TCPDUMP BESCHREIBUNG Tcpdump gibt eine Beschreibung des Inhalts von Paketen in einer Netzwerkschnittstelle aus, die mit dem booleschen Ausdruck übereinstimmt. Der Beschreibung wird ein Zeitstempel vorangestellt, der standardmäßig als Stunden, Minuten, Sekunden und Sekundenbruchteile seit Mitternacht gedruckt wird. Es kann auch mit dem - w-Flag ausgeführt werden, das bewirkt, dass es die Paketdaten in einer Datei zur späteren Analyse und / oder mit dem Kennzeichen - r speichert, wodurch es von einer gespeicherten Paketdatei gelesen wird, statt Pakete zu lesen Von einer Netzwerkschnittstelle aus. Es kann auch mit dem Flag - V ausgeführt werden, wodurch es eine Liste der gespeicherten Paketdateien liest. In allen Fällen werden nur Pakete, die Ausdruck entsprechen, von tcpdump verarbeitet. Tcpdump wird, falls es nicht mit dem Flag - c ausgeführt wird, weiterhin Pakete erfassen, bis es von einem SIGINT-Signal unterbrochen wird (das beispielsweise durch Eingabe Ihres Interrupt-Zeichens, typischerweise Control-C) oder eines SIGTERM-Signals (typischerweise mit dem Kill erzeugt wird) unterbrochen wird (1) - Befehl), wenn es mit dem Flag - c ausgeführt wird, wird es Pakete erfassen, bis es durch ein SIGINT - oder SIGTERM-Signal unterbrochen wird oder die spezifizierte Anzahl von Paketen verarbeitet wurde. Wenn tcpdump das Erfassen von Paketen beendet, werden Zählerstände von: Pakete erfasst (dies ist die Anzahl der Pakete, die tcpdump empfangen und verarbeitet hat) Pakete, die durch Filter empfangen werden (die Bedeutung davon hängt vom Betriebssystem ab, auf dem Sie tcpdump laufen und möglicherweise auf Wie das Betriebssystem konfiguriert wurde - wenn auf der Befehlszeile ein Filter angegeben wurde, zählt es auf einigen OSs Pakete, unabhängig davon, ob sie mit dem Filterausdruck übereinstimmen, und selbst wenn sie durch den Filterausdruck übereinstimmen, unabhängig davon, ob tcpdump hat Lesen und verarbeiten sie auf anderen Betriebssystemen nur Pakete, die durch den Filterausdruck übereinstimmen, unabhängig davon, ob tcpdump sie noch gelesen und verarbeitet hat, und auf anderen Betriebssystemen zählt sie nur Pakete, die durch den Filterausdruck übereinstimmen und von denen verarbeitet wurden Tcpdump) - Pakete, die von kernel gelöscht wurden (dies ist die Anzahl der Pakete, die aufgrund eines fehlenden Pufferplatzes durch den Paketerfassungsmechanismus in dem OS, auf dem tcpdump ausgeführt wird, fallengelassen wurden, falls das OS diese Informationen an Anwendungen sendet, wenn dies nicht der Fall ist, Es wird als 0 gemeldet). Auf Plattformen, die das Signal SIGINFO unterstützen, wie z. B. die meisten BSDs (einschließlich Mac OS X) und Digital / Tru64 UNIX, wird es diese Zählungen melden, wenn es ein SIGINFO-Signal empfängt (erzeugt zB durch Eingabe Ihres Statuszeichens, T, obwohl auf einigen Plattformen, wie Mac OS X, das Statuszeichen nicht standardmäßig gesetzt ist, müssen Sie es mit stty (1) festlegen, um es zu verwenden) und wird weiterhin Pakete erfassen. Auf Plattformen, die das SIGINFO-Signal nicht unterstützen, kann dies mit dem Signal SIGUSR1 erreicht werden. Das Lesen von Paketen von einer Netzwerkschnittstelle erfordert möglicherweise, dass Sie über spezielle Berechtigungen verfügen. Weitere Informationen finden Sie in der Manpage pcap (3PCAP). Das Lesen einer gespeicherten Paketdatei erfordert keine speziellen Berechtigungen. OPTIONEN - A Drucken Sie jedes Paket (abzüglich Linklevel-Header) in ASCII aus. Praktisch für die Erfassung von Webseiten. - b Drucken Sie die AS-Nummer in BGP-Paketen in ASDOT-Notation anstatt ASPLAIN-Notation aus. - B puffersize - buffer-size buffersize Setzt die Größe des Betriebssystem-Capture-Puffers auf buffersize. In Einheiten von KiB (1024 Bytes). - c count Beenden nach dem Empfangen von Zählpaketen. - C-Dateigröße Überprüfen Sie vor dem Schreiben eines Rohpakets in eine Sicherungsdatei, ob die Datei aktuell größer als die Dateigröße ist, und schließen Sie die aktuelle Sicherungsdatei und öffnen Sie eine neue. Savefiles nach der ersten Savefile wird den Namen mit dem - w-Flag, mit einer Nummer hinter ihm, beginnend bei 1 und weiter nach oben, angegeben. Die Einheiten der Dateigröße sind Millionen Byte (1.000.000 Byte, nicht 1.048.576 Bytes). - d Dump den kompilierten Paket-Matching-Code in einer menschlich lesbaren Form auf Standard-Ausgabe und Stop. - dd Dump-Paket-Matching-Code