Tcpdump: példák, lehetőségek és sok más

How To use the Dig Command on Linux (Április 2025)

How To use the Dig Command on Linux (Április 2025)
Anonim

A Tcpdump egy olyan parancs, amelyet különböző Linux operációs rendszereken (OS-ek) használnak, amely a hálózati adapteren áthaladó TCP / IP csomagokat gyűjti össze. Sokkal inkább, mint egy csomagszaggató eszköz, a tcpdump nem csak a hálózati forgalmat elemezheti, hanem fájlba is mentheti.

Ellentétben az operációs rendszer által adott alapértelmezett parancsokkal, előfordulhat, hogy a tcpdump nem használható, mert nincs telepítve. A tcpdump telepítéséhez hajtsa végre apt-get telepítés tcpdump vagy yum install tcpdump, az operációs rendszertől függően.

Hogyan működik a Tcpdump

A Tcpdump kinyomtatja a csomagok fejlécét a Boolean megfelelő hálózati felületen kifejezés . Lehetőség van a-w zászló, amely azt okozza, hogy a csomagadatokat egy későbbi elemzéshez mentse a fájlhoz, és / vagy a-r zászló, amely az elmentett csomagkészletről olvas, nem pedig a hálózati csatolóból származó csomagok olvasására. Minden esetben csak a megfelelő csomagok kifejezés feldolgozni fogják tcpdump .

tcpdump ha nem fut a-c zászlót, folytassa a csomagok rögzítését, amíg meg nem szakítja a SIGINT jel (amelyet például a megszakítási karakter beírásával generál Ctrl + C) vagy egy SIGTERM jel (általában amegöl(1) parancs); ha a-c zászló, akkor a csomagokat mindaddig megszakítja, amíg meg nem szakítja a SIGINT vagy SIGTERM jel, vagy a megadott számú csomagot feldolgozta.

A fent említett kapcsolókat részletesen ismertetjük később ebben a cikkben.

Amikor tcpdump lezárja a csomagok elfogadását, számolni fogja az alábbiakat:

  • Csomagok "szűrővel."
    • Ennek jelentése az operációs rendszertől függ, amelyen fut tcpdump , és esetleg az operációs rendszer konfigurálásának módja. Ha a parancssorban egy szűrőt adtak meg, néhány operációs rendszeren csomagokat számít, függetlenül attól, hogy a szűrő kifejezést egyezik-e, és mások számára csak olyan csomagokat számít, amelyek a szűrő kifejezéssel illeszkedtek és feldolgozva voltak tcpdump.
  • Csomagok ", amelyeket a rendszermag eldob."
    • Ez a csomagok száma, amelyeket a pufferhely hiánya miatt az operációs rendszer csomagcsomagolási mechanizmusa tcpdump fut, ha az operációs rendszer jelentéseket küld az alkalmazásoknak. Ha nem, 0-nál lesz jelentve.

A SIGINFO jelzést támogató platformokon, például a legtöbb BSD-ben (Berkeley Software Distributions), a SIGINFO jelet (amelyet például a "status" karakter, tipikusan Ctrl + T), és továbbra is rögzíti a csomagokat.

Tcpdump kompatibilitás

A tcpdump parancsot használó hálózati felületen lévő csomagok olvasása megkövetelheti, hogy különleges jogosultságokkal rendelkezzenek ( olvasás a mentett csomagfájl nem igényel ilyen jogosultságokat):

  • SunOS 3.x vagy 4.x NIT vagy BPF: El kell olvasnia a hozzáférést / Dev / nit vagy dev / BPF * .
  • Solaris a DLPI-vel: El kell olvasnia / írnia kell a hálózati pszeudo eszközhöz, például / Dev / le . A Solaris legalább néhány változatán azonban ez nem elegendő ahhoz, hogy lehetővé tegye tcpdump elfogulatlan módban; a Solaris ezen verzióiban gyökérnek kell lennie, vagy tcpdump telepíteni kell a setuid-ot a gyökérbe, annak érdekében, hogy elfogalmas módon rögzítsék. Ne feledje, hogy sok (esetleg minden) interfészen, ha nem veszi át a szóváltás módot, nem fog látni kimenő csomagokat, ezért a felesleges módban végzett rögzítés nem feltétlenül hasznos.
  • HP-UX DLPI-vel: Gyökérnek vagy tcpdump telepíteni kell a setuid-nak root-ba.
  • IRIX snoop: Gyökérnek vagy tcpdump telepíteni kell a setuid-nak root-ba.
  • Linux: Gyökérnek vagy tcpdump telepíteni kell a setuid-nak root-ba.
  • Ultrix és Digital UNIX / Tru64 UNIX: Bármely felhasználó rögzítheti a hálózati forgalmat tcpdump . Azonban egyetlen felhasználó sem (még a szuperfelhasználó sem) képes átvészelt módban rögzíteni egy interfészt, hacsak a szuperfelhasználó nem engedélyezte a szabálytalan üzemmódot az adott felületen pfconfig (8), és egyetlen felhasználó sem (még a szuperfelhasználó sem) képes rögzíteni a gép által egy interfészen keresztül fogadott vagy küldött unicast forgalmat, hacsak a szuperfelhasználó nem engedélyezte a felületen történő másolás módját pfconfig , így hasznos A csatoláson történő csomagkészlet-rögzítés valószínűleg megköveteli, hogy az átjárható üzemmód vagy a másolás-összes üzemmód vagy mindkét üzemmód engedélyezve legyen az adott felületen.
  • BSD: El kell olvasnia a hozzáférést / Dev / BPF * .

Tcpdump Command Syntax

Mint minden számítógépes parancs, a tcpdump parancs csak akkor működik megfelelően, ha a szintaxis helyes:

tcpdump -adeflnNOpqRStuvxX -c számol

-C fájl méret -F fájl

-én felület -m modul -r fájl

-s snaplen -T típus -U használó -w fájl

-E algo: titok kifejezés

Tcpdump parancsok

Ezek a lehetőségek a tcpdump parancs használatával:

