્રમ જગ્યામાં છિદ્રો શોધી રહ્યા છો અથવા પેક સાથે ઍકને મેચ કરવા પ્રયાસ કરી રહ્યાં છો, તો તે તમને મૂર્ખ બનાવી શકે છે.

આઇપી સાથેનું પેકેટ ટુકડો ( ફ્લેગ) ફ્લેગ નથી પાછળનું (ડીએફ) સાથે ચિહ્નિત થયેલ છે.

ટાઇમસ્ટેમ્પ્સ

ડિફૉલ્ટ રૂપે, બધી આઉટપુટ લાઇન્સ ટાઇમસ્ટેમ્પ દ્વારા આગળ આવે છે. ટાઇમસ્ટેમ્પ ફોર્મમાં વર્તમાન ઘડિયાળનો સમય છે

hh: mm: ss.frac

અને તે કર્નલની ઘડિયાળ તરીકે સચોટ છે. ટાઇમસ્ટેમ્પ તે સમયને દર્શાવે છે કે કર્નલ પહેલા પેકેટને જોયું હતું. ઇથરનેટ ઇન્ટરફેસ દ્વારા પેકેટને વાયરમાંથી કાઢવામાં અને જ્યારે કર્નલ 'નવા પેકેટ' અંતરાલને સેવા આપે છે ત્યારે વચ્ચેનો સમય લંબાવ માટે કોઈ પ્રયાસ કરવામાં આવ્યો નથી.

આ પણ જુઓ

ટ્રાફિક (1 સી), નાઇટ (4 પી), બી.પી.એફ. (4), પીકેપ (3)

મહત્વનું: તમારા ચોક્કસ કમ્પ્યૂટર પર આદેશ કેવી રીતે વાપરવામાં આવે છે તે જોવા માટે man આદેશ ( % man ) નો ઉપયોગ કરો.