als C-Programm-Fragment. - ddd Dump-Paket-Matching-Code als Dezimalzahlen (mit einer Zählung vorangestellt). - D --list-interfaces Drucken Sie die Liste der im System verfügbaren Netzwerkschnittstellen aus, auf denen tcpdump Pakete erfassen kann. Für jede Netzwerkschnittstelle wird eine Zahl und ein Schnittstellenname, gefolgt von einer Textbeschreibung der Schnittstelle, ausgedruckt. Der Schnittstellenname oder die Nummer können an das Flag - i übergeben werden, um eine Schnittstelle anzugeben, auf der erfasst werden soll. Dies kann auf Systemen nützlich sein, die nicht über einen Befehl zum Auflisten verfügen (z. B. Windows-Systeme oder UNIX-Systeme ohne ifconfig - a). Die Nummer kann auf Windows 2000 und späteren Systemen nützlich sein, wobei der Schnittstellenname ein etwas komplexer String ist. Das Flag - D wird nicht unterstützt, wenn tcpdump mit einer älteren Version von libpcap erstellt wurde, der die pcapfindalldevs () - Funktion fehlt. - e Drucken Sie den Link-Level-Header auf jeder Dump-Zeile. Dies kann beispielsweise zum Drucken von MAC-Layer-Adressen für Protokolle wie Ethernet und IEEE 802.11 verwendet werden. - E Verwenden Sie spiipaddr algo: Geheimnis für die Entschlüsselung IPsec ESP-Pakete, die adressiert adr und enthalten Security Parameter Index-Wert spi. Diese Kombination kann mit Komma oder Newline-Trennung wiederholt werden. Beachten Sie, dass das Setzen des Geheimnisses für IPv4 ESP-Pakete zu diesem Zeitpunkt unterstützt wird. Algorithmen können des-cbc sein. 3des-cbc. Blowfish-cbc. Rc3-cbc. Cast128-cbc. Oder keine. Die Voreinstellung ist des-cbc. Die Fähigkeit, Pakete zu entschlüsseln, ist nur vorhanden, wenn tcpdump mit aktivierter Kryptographie kompiliert wurde. Geheimnis ist der ASCII-Text für ESP-Geheimschlüssel. Wenn vorangestellt mit 0x, dann ein Hex-Wert gelesen werden. Die Option übernimmt RFC2406 ESP, nicht RFC1827 ESP. Die Option ist nur für Debugging-Zwecke, und die Verwendung dieser Option mit einem echten geheimen Schlüssel wird entmutigt. Indem Sie IPSec geheimen Schlüssel auf Kommandozeile stellen, machen Sie es für andere sichtbar, über ps (1) und andere Anlässe. Zusätzlich zu der obigen Syntax kann der Name der Syntaxdatei verwendet werden, um die Datei tcpdump zu lesen. Die Datei wird nach dem Empfang des ersten ESP-Pakets geöffnet, so dass alle speziellen Berechtigungen, die tcpdump erhalten hat, bereits aufgegeben worden sind . - f Drucken Sie ausländische IPv4-Adressen numerisch statt symbolisch aus (diese Option ist dazu gedacht, um ernsthafte Hirnschäden in Sun NIS-Server zu erhalten - in der Regel hängt es für immer die Übersetzung von nicht-lokalen Internet-Nummern). Der Test für fremde IPv4-Adressen erfolgt über die IPv4-Adresse und die Netzmaske der Schnittstelle, auf der das Capture durchgeführt wird. Wenn diese Adresse oder Netzmaske nicht verfügbar ist, entweder weil die Schnittstelle, auf der Capture ausgeführt wird, keine Adresse oder Netzmaske hat oder weil die Capture auf der Linux quotanyquot Schnittstelle durchgeführt wird, die auf mehr als einer Schnittstelle erfassen kann, diese Option Wird nicht korrekt funktionieren. - F-Datei Datei als Eingabe für den Filterausdruck verwenden. Ein zusätzlicher Ausdruck, der auf der Befehlszeile angegeben wird, wird ignoriert. - G rotationseconds Wenn angegeben, dreht sich die mit der Option - w angegebene Dump-Datei alle rotierenden Sekunden. Savefiles wird den Namen - w haben, der ein durch strftime (3) definiertes Zeitformat enthalten soll. Wenn kein Zeitformat angegeben ist, überschreibt jede neue Datei das vorherige. Bei Verwendung in Verbindung mit der Option - C werden Dateinamen in Form der Datei ltcountgt verwendet. - h --help Die tcpdump - und libpcap-Versionszeichenfolgen drucken, eine Benutzungsnachricht drucken und beenden. --version Druckt die tcpdump - und libpcap-Versionszeichenfolgen und beendet es. - H Versuch, 802.11s Draft Mesh Header zu erkennen. - i interface - interface interface An der Schnittstelle hören. Wenn nicht spezifiziert, sucht tcpdump die Systemschnittstellenliste für die niedrigste numerierte, konfigurierte Schnittstelle (ohne Loopback), die sich beispielsweise als eth0 herausstellen kann. Auf Linux-Systemen mit 2.2 oder späteren Kerneln kann ein Interface-Argument von jedem verwendet werden, um Pakete von allen Schnittstellen zu erfassen. Beachten Sie, dass Captures auf