  • -a: Megpróbálja átalakítani a hálózati és broadcast címeket nevekre.
  • -c: Kilépés a fogadás után számol csomagokat.
  • -C: Mielőtt egy nyers csomagot mentene egy mentési fájlba, ellenőrizze, hogy a fájl jelenleg nagyobb-e fájl méret és ha igen, zárja be az aktuális mentési fájlt, és nyisson meg egy újat.A mentési fájlok az első mentési fájl után megadhatók a-w zászló, egy szám után, kezdődik a 2 és folytatja felfelé. A fájl méret több millió bájt (1 000 000 bájt, nem 1 048 576 bájt).
  • -d: Az összeállított csomagkapcsolt kódot egy emberi, olvasható formában kell eljuttatni a szabványos kimenethez és a leállításhoz.
  • -DD: A csomagkészlet-egyező kódot aC program töredéke.
  • -DDD: A csomagkészlet-egyező kódot decimális számokként (előtte egy számlálással) ürítjük ki.
  • -e: Nyomtassa ki a linkszintű fejlécet minden egyes dump vonalon.
  • -EHasználat algo: titok az IPsec ESP csomagok visszafejtéséhez. Algoritmusok lehetnekdes-CBC, 3des-CBC, gömbhal-CBC, RC3-CBC, CAST128-CBC, vagyegyik sem. Az alapértelmezettdes-CBC. A csomagok dekódolása csak akkor lehetséges, ha tcpdump titkosítást kapott. titok az ESP titkos kulcsának ASCII szövege. Ebben a pillanatban nem tudunk tetszőleges bináris értéket venni. Az opció feltételezi az RFC2406 ESP-et, nem az RFC1827 ESP-t. Az opció csak hibakeresési célokra szolgál, és ennek az opciónak a használata valóban titkos kulcs nélkül. Az IPsec titkos kulcs parancssori megjelenítésével a többiek számára láthatóvá tehetők ps (1) és más alkalmakkor.
  • -f: "Külföldi" internetes címeket nyomtasson numerikus helyett szimbolikusan (ez a lehetőség a Sun yp szerverében komoly agykárosodást okozhat - rendszerint örökre lefagy a nem lokális internet számok lefordítása).
  • -FHasználat fájl mint a szűrőkifejezés bemenete. A parancssorban megadott további kifejezést figyelmen kívül hagyja.
  • -énFigyelj felület . Ha nincs megadva, tcpdump a legkisebb számozott, konfigurált felülettel (a visszacsatolás nélkül) keresi a rendszerinterfészlista listáját. A legrégebbi mérkőzés kiválasztásával a kötelékek megszakadnak. 2.2-es vagy újabb rendszermagú Linux rendszereken felület A "bármely" argumentumot arra lehet használni, hogy befogja a csomagokat az összes interfészről. Felhívjuk a figyelmet arra, hogy a "bármilyen" eszközön történő rögzítés nem változatos módon történik.
  • -l: Állítsa be a stdout vonalat pufferelt. Hasznos, ha az adatokat rögzíteni szeretné. Például: "tcpdump -l | tee dat" vagy "tcpdump -l> dat & tail -f dat".
  • -m: Töltse le az SMI MIB modul definícióit a fájlból modul . Ez az opció többször is használható több MIB modul betöltésére tcpdump .
  • -n: Ne konvertálja a gazdagépeket nevekké. Ez a DNS-keresések elkerülésére használható.
  • -nn: Ne kösse át a protokollt és a portszámokat stb.
  • -N: Ne nyomtassa ki a gazdagépek nevének minősítését. Például, ha ezt a zászlót adod tcpdump a "nic.ddn.mil" helyett "nic" -t nyomtat.
  • -O: Ne futtassa a csomagkészletezési kód optimalizálóját. Ez csak akkor hasznos, ha gyanít egy hibát az optimalizálóban.
  • -p: nem tegye a felületet szórakoztató módba. Ne feledje, hogy az interfész valamilyen más okból kifogástalan módban lehet; ezért a "-p" nem használható az "ether host {local-hw-addr} vagy éteres sugárzás" rövidítéseként.
  • -q: Gyors (csendes) kimenet. Nyomtasson kevesebb protokollt, így a kimeneti vonalak rövidebbek.
  • -R: Tegyük fel, hogy az ESP / AH csomagok régi specifikáción alapulnak: RFC1825-RFC1829. Ha meg van adva, tcpdump nem fogja kinyomtatni a visszajátszás megelőzési mezőt. Mivel az ESP / AH specifikációban nincs protokoll verzió mező, tcpdump nem tudja deduktálni az ESP / AH protokoll verzióját.
  • -r: Olvassa el a csomagokat fájl (amelyet a -w opcióval hoztak létre). A szabványos bemenet akkor használható, ha fájl a "-".
  • -S: Abszolút, nem relatív, TCP sorszámok nyomtatása.
  • -s: Snarf snaplen az egyes csomagokból származó adatok bájtja a 68-as alapértelmezett helyett; a SunOS NIT-je, a minimális valójában 96. Hatvannyolc bájt megfelel az IP, az ICMP, a TCP és az UDP számára, de a névkiszolgáló és az NFS csomagok protokollinformációit lecsökkentheti (lásd alább). A korlátozott pillanatfelvétel miatt csonkolt csomagok a kimeneten jelennek meg a "| proto '', hol proto a protokoll szintjének neve, amelyen a csonkolás történt. Vegye figyelembe, hogy a nagyobb pillanatfelvételek készítése mindkettő növeli a csomagok feldolgozásához szükséges időt, és hatékonyan csökkenti a csomagcsomagolás mennyiségét. Ez a csomagok elvesztését okozhatja. Meg kell határoznia snaplen a legkisebb számra, amely rögzíti az Ön által érdekelt protokoll információkat snaplen 0-ra állítja a szükséges hosszúságot a teljes csomag fogására.
  • -T: A csomagok " kifejezés "értelmezni kell a megadottat típus . Jelenleg ismert típusokcnfp (Cisco NetFlow protokoll),RPC (Távoli eljáráshívás),rtp (Valós idejű alkalmazások protokollja),rtcp (Valós idejű alkalmazások vezérlő protokollja),SNMP (Simple Network Management Protocol),áfa (Visual Audio Tool), éswb (elosztott Fehér Testület).
  • -t: nem nyomtasson ki egy időbélyeget minden egyes dump vonalon.
  • -tt: Nyomtasson egy formázatlan időbélyeget minden egyes dump vonalra.
  • -U: Csökkenti a root jogosultságokat és megváltoztatja a felhasználói azonosítót használó és az ID csoport az elsődleges csoporthoz használó .
  • jegyzet: A Red Hat Linux automatikusan kiveti a jogosultságokat a "pcap" felhasználónak, ha nincs más megadva.
  • -ttt: Nyomtasson egy delta (mikroszekundumban) az aktuális és az előző sor között minden egyes dump vonalon.
  • -tttt: Nyomtasson egy időbélyegzőt az alapértelmezett formátumban, amely dátum szerint halad minden egyes dump vonalon.
  • -u: Nyomtassa ki a dekódolt NFS kezeléseket.
  • -v: (Enyhén több) verbose output. Például az IP-csomagban az élettartam, az azonosítás, a teljes hossz és az opciók kinyomtatásra kerülnek. Ezenkívül további csomagintegritási ellenőrzéseket is lehetővé tesz, például az IP és az ICMP fejléc ellenőrző összegének ellenőrzését.
  • -vv: Még több verbose output. Például további mezőket nyomtatnak ki az NFS válasz csomagokból, és az SMB csomagok teljesen dekódoltak.
  • -vvv: Még több verbose output. Például telnetSBSE a lehetőségek teljes egészében kinyomtathatók. Val vel -X A telnet opciókat hexaként is nyomtatják.
  • -w: Írja be a nyers csomagokat fájl ahelyett, hogy elemezni és kinyomtatni őket. Később a -r opcióval kinyomtathatók. A szabványos kimenet akkor használható, ha fájl a "-".
  • -x: Nyomtasson ki minden csomagot (mínusz a linkszintű fejléc) hexonként. A csomag teljes egészében kisebb vagy snaplen bájt nyomtatódik. Felhívjuk a figyelmet arra, hogy ez a teljes link-réteges csomag, így a rétegfelhaszkolathoz (például Ethernethez) a párnázó byte-ok is kinyomtatódnak, ha a magasabb réteg csomag rövidebb, mint a szükséges párnázás.
  • -X: Nyomtatáskor nyomtasson asciit is. Így ha-x is van beállítva, a csomag hex / ascii-ban van nyomtatva. Ez nagyon hasznos az új protokollok elemzéséhez. Még akkor is, ha-x nem is van beállítva, egyes csomagok egyes részei nyomtathatók hex / ascii-ban.
  • kifejezés : Kiválaszthatja, hogy mely csomagokat dobja ki. Ha nem kifejezés van megadva, minden csomag a hálózaton lesz dumped. Ellenkező esetben csak olyan csomagok, amelyekhez kifejezés "igaz" lesz dömpingelt. A kifejezés egy vagy több primitívek. A primitívek általában egy id (név vagy szám), amelyet egy vagy több selejtező előz meg. Három különböző típusú selejtező van:
  • típus : A selejtezők azt mondják, hogy az id nevére vagy számára utal. Lehetséges típusokházigazda, háló, éskikötőPéldául "host foo", "net 128.3", "port 20". Ha nincs típusminősítő,házigazda feltételezzük.
  • dir : A selejtezők megadják az adott átirányítási irányt és / vagy id . Lehetséges irányok vannaksrc, dst, src vagy dst éssrc és dst (például "src foo", "dst net 128.3", "src vagy dst port ftp-data"). Ha nincs dir kvalifikáció,src vagy dst feltételezzük. A "null" link rétegek (azaz pont-pont protokollok, mint a csúszás) a bejövő és induló a selejtezők a kívánt irány meghatározásához használhatók.
  • proto : A selejtezők korlátozzák a mérkőzést egy adott protokollra. Lehetséges protosok: éter, FDDI, tr, ip, ip6, arp, rarp, DECnet, tcp, ésudpPéldául "ether src foo", "arp net 128.3", "tcp port 21". Ha nincs proto qualifier, akkor a típusnak megfelelő összes protokollt feltételezzük. Például az "src foo" kifejezés azt jelenti, hogy "(ip vagy arp vagy rarp) src foo" (kivéve az utóbbi nem jogi szintaxis), a "net bar" az "(ip vagy arp vagy rarp) net bar" a "(tcp vagy udp) 53 'port.
    • "fddi" valójában egy "éter" álnév; az elemző ugyanúgy kezeli őket, mint a "megadott hálózati felületen használt adatkapcsolati szintet." Az FDDI fejlécek Ethernet-szerű forrás- és célcímeket tartalmaznak, és gyakran tartalmaznak Ethernet típusú csomagtípusokat, így ezeken az FDDI mezőkön is szűrhetők mint az analóg Ethernet mezőknél, az FDDI fejlécek más mezőket is tartalmaznak, de kifejezetten nem nevezhetők el egy szűrőnyelven.
    • Hasonlóképpen, a "tr" az "éter" álnév; az előző bekezdés az FDDI fejlécekkel kapcsolatos kijelentései a Token Ring fejlécekre is vonatkoznak.

A fentiek mellett vannak olyan "primitív" kulcsszavak is, amelyek nem követik a mintát:átjáró, adás, Kevésbé, nagyobb, és számtan kifejezések. Mindezeket az alábbiakban ismertetjük.

A szavak használatával összetettebb szűrési kifejezések épülnek felés, vagy, ésnem a primitívek kombinálásához - például "host foo és nem port ftp és nem port ftp-data". A gépelés mentéséhez azonos minősítési listák elhagyhatók (például "tcp dst port ftp vagy ftp-adat vagy domain" pontosan ugyanaz, mint a "tcp dst port ftp vagy a tcp dst port ftp-data vagy a tcp dst port domain".)

Ezek a primitívek megengedettek a tcpdump paranccsal:

  • dst fogadó házigazda
    • Igaz, ha a csomag IPv4 / v6 célmezője házigazda , amely lehet egy cím vagy egy név.
  • src host házigazda
    • Igaz, ha a csomag IPv4 / v6 forráskódja házigazda .
  • házigazda házigazda
    • Igaz, ha az IPv4 / v6 forrás vagy a csomag rendeltetése házigazda . A fenti kifejezések bármelyike ​​felvehető a kulcsszavakhoz,ip, arp, rarp, vagyip6, mint a ip host házigazda (ami egyenértékű éter proto ip és a fogadó házigazda).
    • Ha házigazda egy név több IP címmel, minden egyes címet ellenőrizni fogunk egy mérkőzésen.
  • éter dst ehost
    • Igaz, ha az Ethernet célcím ehost . Ehost lehet egy név az / etc / ethers vagy egy szám közül (lásd: éterek (3N) numerikus formátumban).
  • ether src ehost
    • Igaz, ha az Ethernet forrás címe ehost .
  • éter gazdaszervezet ehost
    • Igaz, ha az Ethernet forrás vagy a célcím ehost .
  • átjáró házigazda
    • Igaz, ha a csomagot használják házigazda mint átjáró (azaz az Ethernet forrás vagy célcím volt házigazda de sem az IP-forrás, sem az IP cím nem volt házigazda ).
    • Házigazda névnek kell lennie, és meg kell találnia mind a gép host-name-to-ip-address felbontási mechanizmusait (host name file, DNS, NIS, stb.), mind a gép gazdagép-név-Ethernet címének felbontási mechanizmusa (/ etc / ethers stb.).
    • Egyenértékű kifejezés éter gazdaszervezet ehost és most befogadó házigazda , amely névvel vagy számmal együtt használható fogadó / ehost .) Ez a szintaxis jelenleg nem működik az IPv6-alapú konfigurációban.
  • dst net háló
    • Igaz, ha a csomag IPv4 / v6 célcímének hálózati száma van háló . Háló lehet egy név az / etc / hálózatokból vagy egy hálózati számból (lásd: hálózatok (4) a részletekért).
  • src net háló
    • Igaz, ha a csomag IPv4 / v6 forráscímének hálózati száma van háló .
  • háló háló
    • Igaz, ha a csomag IPv4 / v6 forrásának vagy célcímének hálózati száma van háló .
  • háló háló maszk netmask
    • Igaz, ha az IP-cím megegyezik háló a konkrét netmask . Képesítéssel lehetsrc vagydst. Ne feledje, hogy ez a szintaxis nem érvényes az IPv6-ra háló .
  • háló háló / len
    • Igaz, ha az IPv4 / v6 cím megegyezik háló egy hálómaszk len bit széles. Képesítéssel lehetsrc vagydst.
  • dst port kikötő
    • Igaz, ha a csomag az ip / tcp, az ip / udp, az ip6 / tcp vagy az ip6 / udp, és a rendeltetési port értéke kikötő . A kikötő lehet egy szám vagy egy név, amelyet az / etc / services szolgáltatásban használnak (ld tcp (4P) és udp (4P)). Ha egy nevet használ, a portszám és a protokoll is be van jelölve. Ha egy számot vagy kétértelmű nevet használunk, csak a portszámot választjuk ki (pl.dst port 513 majd kinyomtatja a tcp / login forgalmat és az udp / forgalmat, valamintport tartomány a tcp / domain és az udp / domain forgalmat is kinyomtatja).
  • src port kikötő
    • Igaz, ha a csomag forrásport értéke kikötő .
  • kikötő kikötő
    • Igaz, ha a csomag forrás- vagy rendeltetési portja van kikötő . A fenti port kifejezés bármelyikét el lehet látni a kulcsszavakkal,tcp vagyudp, mint a tcp src port kikötő , amely csak azoknak a TCP csomagoknak felel meg, amelyek forrásportja van kikötő .
  • Kevésbé hossz
    • Igaz, ha a csomag hossza kisebb vagy egyenlő hossz . Ez egyenértékű len <= Hossz .
  • nagyobb hossz
    • Igaz, ha a csomag hossza nagyobb vagy egyenlő hossz . Ez egyenértékű len> = Hossz .
  • ip proto protokoll
    • Igaz, ha a csomag IP csomag (lásd ip (4P)) protokoll . Protokoll lehet egy szám vagy egy név iCMP , icmp6 , IGMP , igrp , PIM , ah , esp , VRRP , udp , vagy tcp . Ne feledje, hogy az azonosítók tcp , udp , és iCMP szintén kulcsszavak, és el kell menekülni a backslash () segítségével, ami a C-shell-ban. Ne feledje, hogy ez a primitív nem üldözi a protokoll fejlécet.
  • ip6 proto protokoll
    • Igaz, ha a csomag protokol típusú IPv6 csomag protokoll . Ne feledje, hogy ez a primitív nem üldözi a protokoll fejlécet.
  • ip6 protochain protokoll