dem beliebigen Gerät nicht im Promiscuous-Modus durchgeführt werden. Wenn das Flag - D unterstützt wird, kann eine Schnittstellennummer, die von diesem Flag gedruckt wird, als Interface-Argument verwendet werden, wenn keine Schnittstelle auf dem System diese Nummer als Namen hat. - I --monitor-mode Setzen Sie die Schnittstelle im Quotmonitor-Modus, dies wird nur auf IEEE 802.11 Wi-Fi-Schnittstellen unterstützt und nur auf einigen Betriebssystemen unterstützt. Beachten Sie, dass der Adapter im Überwachungsmodus vom Netzwerk getrennt werden kann, mit dem er verbunden ist, sodass Sie keine Wireless-Netzwerke mit diesem Adapter verwenden können. Dies könnte den Zugriff auf Dateien auf einem Netzwerkserver oder das Auflösen von Hostnamen oder Netzwerkadressen verhindern, wenn Sie im Monitormodus erfassen und nicht mit einem anderen Netzwerk mit einem anderen Adapter verbunden sind. Dieses Flag wirkt sich auf die Ausgabe des Flags - L aus. Wenn - I nicht angegeben ist, werden nur diejenigen Link-Layer-Typen angezeigt, die nicht im Überwachungsmodus verfügbar sind, wenn - I angegeben ist, werden nur diejenigen Link-Layer-Typen angezeigt, die im Monitormodus verfügbar sind. --imediate-mode Capture im quadratischen Modusquot. In diesem Modus werden Pakete an tcpdump ausgeliefert, sobald sie ankommen, anstatt für die Effizienz gepuffert zu werden. Dies ist die Voreinstellung beim Drucken von Paketen anstatt beim Speichern von Paketen in einer Sicherungsdatei, wenn die Pakete nicht an eine Datei oder eine Pipe gedruckt werden. - j tstamptype --time-stamp-type tstamptype Setzt den Zeitstempeltyp für die Erfassung auf tstamptype. Die Namen, die für die Zeitstempeltypen zu verwenden sind, werden in pcap-tstamp (7) angegeben, nicht alle Typen, die dort aufgeführt sind, müssen für jede Schnittstelle gültig sein. - J --list-time-stamp-types Liste der unterstützten Zeitstempeltypen für die Schnittstelle und beenden. Wenn der Zeitstempeltyp nicht für die Schnittstelle eingestellt werden kann, werden keine Zeitstempeltypen aufgelistet. - time-stamp-precision tstampprecision Bei der Aufnahme die Zeitstempelgenauigkeit für die Aufnahme auf tstampprecision einstellen. Beachten Sie, dass die Verfügbarkeit von Präzisionszeitstempeln (Nanosekunden) und deren tatsächliche Genauigkeit plattform - und hardwareabhängig ist. Beachten Sie außerdem, dass beim Schreiben von Aufnahmen mit Nanosekundengenauigkeit in eine Savefile die Zeitstempel mit Nanosekundenauflösung geschrieben werden und die Datei mit einer anderen Magic-Nummer geschrieben wird, um anzuzeigen, dass die Zeitstempel in Sekunden und Nanosekunden nicht alle gelesenen Programme sind Pcap savefiles können diese Captures lesen. Wenn Sie eine Savefile lesen, konvertieren Sie Zeitstempel in die mit timestampprecision angegebene Genauigkeit. Und zeigen sie mit dieser Auflösung an. Wenn die angegebene Genauigkeit kleiner als die Präzision der Zeitstempel in der Datei ist, verliert die Konvertierung die Genauigkeit. Die unterstützten Werte für timestampprecision sind Micro für Mikrosekunden Auflösung und Nano für Nanosekunden Auflösung. Die Voreinstellung ist Mikrosekundenauflösung. - K --überprüfen Sie nicht Prüfsummen Versuchen Sie nicht, IP-, TCP - oder UDP-Prüfsummen zu überprüfen. Dies ist nützlich für Schnittstellen, die einige oder alle diese Prüfsummenberechnung in Hardware ausführen, sonst werden alle ausgehenden TCP-Prüfsummen als schlecht markiert. - l Bilden Sie stdout Linie gepuffert. Nützlich, wenn Sie die Daten beim Aufnehmen sehen möchten. Z. B. Oder Beachten Sie, dass unter Windows die Zeilenpufferung ungepuffert ist, so dass WinDump jedes Zeichen einzeln schreibt, wenn - l angegeben ist. - U ist ähnlich wie - l in seinem Verhalten, aber es wird dazu führen, dass die Ausgabe paketgepuffert wird, so dass die Ausgabe an stdout am Ende jedes Pakets geschrieben wird und nicht am Ende jeder Zeile, die auf allen Plattformen gepuffert wird , Einschließlich Windows. - L --list-data-link-types Auflistung der bekannten Daten-Link-Typen für die Schnittstelle, im angegebenen Modus und beenden. Die Liste der bekannten Datenverknüpfungstypen kann z. B. auf einigen Plattformen abhängen, eine Wi-Fi-Schnittstelle kann einen Satz von Datenverknüpfungstypen unterstützen, wenn sie sich nicht im Überwachungsmodus befindet (z. B. könnte sie nur fake-Ethernet-Header unterstützen) Oder 