    • Igaz, ha a csomag IPv6 csomag, és protokoll-fejléc típusú protokoll a protokoll fejlécében. Például, ipv6 protochain 6 megegyezik az IPv6 csomagok TCP protokoll fejléccel a protokoll fejlécében. A csomag például tartalmazhat hitelesítési fejlécet, útválasztó fejlécet vagy hop-by-hop opció fejlécet az IPv6 fejléc és a TCP fejléc között. A primitív által kibocsátott BPF kód összetett, és a BPF optimalizáló kódja nem optimalizálható tcpdump , így ez némileg lassú lehet.
  • ip protochain protokoll
    • Egyenértékűip6 protochain protokoll , de ez IPv4-re vonatkozik.
  • éter sugárzás
    • Igaz, ha a csomag Ethernet csomag. A éter a kulcsszó opcionális.
  • ip közvetítés
    • Igaz, ha a csomag egy IP-sugárzási csomag. Ellenőrzi mind az összes nullát, mind az összes broadcast konvenciót, és felnéz a helyi alhálózati maszkra.
  • éteres multicast
    • Igaz, ha a csomag egy Ethernet multicast csomag. A éter a kulcsszó opcionális. Ez a rövidítés a "éter 0 és 1! = 0'.
  • ip multicast
    • Igaz, ha a csomag egy IP multicast csomag.
  • ip6 multicast
    • Igaz, ha a csomag egy IPv6 multicast csomag.
  • éter proto protokoll
    • Igaz, ha a csomag étertípusú protokoll . Protokoll lehet egy szám vagy egy név ip , ip6 , arp , rarp , egy beszélgetés , AARP , DECnet , SCA , lat , mopdl , moprc , iso , stp , ipx , vagy NETBEUI . Ne feledje, hogy ezek az azonosítók is kulcsszavak, és el kell menekülni a backslash () segítségével.
    • Az FDDI esetében (például "fddi protokoll arp') és a Token Ring (például'tr protokoll arp'), a protokollok többsége a 802.2 Logical Link Control (LLC) fejlécből származik, amely rendszerint az FDDI vagy a Token Ring fejléc felett van rétegezve.
    • Ha az FDDI vagy a Token Ring esetében a legtöbb protokollazonosítót szűrik, tcpdump ellenőrzi az LLC fejléc protokollazonosító mezőjét az úgynevezett SNAP formátumban 0x000000 szervezeti egység azonosítóval (OUI), a beágyazott Ethernet-hez; nem ellenőrzi, hogy a csomag SNAP formátumban van-e 0x000000 OUI-val.
    • A kivételek a következők iso , amely ellenőrzi az LLC fejléc DSAP (Destination Service Access Point) és SSAP (Source Service Access Point) mezőket, stp és NETBEUI ahol ellenőrzi az LLC fejléc DSAP - jét, és egy beszélgetés , ahol ellenőrzi a SNAP-formátumú csomagot 0x080007-es OUI-val és az Appletalk etype-rel.
    • Az Ethernet esetében, tcpdump ellenőrzi az Ethernet típusú mezőt a legtöbb ilyen protokollhoz; a kivételek iso , nedv , és NETBEUI , amelyhez egy 802.3-os keret ellenőrzését végzi, majd ellenőrzi az LLC fejlécet, mint az FDDI és a Token Ring esetében; egy beszélgetés , ahol mind az Appletalk etype egy Ethernet keretben, mind egy SNAP-formátumú csomagban ellenőrzi, akárcsak az FDDI és a Token Ring esetében; AARP , ahol ellenőrzi az Appletalk ARP etype-et akár Ethernet-keretben, akár egy 802.2 SNAP keretben, 0x000000 OUI-val; és ipx , ahol ellenőrzi az IPX etype-et egy Ethernet-keretben, az LLC fejléc IPX DSAP-jét, a 802.3-at, az IPX fejléc beágyazása nélkül és az IPX etype egy SNAP keretben.
  • decnet src házigazda
    • Igaz, ha a DECNET forrás címe házigazda , amely lehet a "10.123" formanyomtatvány vagy a DECNET gazdanév DECNET gazdanevetámogatás csak azokon az Ultrix rendszereken áll rendelkezésre, amelyek konfigurálva vannak a DECNET futtatásához.
  • decnet dst házigazda
    • Igaz, ha a DECNET célcím házigazda .
  • decnet host házigazda
    • Igaz, ha a DECNET forrás vagy rendeltetési cím van házigazda .
  • ip, ip6, arp, rarp, egy beszélgetés, AARP, DECnet, iso, stp, ipx, NETBEUI
    • Rövidítések a éter proto p hol p a fenti protokollok egyike.
  • lat, moprc, mopdl
    • Rövidítések a éter proto p hol p a fenti protokollok egyike. Vegye figyelembe, hogy tcpdump jelenleg nem tudja, hogyan kell ezeket a protokollokat elemezni.
  • vlan Vlan_id
    • Igaz, ha a csomag IEEE 802.1Q VLAN csomag. Ha Vlan_id megadott, csak akkor igaz, ha a csomag a megadott vlan_id . Ne feledje, hogy az elsővlan kulcsszó találkozik kifejezés megváltoztatja a dekódolási eltolódásokat a fennmaradó részre kifejezés feltéve, hogy a csomag egy VLAN csomag.
  • tcp, udp, iCMP
    • Rövidítések a ip proto p vagy ip6 proto p hol p a fenti protokollok egyike.
  • iso proto protokoll
    • Igaz, ha a csomag protokol típusú OSI csomag protokoll . Protokoll lehet egy szám vagy egy név clnp , ESIS , vagy isis .
  • clnp, ESIS, isis
    • Rövidítések a iso proto p hol p a fenti protokollok egyike. Vegye figyelembe, hogy tcpdump nem teljesíti a protokollok értelmezését.
  • expr relop expr
    • Igaz, ha a kapcsolat tartja, hol relop egyike a>, <,> =, <=, =,! =, és expr (C standard szintaxisban kifejezve), a normál bináris operátorok +, -, *, /, &, |, egy hosszabb operátor és speciális csomagkapcsolt adathalmazokból álló aritmetikai kifejezés. A csomagon belüli adatok eléréséhez használja a következő szintaxist: proto expr: méret .