802.11-Header unterstützen, aber 802.11-Header mit Radioinformationen nicht unterstützen) und einen anderen Satz von Datenverknüpfungstypen im Überwachungsmodus (z. B. 802.11-Header oder 802.11-Header mit Radioinformationen nur im Überwachungsmodus). - m-Modul SMI-MIB-Modul-Definitionen aus dem Dateimodul laden. Diese Option kann mehrfach verwendet werden, um mehrere MIB-Module in tcpdump zu laden. - M secret Geheimnis als gemeinsames Geheimnis verwenden, um die in TCP-Segmenten gefundenen Auszüge mit der Option TCP-MD5 (RFC 2385) zu validieren, sofern vorhanden. - n Dont konvertieren Adressen (d. H. Host-Adressen, Port-Nummern, etc.) zu Namen. - N Dont Druck Domain Name Qualifizierung von Hostnamen. Z. B. Wenn Sie diese Flagge geben, dann wird tcpdump nic statt nic. ddn. mil drucken. - - number Eine optionale Paketnummer am Anfang der Zeile ausdrucken. - O --no-optimize Führen Sie das Paket-Matching-Code-Optimierungsprogramm nicht aus. Dies ist nur dann sinnvoll, wenn Sie einen Fehler im Optimierer vermuten. - p --no-promiscuous-mode Dont setzen Sie die Schnittstelle in promiscuous-Modus. Beachten Sie, dass die Schnittstelle aus einem anderen Grund möglicherweise im Promiscuous-Modus vorliegt, - p kann nicht als Abkürzung für Ether-Host oder Ether-Broadcast verwendet werden. - Q-Richtung --Richtung Richtung Sende - / Empfangsrichtung wählen, für die Pakete erfasst werden sollen. Mögliche Werte sind in, out und inout. Nicht auf allen Plattformen verfügbar. - q Schnell (leise) Ausgabe. Drucken Sie weniger Protokollinformationen, so dass die Ausgabezeilen kürzer sind. - r Datei Lesen von Paketen aus der Datei (die mit der Option - w oder mit anderen Programmen erstellt wurde, die pcap - oder pcap-ng-Dateien schreiben). Standard-Eingabe wird verwendet, wenn Datei ist -. - S --absolute-tcp-sequenz-nummern Drucke absolute, nicht relative, TCP-Sequenznummern. - s snaplen --snapshot-länge snaplen Snarf Snaplen-Byte von Daten von jedem Paket anstatt der Standard von 262144 Byte. Pakete, die aufgrund eines begrenzten Snapshots abgeschnitten wurden, werden in der Ausgabe mit proto angezeigt, wobei proto der Name des Protokollpegels ist, bei dem die Trunkierung aufgetreten ist. Beachten Sie, dass bei größeren Snapshots sowohl der Zeitaufwand für die Verarbeitung von Paketen erhöht wird als auch die Anzahl der Paketpufferungen sinkt. Dies kann dazu führen, dass Pakete verloren gehen. Sie sollten Snaplen auf die kleinste Zahl einschränken, die die Protokollinformationen, die Sie interessieren, erfassen wird. Wenn Sie snaplen auf 0 setzen, wird diese auf den Standardwert von 262144 gesetzt, um die Abwärtskompatibilität mit den letzten älteren Versionen von tcpdump zu erhöhen. - T type Erzwingen Sie Pakete, die durch den angegebenen Ausdruck ausgewählt werden, um den angegebenen Typ zu interpretieren. Gegenwärtig bekannte Typen sind aodv (Ad-hoc-On-Demand-Distanz-Vektorprotokoll), carp (Common Address Redundancy Protocol), cnfp (Cisco NetFlow-Protokoll), lmp (Link Management Protocol), pgm (ppmmtp1 (ZMTP / Rpc (Remote Procedure Call), rtp (Real-Time Applications-Protokoll), rtcp (Echtzeit-Applikationen-Steuerungsprotokoll), snmp (Simple Network Management) Protokoll), tftp (Trivial File Transfer Protocol), vat (Visual Audio Tool), wb (verteiltes Whiteboard), zmtp1 (ZeroMQ Message Transport Protocol 1.0) und vxlan (Virtuelles eXtensibles lokales Netzwerk). Beachten Sie, dass der oben genannte pgm-Typ nur die UDP-Interpretation beeinflusst, wird das native PGM immer als IP-Protokoll 113 erkannt. UDP-gekapselte PGM wird oft als pseudoquot oder quotPGM / UDPquot bezeichnet. Beachten Sie, dass die pgmzmtp1-Typ oben Interpretation der beiden nativen PGM und UDP auf einmal. Während der nativen PGM-Decodierung würden die Anwendungsdaten eines ODATA / RDATA-Pakets als ZeroMQ-Datagramm mit ZMTP / 1.0-Frames decodiert. Während der UDP-Decodierung würde außerdem jedes UDP-Paket als ein verkapseltes PGM-Paket behandelt. - t Kein Zeitstempel auf jeder Speicherzeile drucken. - tt Drucken Sie den Zeitstempel als Sekunden seit dem 1. Januar 1970, 00:00:00, UTC und Sekundenbruchteilen seit dieser Zeit auf jeder Speicherzeile aus. - ttt Drucken Sie ein Delta (micro-second resolution) zwischen aktueller und vorheriger Zeile auf jeder Dumplinie aus. - tttt Drucke einen Zeitstempel als Stunden, Minuten, Sekunden und Sekundenbruchteile seit