Proto egyike aéter, FDDI, tr, ppp, csúszás, link, ip, arp, rarp, tcp, udp, iCMP, vagy ip6, és jelöli az index művelet protokollréteget (éter, FDDI, tr, ppp, csúszás, éslink mind a hivatkozási rétegre vonatkoznak). Vegye figyelembe, hogy tcp, udp , és más felső szintű protokolltípusok csak az IPv4-re vonatkoznak, nem az IPv6-ra (ez a jövőben rögzítésre kerül). A jelzett protokollréteghez képest a byte offset a következő: expr . Méret opcionális, és jelzi a bájtok számát az érdeklődési területen; lehet egy, kettő vagy négy, és az alapértelmezett egy. A hosszúságkezelő, amelyet a kulcsszó jelezlen, megadja a csomag hosszúságát.

Például, 'éter 0 és 1! = 0'elkapja az összes multicast forgalmat. A kifejezés 'ip 0 & 0xf! = 5'elkap minden opciót tartalmazó IP-csomagot. A kifejezés 'ip 6: 2 és 0x1fff = 0"csak fektetett datagramokat és fragmentált datagramok fragmentumát fogta le. Ezt az ellenőrzést implicit módon alkalmazzák atcp ésudp index műveletek. Például, tcp 0 mindig a TCP első bájtja fejléc , és soha nem jelenti a beavatkozó töredék első bájtját.

Bizonyos eltolások és mezőértékek nevekként, nem pedig numerikus értékekként fejezhetők ki. A következő protokollfejléc-mező-eltolások állnak rendelkezésre: icmptype (ICMP típusú mező),icmpcode (ICMP kódmező), éstcpflags (TCP flags mező).

A következő ICMP típus mezőértékek érhetők el:ICMP-echoreply, ICMP-unreach, ICMP-sourcequench, ICMP-átirányítás, ICMP echo, ICMP-routeradvert, ICMP-routersolicit, ICMP-timxceed, ICMP-paramprob, ICMP-tstamp, ICMP-tstampreply, ICMP-ireq, ICMP-ireqreply, ICMP-maskreq, ICMP-maskreply.

A következő TCP flags mezőértékek érhetők el:TCP-fin, tcp-szin, tcp-RST, tcp-push, tcp-push, tcp-ack, tcp-urg.

A primitívek kombinálhatók a következők bármelyikével:

  • A primitívek és az operátorok zárócsoportja (a zárójelek speciálisak a Shell-hez és meg kell szüntetni őket)
  • Negation ('!"vagy"nem')
  • Összekötés ("&&"vagy"és')
  • Alternatíva ('||"vagy"vagy')

A negáció legmagasabb előnyt élvez. Az alternáció és a kapcsolódás egyenlő előnyt élvez és balról jobbra kapcsolódik. Ne feledje, hogy egyértelműés zsetonok, nem egymás mellé helyezése szükséges a összefonódáshoz.

Ha az azonosítót kulcsszó nélkül adják meg, akkor a legutóbbi kulcsszó feltételezhető. Például, nem pedig host vs és ász rövid nem a host vs és a host ász. Ezt azonban nem szabad összetéveszteni nem (host vs vagy ász).

Expressziós érvek adhatók át tcpdump akár egyetlen érvként, akár többszöri érvként, attól függően, melyik a leginkább kényelmes. Általában, ha a kifejezés Shell metakaraktereket tartalmaz, akkor egyszerűbb, mint egyetlen, idézett argumentum. Több érvet összefésülnek a terekkel, mielőtt elemeznék.

Tcpdump példák

tcpdump fogadó napnyugta

A fenti tcpdump parancs a csomagokat érkező vagy onnan távozó csomagok nyomtatására használható napnyugta.

tcpdump host helios és (forró vagy ász)

Ez a tcpdump példa kinyomtatja a forgalmat Helios és mindkettőt forró vagy ász.

tcpdump ip host ász és nem hélium

Ez a tcpdump parancs használható az összes IP-csomag kinyomtatására ász és minden vendég kivételével Helios.

tcpdump net ucb-éter

A fenti példában a tcpdump kinyomtatja a Berkeley helyi állomásainak és állomásainak összes forgalmát.

tcpdump 'gateway snup és (port ftp vagy ftp-data)'

Ez a következő tcpdump parancs példa az összes internetes átjáró FTP-forgalmának nyomtatására szolgál snup . Vegye figyelembe, hogy a kifejezés idézi annak megakadályozását, hogy a héj a zárójeleket hibásan értelmezze.

tcpdump ip és nem net belső hálón

A fenti tcpdump példában a parancs olyan forgalmat nyomtat, amely sem helyi forrásból származik, sem pedig nem.

tcpdump 'tcp tcpflags & (tcp-syn | tcp-fin)! = 0 és nem az src és a dst net belső hálón '

A fenti példában a tcpdump parancs a TCP-beszélgetések kezdeti és végcsomagjainak (a SYN és FIN csomagok) kinyomtatására szolgál, amely egy nem lokális gazdagépet tartalmaz.

tcpdump 'gateway snup és ip 2: 2> 576'

A fenti parancs az 578 bájtnál továbbított IP-csomagokat nyomtatja ki az átjárón keresztül snup.

tcpdump 'éter 0 & 1 = 0 és ip 16> = 224'

A fent látható tcpdump parancs IP-sugárzást vagy multicast csomagokat nyomtat nem küldött Ethernet-adás vagy multicast keresztül.

tcpdump 'icmp icmptype! = icmp-echo és icmp icmptype! = icmp-echoreply'

A tcpdump ezen utolsó példájában a parancs minden olyan ICMP csomagot nyomtat, amelyek nem echo kérések vagy válaszok (azaz nem ping csomagok).

Tcpdump kimeneti formátum

A tcpdump protokolltól függ. Az alábbiakban rövid leírást és példákat adunk a legtöbb formátumra.

Link szintű fejlécek. Ha az '-e' opciót megadja, a hivatkozás szintű fejléc kinyomtatható. Ethernet hálózatokon a forrás- és célcímek, a protokoll és a csomaghossz nyomtatódik.

Az FDDI hálózatokon az "-e" opció okozza tcpdump a "frame control" mező, a forrás- és célcímek és a csomaghossz nyomtatása. (A "keretvezérlés" mező a többi csomag értelmezését szabályozza, a normál csomagok (például az IP-datagramokat tartalmazóak) "async" csomagok, amelyek prioritási értéke 0 és 7 között van: például "async4”. Az ilyen csomagok feltételezik, hogy tartalmaznak egy 802.2 Logical Link Control (LLC) csomagot; az LLC fejléc nyomtatódik, ha igen nem egy ISO-datagramot vagy egy úgynevezett SNAP csomagot.

Token Ring hálózatokon a "-e" opció okozza tcpdump a "hozzáférés-vezérlés" és a "keretvezérlés" mező, a forrás- és célcímek és a csomaghossz nyomtatása. Mint az FDDI hálózatok esetében, a csomagok feltételezik, hogy tartalmaznak egy LLC csomagot. Függetlenül attól, hogy a "-e" opció meg van-e adva vagy sem, a forrástervező információkat kinyomtatják a forrást tartalmazó csomagok számára.

(N.B .: Az alábbi leírás feltételezi, hogy ismerik az RFC-1144-ben leírt SLIP tömörítési algoritmust.)

A SLIP kapcsolatokon egy irányjelző ("I" a bejövő, "O" kimenő), csomagtípus és tömörítési információ kinyomtatásra kerül. A csomag típusát először nyomtatja ki. A három típus ip , utcp , és CTCP . Nincs további link információ kinyomtatva ip csomagokat. TCP csomagok esetén a kapcsolatazonosító a típus után nyomtatódik. Ha a csomag tömörül, a kódolt fejléc kinyomtatható. A különleges eseteket nyomtatják ki* S + n és* SA + n , hol n az a mennyiség, amellyel a szekvencia száma (vagy szekvencia száma és ack) megváltozott. Ha nem különleges eset, nulla vagy több változás nyomtatódik ki. A változást U (sürgős mutató), W (ablak), A (ack), S (sorszám) és I (csomagazonosító) jelzi, majd delta (+ n vagy -n) (= N). Végül kinyomtatják a csomagban található adatok mennyiségét és a tömörített fejléc hosszát.

Például a következő sor egy kimenő, tömörített TCP csomagot jelenít meg, amelynek implicit kapcsolódási azonosítója van; az ack 6-mal, a sorszám 49-szel és a csomag azonosítóval 6-ra változott; 3 bájt adat és 6 bájt tömörített fejléc van:

O ctcp * A + 6 S + 49 I + 6 3 (6)

Arp / rarp csomagok. Az Arp / rarp kimenet mutatja a kérés típusát és annak érveit. A formátumot magától értetődőnek kell tekinteni. Itt van egy rövid minta, amelyet a "rlogin" kezdetétől vettünk a gazdagéptől rtsg vendégül látni CSAM :

arp who-had csam mondja rtsgarp válasz csam a CSAM-ban

Az első sor azt mondja, hogy az rtsg egy arp csomagot küldött, amely az internetes csatorna Ethernet címét kérte. Csam válaszol Ethernet címével (ebben a példában az Ethernet címek kisbetűkben és internetcímekben vannak feltüntetve).

Ez kevésbé lenne felesleges, ha megtennénk tcpdump -n :

arp who-had 128.3.254.6 mondja 128.3.254.68arp válasz 128.3.254.6 02: 07: 01: 00: 01: c4

Ha megtettük volna tcpdump -e , az a tény, hogy az első csomagot sugározzák, és a második a pont-pont, látható lesz:

RTSG Broadcast 0806 64: arp who-had csam tell rtsgCSAM RTSG 0806 64: arp válasz csam a CSAM

Az első csomag esetében ez azt jelenti, hogy az Ethernet forrás címe RTSG, a címzett az Ethernet broadcast cím, a hex 0806 típusú típus (ETHER_ARP típus), és a teljes hosszúság 64 bájt volt.