Mitternacht, gefolgt von dem Datum auf jeder Speicherzeile. - ttttt Drucken Sie ein Delta (micro-second resolution) zwischen der aktuellen und der ersten Zeile auf jeder Dumplinie aus. - u Druckt undecodierte NFS-Griffe. - U - packet-buffered Wenn die Option - w nicht angegeben ist, muss das ausgedruckte Paket paketgepuffert werden, dh wenn die Beschreibung des Inhalts jedes Pakets gedruckt wird, wird es statt dessen in die Standardausgabe geschrieben Nicht in ein Terminal schreiben, nur geschrieben, wenn der Ausgabepuffer füllt. Wenn die Option - w angegeben ist, machen Sie die gespeicherte Rohpaketausgabe paketgepuffert, d. H., Da jedes Paket gespeichert wird, wird es in die Ausgabedatei geschrieben und nicht nur geschrieben, wenn der Ausgabepuffer füllt. Das Flag - U wird nicht unterstützt, wenn tcpdump mit einer älteren Version von libpcap erstellt wurde, der die pcapdumpflush () - Funktion fehlt. - v Beim Analysieren und Drucken, produzieren (etwas mehr) ausführliche Ausgabe. Beispielsweise werden die Zeit zum Leben, die Identifizierung, die Gesamtlänge und die Optionen in einem IP-Paket gedruckt. Ermöglicht auch zusätzliche Paketintegritätsprüfungen, wie zum Beispiel das Überprüfen der IP - und ICMP-Header-Prüfsumme. Beim Schreiben in eine Datei mit der Option - w berichten Sie alle 10 Sekunden die Anzahl der erfassten Pakete. - vv Noch mehr ausführliche Ausgabe. Beispielsweise werden zusätzliche Felder aus NFS-Antwortpaketen gedruckt, und SMB-Pakete werden vollständig decodiert. - vvv Noch mehr ausführliche Ausgabe. Zum Beispiel telnet SB. SE-Optionen vollständig ausgedruckt werden. Mit - X Telnet Optionen werden auch in Hex gedruckt. - V Datei Lesen Sie eine Liste der Dateinamen aus der Datei. Standard-Eingabe wird verwendet, wenn Datei ist -. - w Datei Schreiben Sie die rohen Pakete an die Datei, anstatt sie zu analysieren und auszudrucken. Sie können später mit der Option - r gedruckt werden. Die Standardausgabe wird verwendet, wenn die Datei -. Dieser Ausgang wird gepuffert, wenn er in eine Datei oder ein Pipe geschrieben wird, so dass ein Programm aus der Datei oder Pipe nicht sehen kann, Pakete für eine beliebige Zeit, nachdem sie empfangen werden. Verwenden Sie die - U-Markierung, um zu verursachen, dass Pakete geschrieben werden, sobald sie empfangen werden. Der MIME-Typ application / vnd. tcpdump. pcap wurde mit IANA für pcap-Dateien registriert. Die Dateinamenerweiterung. pcap scheint die am häufigsten verwendete zusammen mit. cap und. dmp zu sein. Tcpdump selbst überprüft nicht die Erweiterung beim Lesen von Capture-Dateien und fügt keine Erweiterung beim Schreiben hinzu (es verwendet Magic-Nummern in der Datei-Header stattdessen). Allerdings werden viele Betriebssysteme und Anwendungen die Erweiterung verwenden, wenn sie vorhanden ist und das Hinzufügen einer (z. B. pcap) empfohlen wird. Eine Beschreibung des Dateiformats finden Sie unter pcap-savefile (5). - W Wird in Verbindung mit der Option - C verwendet, wird die Anzahl der erstellten Dateien auf die angegebene Anzahl beschränkt und die überschriebenen Dateien werden von Anfang an überschrieben, wodurch ein rotierender Puffer erzeugt wird. Darüber hinaus wird es die Dateien mit genügend führenden 0s, um die maximale Anzahl von Dateien zu unterstützen, so dass sie ordnungsgemäß zu sortieren. In Verbindung mit der Option - G wird dies die Anzahl der erstellten gedumpten Dump-Dateien beschränken, die beim Erreichen der Grenze mit Status 0 verlassen werden. Bei Verwendung mit - C als auch, führt das Verhalten in zyklischen Dateien per timeslice. - x Beim Analysieren und Drucken, zusätzlich zum Drucken der Header jedes Pakets, drucken Sie die Daten jedes Pakets (abzüglich der Link Ebene Header) in Hex. Das kleinere der gesamten Paket - oder Snaplen-Byte wird gedruckt. Es ist zu beachten, dass dies das gesamte Link-Layer-Paket ist, so dass für Verbindungs-Layer (beispielsweise Ethernet) die Padding-Bytes auch gedruckt werden, wenn das Paket höherer Schicht kürzer als das erforderliche Padding ist. - xx Beim Analysieren und Drucken, zusätzlich zum Drucken der Header jedes Pakets, drucken Sie die Daten jedes Pakets, einschließlich der Link Ebene Header, in Hex. - X Beim Analysieren und Drucken, zusätzlich zum Drucken der Header jedes Pakets, drucken Sie die Daten jedes Pakets (abzüglich der Link Ebene Header) in Hex und ASCII. Dies ist sehr nützlich für die Analyse neuer Protokolle. - XX Beim Parsen und Drucken, zusätzlich zum Drucken der Header jedes Pakets, drucken Sie die Daten jedes Pakets, einschließlich der Link Ebene Header, in Hex und ASCII. - y datalinktype --linktype datalinktype Legen Sie den Datenverknüpfungstyp fest, der beim Aufzeichnen von Paketen in datalinktype verwendet werden soll. - z postrotate-command Wird in Verbindung mit den - C - oder - G-Optionen verwendet, wird tcpdump eine "postrotate-command" - Datei ausführen, wobei file die Savefile ist, die nach jeder Umdrehung geschlossen wird. Zum Beispiel komprimiert - z gzip oder - z bzip2 jede savefile mit gzip oder bzip2. Beachten Sie, dass tcpdump den Befehl parallel zum Capture ausführt, wobei die niedrigste Priorität verwendet wird, so dass dieser den Capture-Prozess nicht stört. Und wenn Sie einen Befehl verwenden möchten, der selbst Flags oder andere Argumente übernimmt, können Sie immer ein Shell-Skript schreiben, das den savefile-Namen als einziges Argument annimmt, die Flags amp arguments arrangements bilden und den gewünschten Befehl ausführen. - Z Benutzer --relinquish-privileges user Wenn tcpdump nach dem Öffnen des Capture-Geräts oder der Eingabe-Savefile als root ausgeführt wird, ändern Sie vor dem Öffnen aller Savefiles für die Ausgabe die Benutzer-ID an den Benutzer und die Gruppen-ID an die primäre Benutzergruppe. Dieses Verhalten kann bei der Kompilierung auch standardmäßig aktiviert werden. Ausdruck wählt aus, welche Pakete gedumpt werden. Wenn kein Ausdruck angegeben ist, werden alle Pakete im Netz gelöscht. Andernfalls werden nur Pakete, deren Ausdruck wahr ist, gelöscht. Das Argument Ausdruck kann tcpdump entweder als ein einziges Shell-Argument oder als mehrere Shell-Argumente übergeben werden, je nachdem, was bequemer ist. Wenn der Ausdruck Shell-Metazeichen enthält, z. B. umgekehrte Schrägstriche, die verwendet werden, um Protokollnamen zu entgehen, ist es leichter, es als einzelnes, zitiertes Argument zu übergeben, anstatt die Shell-Metazeichen zu entgehen. Mehrere Argumente werden vor dem Parsen mit Leerzeichen verkettet. BEISPIELE Zum Ausdrucken aller Pakete, die am Sonntag ankommen oder abreisen. So drucken Sie Verkehr zwischen helios und entweder heiß oder Ass. Zum Drucken aller IP-Pakete zwischen ace und jedem Host außer helios. So drucken Sie den gesamten Datenverkehr zwischen lokalen Hosts und Hosts in Berkeley aus: So drucken Sie den gesamten FTP-Datenverkehr über das Internet-Gateway snup aus. (Beachten Sie, dass der Ausdruck zitiert wird, um zu verhindern, dass die Shell (falsch) die Klammern interpretiert): So drucken Sie keinen Verkehr, der nicht von lokalen Hosts stammt (für Gateways zu einem anderen Netz) Netz). Um die Start - und Endpakete (die SYN - und FIN-Pakete) jeder TCP-Konversation zu drucken, die einen nicht-lokalen Host umfasst. Um alle IPv4-HTTP-Pakete zu und von Port 80 zu drucken, d. h. nur Pakete auszudrucken, die Daten enthalten, nicht beispielsweise SYN - und FIN-Pakete und nur ACK-Pakete. (IPv6 bleibt als Übung für den Leser übrig.) IP-Pakete länger als 576 Byte drucken, die über Gateway Snup gesendet werden. So drucken Sie IP-Broadcast - oder Multicast-Pakete, die nicht über Ethernet Broadcast oder Multicast gesendet wurden: Zum Drucken aller ICMP-Pakete, die keine Echoanforderungen / Antworten sind (dh keine Ping-Pakete): OUTPUT FORMAT Der Ausgang von tcpdump ist protokollabhängig. Im folgenden finden Sie eine kurze Beschreibung und Beispiele für die meisten Formate. Link-Level-Header Wenn die Option - e angegeben ist, wird der Link-Level-Header ausgedruckt. Bei Ethernet werden die Quell - und Zieladressen, das Protokoll und die Paketlänge gedruckt. Auf FDDI-Netzwerken führt die Option - e dazu, dass tcpdump das Frame-Steuerfeld, die Quell - und Zieladressen sowie die Paketlänge druckt. Normale Pakete (wie jene, die IP-Datagramme enthalten) sind asynchrone Pakete mit einem Prioritätswert zwischen 0 und 7 zum Beispiel async4, wobei angenommen wird, dass diese Pakete einen 802.2 enthalten Logical Link Control (LLC) - Paket wird der LLC-Header gedruckt, wenn es sich nicht um ein ISO-Datagramm oder ein sogenanntes SNAP-Paket handelt. Bei Token Ring-Netzwerken erzeugt tcpdump die Zugriffskontrolle und die Rahmensteuerungsfelder Und Ziel-Adressen und die Paketlänge. Wie auf FDDI-Netze, werden Pakete angenommen, dass ein