TCP csomagok (N.B.:A következő leírás feltételezi az RFC-793-ban leírt TCP protokoll ismeretét Ha nem ismeri a protokollt, sem ez a leírás, sem a tcpdump nem fog sok hasznot hozni Önnek) . A TCP protokoll általános formátuma a következő:

src> dst: flags data-seqno ack ablak sürgős lehetőségek

src és dst a forrás és cél IP címek és portok. Zászlók az S (SYN), az F (FIN), a P (PUSH) vagy az R (RST) vagy az egyetlen "kombináció. (nincs zászló). Adat-seqno a csomagban található adatok által lefedett szekvenciatartomány részének leírását (lásd az alábbi példát). ack a következő adatok sorrendje várhatóan a másik irányban ezen a kapcsolaton. Ablak a rendelkezésre álló vételi puffertérfogat bájtjainak száma a másik irányra rendelkezésre áll ezen a kapcsolaton. urg azt jelzi, hogy a csomagban "sürgős" adatok vannak. Opciók a tcp opciók zárójelben vannak bezárva (pl. ).

Src, dst, és zászlók mindig jelen vannak. A többi mező a csomag tcp protokolljának fejlécétől függ, és csak akkor adható ki, ha szükséges.

Itt van egy rlogin nyitó része a gazdagéptől rtsg vendégül látni CSAM .

rtsg.1023> csam.login: S 768512: 768512 (0) nyer 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 nyer 4096 rtsg.1023> csam.login:. ack 1 győzelem 4096rtsg.1023> csam.login: P 1: 2 (1) ack 1 győzelem 4096csam.login> rtsg.1023:. ack 2 győzelem 4096rtsg.1023> csam.login: P 2:21 (19) ack 1 győzelem 4096csam.login> rtsg.1023: P 1: 2 (1) ack 21 nyer 4077csam.login> rtsg.1023: P 2: 3 (1) ack 21 nyer 4077 sürgős 1csam.login> rtsg.1023: P 3: 4 (1) ack 21 win 4077 sürgős 1

Az első sor azt mondja, hogy az rtsg 1023 tcp portja csomagot küldött a porthoz Belépés csámon. AS jelzi, hogy a SYN zászló volt beállítva. A csomag sorszáma 768512 volt, és nem tartalmazott adatokat. (A jelölés "első: utolsó (nbytes)", ami azt jelenti, hogy "sorszámok első legfeljebb, de nem beleértve utolsó ami nbytes bájt felhasználói adatok ".) Nem volt piggy-backed ack, a rendelkezésre álló vételi ablak 4096 bájt volt, és volt egy max-szegmens méretű opció, amely egy 1024 bájtos msec-ot kér.

Csam egy hasonló csomaggal válaszol, kivéve a rtsg SYN-jéhez tartozó, hátasolvasott ackot. Az RTSG ezután a csam SYN-jét hallja. A '.' azt jelenti, hogy nincsenek jelzők. A csomag nem tartalmaz adatokat, így nincs adatszekvencia-szám. Megjegyezzük, hogy az ack szekvenciaszám egy kicsi egész szám (1). Első alkalommal tcpdump lát egy tcp "beszélgetést", kinyomtatja a csomag sorszámát. A beszélgetés következő csomagjain az aktuális csomag sorszáma és a kezdeti sorszám közötti különbség kerül kinyomtatásra. Ez azt jelenti, hogy a szekvenciaszámok az első után értelmezhetők relatív byte pozícióként a beszélgetés adatfolyamában (az első adatbájt mindegyik iránya "1"). Az '-S' felülbírálja ezt a funkciót, ami az eredeti sorozatszámok kimenetét eredményezi.

A hatodik sorban az rtsg 19 bájtos adatcsomagot küld (a 2-4 bájtot a beszélgetés rtsg -> csam oldalán). A PUSH zászló a csomagban van beállítva. A hetedik sorban a csam azt mondja, hogy az rtsg által küldött, de a 21. bájttól nem érkező adatokat fogadta. A legtöbb ilyen adat láthatóan a socket pufferben van, mivel a csam vételi ablakának 19 bájtja kisebb. Csam egy adat bájtot is küld rtsg-nek ebben a csomagban. A nyolcadik és a kilencedik sorban a csam két bájt sürgős, nyomott adatokat küld rtsg-nek.

Ha a pillanatfelvétel elég kicsi volt tcpdump nem kapta meg a teljes TCP fejlécet, annyira értelmezi a fejlécet, mint amennyit csak tud, majd jelentést készít "| tcp '' jelzi, hogy a maradék nem értelmezhető. Ha a fejléc egy hamis opciót tartalmaz (egy olyan hosszúsággal, amely túl kicsi vagy a fejléc végéig) tcpdump jelentései: " rossz opt '' és nem értelmez további lehetőségeket (mivel lehetetlen megmondani, hogy hol kezdődnek). Ha a fejléc hossza jelzi, hogy vannak opciók, de az IP datagram hosszúsága nem elég hosszú ahhoz, hogy valóban ott legyenek a lehetőségek, tcpdump jelentései: " rossz hdr hossza ''.

Rögzítse a csomagokat speciális zászló kombinációval. A TCP fejléc vezérlő bitrészében nyolc bit található:

CWR | ECE | URG | ACK | PSH | RST | SYN | USZONY

Tegyük fel, hogy a TCP kapcsolat létrehozásához használt csomagokat szeretnénk megtekinteni. Emlékezzünk vissza, hogy a TCP háromirányú kézfogási protokollt használ az új kapcsolat inicializálásakor; a TCP vezérlőbitek kapcsolódási sorrendje a következő:

  1. A hívó elküldi a SYN-et.
  2. A címzett válaszol SYN-vel, ACK-val.
  3. A hívó elküldi az ACK-t.

Most olyan csomagok rögzítésére vagyunk kíváncsiak, amelyeknek csak a SYN bitkészlete van (1. lépés). Ne feledje, hogy a 2. lépéstől (SYN-ACK) nem csak csomagokat szeretnénk, hanem csak egy egyszerű SYN kódot. Amire szükségünk van, a helyes szűrő kifejezés tcpdump .

Emelje fel a TCP fejléc szerkezetét opciók nélkül:

0 15 31-----------------------------------------------------------------| forrás port | cél port |-----------------------------------------------------------------| sorszám |-----------------------------------------------------------------| nyugtázó szám |-----------------------------------------------------------------| HL | rsvd | C | E | U | A | P | R | S | F | ablakméret |-----------------------------------------------------------------| TCP ellenőrzőösszeg | sürgős mutató |-----------------------------------------------------------------

A TCP fejléc általában 20 oktett adatot tartalmaz, hacsak nincsenek opciók. A grafikon első sorában 0-3 oktettek találhatók, a második sor pedig 4-7 oktetteket mutat, stb.