LLC-Paket enthalten. Ob unabhängig davon, ob die Option - e ist oder nicht, wird die Source-Routing-Informationen für Source-geroutete Pakete gedruckt. Ob 802.11-Netzwerke , Führt die Option - e dazu, dass tcpdump die Frame-Steuerfelder, alle Adressen im 802.11-Header und die Paketlänge ausdruckt, wie bei FDDI-Netzwerken angenommen wird, dass Pakete ein LLC-Paket enthalten Der in RFC-1144 beschriebene SLIP-Komprimierungsalgorithmus.) Auf den SLIP-Verbindungen werden eine Richtungsanzeige (I für eingehend, O für ausgehend), Pakettyp und Komprimierungsinformation ausgedruckt. Der Pakettyp wird zuerst gedruckt. Die drei Typen sind ip. Utcp. Und ctcp. Für IP-Pakete werden keine weiteren Verbindungsinformationen gedruckt. Bei TCP-Paketen wird die Verbindungskennung nach dem Typ gedruckt. Wenn das Paket komprimiert ist, wird sein kodierter Header ausgedruckt. Die Sonderfälle werden als S n und SA n ausgedruckt. Wobei n der Betrag ist, um den sich die Sequenznummer (oder Sequenznummer und ack) geändert hat. Wenn es kein Sonderfall ist, werden null oder mehr Änderungen gedruckt. Eine Änderung wird durch U (dringender Zeiger), W (Fenster), A (ack), S (Sequenznummer) und I (Paket-ID) gefolgt von einem Delta (n oder - n) oder einem neuen Wert ( N). Schließlich werden die Datenmenge im Paket und die komprimierte Kopfzeile ausgedruckt. Beispielsweise zeigt die folgende Zeile ein ausgehendes komprimiertes TCP-Paket mit einer impliziten Verbindungskennung, die das ack um 6 geändert hat, die Sequenznummer um 49 und die Paket-ID um 6 gibt es 3 Byte Daten und 6 Byte komprimierten Headers: Arp / rarp Ausgang zeigt die Art der Anfrage und ihre Argumente. Das Format soll selbsterklärend sein. Hier ist eine kurze Probe genommen vom Anfang eines rlogin vom Wirt rtsg zum Wirt csam. Die erste Zeile sagt, dass rtsg ein Arp-Paket fragt nach der Ethernet-Adresse des Internet-Hosts csam. Csam antwortet mit seiner Ethernet-Adresse (in diesem Beispiel sind Ethernet-Adressen in Caps und Internet-Adressen in Kleinbuchstaben). Dies würde weniger überflüssig aussehen, wenn wir tcpdump - n getan hätten. Wenn wir tcpdump - e getan hätten. Dass das erste Paket ausgestrahlt wird und das zweite Punkt-zu-Punkt-Signal sichtbar ist: Für das erste Paket ist die Ethernet-Quellenadresse RTSG, das Ziel ist die Ethernet-Broadcast-Adresse, das Feld Typ hex 0806 (Typ ETHERARP) und die Gesamtlänge betrug 64 Byte. Wenn Sie mit dem Protokoll nicht vertraut sind, sind weder diese Beschreibung noch tcpdump von Nutzen für Sie.) Das allgemeine Format einer tcp-Protokollzeile ist : Src und dst sind die Quell - und Ziel-IP-Adressen und Ports. Flags sind eine Kombination von S (SYN), F (FIN), P (PUSH), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) oder. (ACK) oder keine, wenn keine Flags gesetzt sind. Data-seqno beschreibt den Teil des Sequenzraums, der von den Daten in diesem Paket abgedeckt wird (siehe Beispiel unten). Ack ist die Sequenznummer der nächsten Daten, die die andere Richtung auf dieser Verbindung erwartet. Fenster ist die Anzahl der Byte des Empfangspufferplatzes, der in dieser Richtung für die andere Richtung zur Verfügung steht. Urg gibt an, dass es dringende Daten in dem Paket gibt. Optionen sind tcp-Optionen in spitzen Klammern eingeschlossen (z. B. ltmss 1024gt). Src, dst und Flags sind immer vorhanden. Die anderen Felder sind abhängig vom Inhalt des Paket-tcp-Protokoll-Headers und werden nur bei Bedarf ausgegeben. Hier ist der öffnung Teil eines rlogin vom Wirt rtsg zum Wirt csam. Die erste Zeile sagt, dass tcp-Port 1023 auf rtsg ein Paket an Port-Login auf csam gesendet. Das S zeigt an, dass das SYN-Flag gesetzt wurde. Die Paketfolge-Nummer war 768512 und es enthielt keine Daten. (Die Notation ist zuerst: last (nbytes), was bedeutet, dass Sequenznummern zuerst bis zu, aber nicht einschließlich last, die nbyte Bytes von Benutzerdaten ist.) Es gab keine Piggy-backed ack, das verfügbare Empfangsfenster betrug 4096 Bytes und es war ein max - segment-size-Option, die eine MSS von 1024 Byte anfordert. Csam antwortet mit einem ähnlichen Paket, es sei denn es schließt ein piggy-backed ack für rtsgs SYN ein. Rtsg dann acks csams SYN. Das . Bedeutet, dass das ACK-Flag gesetzt wurde. Das Paket enthielt keine Daten, so daß keine Datenfolgenummer vorhanden ist. Beachten Sie, dass die ack-Sequenznummer eine kleine Ganzzahl (1) ist. Das erste Mal, wenn tcpdump eine tcp-Konversation sieht, druckt es die Sequenznummer aus dem Paket. Auf nachfolgenden Paketen der Konversation wird die Differenz zwischen der aktuellen Paket-Sequenznummer und dieser anfänglichen Sequenznummer gedruckt. Dies bedeutet, dass Sequenznummern nach dem ersten als relative Bytepositionen im Konversationsdatenstrom interpretiert werden können (wobei das erste Datenbyte jeweils 1 ist). - S wird diese Funktion überschreiben, wodurch die ursprünglichen Sequenznummern ausgegeben werden. In der sechsten Zeile sendet rtsg csam 19 Byte Daten (Byte 2 bis 20 in der rtsg rarr csam Seite des Konversations). Das PUSH-Flag wird im Paket gesetzt. Auf der 7. Zeile sagt csam, dass seine empfangenen Daten von rtsg bis zu aber nicht einschließlich Byte 21 gesendet werden. Die meisten dieser Daten liegen offenbar im Socket-Puffer, da das Cams empfangene Fenster 19 Byte kleiner bekommen hat. Csam sendet auch ein Byte Daten an rtsg in diesem Paket. Auf der 8. und 9. Zeile, sendet csam zwei Bytes dringender, schob Daten zu rtsg. Wenn der Snapshot klein genug war, dass tcpdump den vollständigen TCP-Header nicht erfasst, interpretiert er so viel von dem Header wie er kann und berichtet dann tcp, um anzuzeigen, dass der Rest nicht interpretiert werden konnte. Wenn der Header eine gefälschte Option enthält (eine mit einer Länge, die entweder zu klein oder über das Ende des Headers hinausläuft), gibt tcpdump es als badopt an und interpretiert keine weiteren Optionen (da es unmöglich ist zu sagen, wo sie beginnen). Wenn die Header-Länge anzeigt, dass Optionen vorhanden sind, aber die IP-Datagrammlänge nicht lang genug ist, damit die Optionen tatsächlich vorhanden sind, berichtet tcpdump es als schlechte hdr-Länge. Erfassen von TCP-Paketen mit bestimmten Flaggenkombinationen (SYN-ACK, URG-ACK usw.) Es gibt 8 Bits im Steuerbits-Abschnitt des TCP-Headers: CWR ECE URG ACK PSH RST SYN FIN Nehmen wir an, wir wollen Pakete betrachten Beim Aufbau einer TCP-Verbindung. Erinnern Sie sich, dass TCP ein 3-Wege-Handshake-Protokoll verwendet, wenn es eine neue Verbindung initialisiert die Verbindungsreihenfolge in Bezug auf die TCP-Steuerbits ist 1) Anrufer sendet SYN 2) Empfänger antwortet mit SYN, ACK 3) Anrufer sendet ACK Jetzt waren an der Erfassung interessiert Pakete, die nur das SYN-Bit gesetzt haben (Schritt 1). Beachten Sie, dass wir nicht wollen, dass Pakete aus Schritt 2 (SYN-ACK), nur eine einfache Initial SYN. Was wir brauchen, ist ein korrekter Filterausdruck für tcpdump. Rückruf der Struktur eines TCP-Headers ohne Optionen: Ein TCP-Header enthält in der Regel 20 Bytes Daten, sofern keine Optionen vorhanden sind. Die erste Zeile des Graphen enthält die Oktette 0 - 3, die zweite Zeile die Oktette 4 - 7 usw. Ab dem Zählen mit 0 sind die relevanten TCP-Steuerbits im Oktett 13 enthalten. Wir haben die Bits in diesem Oktett von 0 bis 7, von rechts nach links, so numeriert, dass das PSH-Bit die Bitnummer 3 ist, während das URG-Bit die Nummer 5 ist Wollen Pakete mit nur SYN-Set zu erfassen. Lets sehen, was mit dem Oktett 13 geschieht, wenn ein TCP-Datagramm mit dem in seinem Header gesetzten SYN-Bit ankommt: Betrachtet man den Steuerbits-Abschnitt, sehen wir, dass nur Bitnummer 1 (SYN) gesetzt ist. TCP. Deze jongeman weet Onze producten al een tijdje zeer succesvol in te zetten en Plusquamperfekt binnen ons Team. Wij wensen hem alvast veel succes en u zal er zeker en große nog veel van Horen Ga hier naar zijn pagina Lesen Sie weiter raquo Direkt na mijn vakantie war het zover De sessie waar Michiel en ik al Zolang naar uitkeken. Weken van tevoren fantaseerden wir über deze sessie op het super gab Wasser, das wir gingen bevissen. Omdat Michiel er al enkele keren geweest war wisten wir wat voor bestand er aanwezig war. Dit soort wateren vind je bijna nergens, dus je kan je wel voor hoeveel zin ik hatte in deze sessie Toen ik thuis kwam van vakantie begon ik meteen met Rigs knopen, alles inladen en natuurlijk ook de noten Koken. Tijdens het Koken van de tijgernootjes Tat ik er nog wat Chili bij om de vis nog meer aan te trekken op de Stek. Na was alles klaar war kon ik eindelijk gaan slapen. Ik heb echter niet veel geslapen will ik hatte te veel zin om te gaan vissen Vroeg in de ochtend reden wir naar het water en. Lesen Sie mehr raquo Webshop De laatste nieuwberichten en artikelen 4 februari 2014
No comments:
Post a Comment