A 0-os számlálás megkezdéséhez a megfelelő TCP vezérlőbiteket a 13 oktett tartalmazza:

0 7| 15| 23| 31----------------|---------------|---------------|----------------| HL | rsvd | C | E | U | A | P | R | S | F | ablakméret |----------------|---------------|---------------|----------------| | 13. oktáv | | |

Nézzük közelebbről a nyolc oktettet. 13:

| | |---------------| | C | E | U | A | P | R | S | F | |---------------| |7 5 3 0|

Ezek a TCP vezérlőbitek, amelyekben érdekel. Ebben az oktatban a biteket 0-ról 7-re, jobbra-balra számoztuk, így a PSH bit a bit száma 3, míg az URG bit az 5. szám.

Emlékezzünk arra, hogy csak SYN-készletű csomagokat akarunk elkülöníteni. Lássuk, mi történik a 13 oktettel, ha egy TCP datagram érkezik a fejlécében lévő SYN bithez:

| C | E | U | A | P | R | S | F | |---------------| |0 0 0 0 0 0 1 0| |---------------| |7 6 5 4 3 2 1 0|

A vezérlőbitek részében azt látjuk, hogy csak az 1. bitszám (SYN) van beállítva.

Feltéve, hogy a 13 oktettszám egy 8 bites unsigned integer a hálózati bájt sorrendben, az oktett bináris értéke:

00000010

Tizedes ábrája:

7 6 5 4 3 2 1 00*2 + 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 1*2 + 0*2 = 2

Már majdnem készen állunk, mert most már tudjuk, hogy ha csak SYN be van állítva, akkor a TCP fejlécben lévő 13. oktett értéke 8 bites unsigned integerként értelmezve a hálózati bájt sorrendben pontosan 2-nek kell lennie.

Ezt a kapcsolatot a következőképpen lehet kifejezni:

tcp 13 == 2

Ezt a kifejezést szűrőként használhatjuk tcpdump annak érdekében, hogy csak a SYN-t tartalmazó csomagokat nézze meg:

tcpdump -i xl0 tcp 13 == 2

A kifejezés azt mondja, hogy "hagyja, hogy a TCP datagramma 13. oktettje tizedes érték legyen 2", ami pontosan azt jelenti, amit akarunk.

Tételezzük fel, hogy meg kell ragadnunk a SYN csomagokat, de nem törődünk vele, ha az ACK vagy bármely más TCP vezérlőbit egyszerre van beállítva. Nézzétek meg, mi történik a 13. oktettel, amikor egy SYN-ACK készleten érkező TCP datagram érkezik:

| C | E | U | A | P | R | S | F | |---------------| |0 0 0 1 0 0 1 0| |---------------| |7 6 5 4 3 2 1 0|

Az 1. és 4. bitek a 13. oktávban vannak beállítva. A 13 oktett bináris értéke:

00010010

amely tizedesre változik:

7 6 5 4 3 2 1 00*2 + 0*2 + 0*2 + 1*2 + 0*2 + 0*2 + 1*2 + 0*2 = 18

Nem használhatjuk a "tcp 13 == 18" szót a tcpdump mert csak a SYN-ACK-t tartalmazó csomagokat választja ki, de nem csak a SYN-készletűeket. Ne felejtsük el, hogy az ACK vagy bármely más vezérlőbit beállításra kerül, amíg a SYN be van állítva.

A cél elérése érdekében logikusan ÉS a 13 oktett bináris értékét kell egy másik értékkel megőrizni a SYN bitet megőrizni. Tudjuk, hogy a SYN-t minden esetben meg akarjuk állítani, így logikusan és az értéket a 13. oktettben a SYN bináris értékével:

00010010 SYN-ACK 00000010 SYN ÉS 00000010 (szeretnénk SYN-t) ÉS 00000010 (SYN-t akarunk) -------- -------- = 00000010 = 00000010

Látjuk, hogy ez az AND művelet ugyanazt az eredményt adja eredményre függetlenül attól, hogy az ACK vagy egy másik TCP vezérlőbit be van állítva. Az AND érték tizedes ábrázolása, valamint ennek a műveletnek a eredménye 2 (bináris 00000010), tehát tudjuk, hogy a SYN-vel rendelkező csomagok esetén a következő összefüggésnek igaznak kell lennie:

((oktett 13 értéke) ÉS (2)) == (2)

Ez arra utal, hogy a tcpdump szűrő kifejezés

tcpdump -i xl0 'tcp 13 & 2 == 2'

Vegye figyelembe, hogy egy kifejezést vagy egy visszafordulót kell használni a kifejezésben, hogy elrejtse az AND ('&') különleges karaktert a shellből.

UDP csomagokat. Az UDP formátumot ez a rwho csomag mutatja:

actinide.who> broadcast.who: udp 84

Ez azt jelenti, hogy a kikötő ki a fogadóban aktinoida küldött egy udp datagramot a porthoz ki a fogadóban adás , az internetes közvetítési címet. A csomag 84 bájtnyi felhasználói adatokat tartalmazott.

Néhány UDP szolgáltatás felismerésre kerül (a forrás- vagy rendeltetési portszámról) és a magasabb szintű protokollinformációkat, különösen a Domain Name szolgáltatáskérelmeket (RFC-1034/1035) és a Sun RPC hívásokat (RFC-1050) az NFS-re.

UDP névszerver kérések (N.B .: Az alábbi leírás feltételezi, hogy ismeri az RFC-1035-ben leírt Domain Service protokollt. Ha nem ismeri a protokollt, az alábbi leírás kevés értelme.)

A névkiszolgáló kérések formátuma:

src> dst: id op? flags qtype qclass name (len) h2opolo.1538> helios.domain: 3+ A? ucbv

Megosztási lehetőségek a Google Táblázatok táblázathoz

Megosztási lehetőségek a Google Táblázatok táblázathoz

A Google Lapok táblázatkezelő használatával az emberek együttműködhetnek és információkat oszthatnak meg az interneten keresztül. Először meg kell osztania velük a dokumentumot.

Rendszer-helyreállítási lehetőségek (mi az, és hogyan kell használni)

Rendszer-helyreállítási lehetőségek (mi az, és hogyan kell használni)

A Rendszer-helyreállítási beállítások menü a Windows javítási és diagnosztikai eszközeinek gyűjteménye, például az indítási javítás, a rendszer-visszaállítás stb.

Házimozi A / V csatlakozások - Kihúzási lehetőségek

Házimozi A / V csatlakozások - Kihúzási lehetőségek

Ahogy egyre kevesebb fizikai csatlakozón standardizálunk, vannak olyan kikötők, amelyeket el fogunk hagyni. Itt van, mi jön ki.

Szerkesztő Választása