टीसीपीडम्प - लिनक्स कमांड - युनिक्स कमांड

NAME

tcpdump - नेटवर्कवरील ट्रॅफिक डंप करा

सुप्रसिद्ध

tcpdump [ -adeflnNOpqRStuvxX ] [ -सी संख्या ]

[ -C file_size ] [ -F फाईल ]

[ -i इंटरफेस ] [ -एम मॉड्यूल ] [ -आर फाईल ]

[ -s snaplen ] [ -T प्रकार ] [ -यू वापरकर्ता ] [ -w फाईल ]

[ -ए अल्गो: गुप्त ] [ अभिव्यक्ती ]

DESCRIPTION

Tcpdump बुलियन अभिव्यक्तीशी जुळणार्या नेटवर्क इंटरफेसवर पॅकेटच्या शीर्षलेख मुद्रित करतो. हे -वे फ्लॅगसह चालवले जाऊ शकते, ज्यामुळे ते पॅकेट डेटा नंतरच्या विश्लेषणासाठी, आणि / किंवा -आर फ्लॅगसह सेव्ह करण्यासाठी वाचकांपेक्षा एका सुरक्षित पॅकेट फाइलमधून वाचू शकते. नेटवर्क इंटरफेस पासून. सर्व प्रकरणांमध्ये, फक्त अभिव्यक्ति जुळणारी पॅकेट टीसीपीडम्पवर प्रक्रिया करेल.

-सी फ्लॅगसह चालत नसल्यास, सीसीआयएनटी सिग्नल (व्युत्पन्न, उदाहरणार्थ, आपले इंटरप्ट वर्ण टाईप करून, विशेषत: कंट्रोल- C) किंवा सिग्टरएम सिग्नल (सामान्यत: मारुन तयार केलेले) (1) कमांड); जर -c फ्लॅगसह चालत असेल, तर ते पॅकेट्स हस्तगत करेपर्यंत जोपर्यंत त्यास SIGINT किंवा SIGTERM सिग्नलद्वारे व्यत्यय आला नाही किंवा विशिष्ट प्रकारच्या पॅकेटवर प्रक्रिया केली गेली आहे.

जेव्हा tcpdump कॅप्चरिंग पॅकेट्स पूर्ण करतो, तेव्हा हे खालील गोष्टींची तक्रार करेल:

पॅकेट 'फिल्टर द्वारे प्राप्त' (याचा अर्थ आपणास tcpdump चालवणार्या ओएसवर अवलंबून आहे, आणि शक्यतो ओएस कॉन्फिगर केलेल्या मार्गावर - जर एखाद्या कमांड लाइनवर फिल्टर निर्दिष्ट केला असेल तर काही ओएस वर गणना केली जाते पॅकेट्स फिल्टर एक्सप्रेशनमुळे जुळतात की नाही याची पर्वा न करता, आणि इतर ऑप्सवर ते फक्त फिल्टरचे मोजमाप करतात जे फिल्टर एक्सप्रेशन द्वारे जुळविले गेले होते आणि tcpdump द्वारे प्रक्रिया होते);

पॅकेट `` कर्नेलद्वारे सोडले '' (ओएसमध्ये पॅकेट कॅप्चर यंत्रणेद्वारे, ज्यावर टीसीपीडम्प चालत आहे, हे OS बफर जागेच्या अभावामुळे काढून टाकण्यात आलेल्या पॅकेट्सची संख्या आहे, जर OS माहिती अनुप्रयोगांना कळवते ; नसल्यास, तो 0 म्हणून नोंदवला जाईल).

SIGINFO सिग्नलला समर्थन देणार्या प्लॅटफॉर्मवर, जसे की बहुतांश BSDs, ते SIGINFO सिग्नल प्राप्त करतेवेळी त्या गणना करेल (उदाहरणार्थ, आपले `` स्टेटस '' टाइप करून, सामान्यत: कंट्रोल-टी टाइप करून) आणि पॅकेट्स कॅप्चरिंग सुरू ठेवेल .

नेटवर्क इंटरफेसवरुन पॅकेट वाचणे आपल्यासाठी खास विशेषाधिकार असणे आवश्यक आहे:

एनआयटी किंवा बीपीएफ सह SunOS 3.x किंवा 4.x अंतर्गत:

आपल्याकडे / dev / nit किंवा / dev / bpf * वर वाचन प्रवेश असणे आवश्यक आहे.

DLPI सोबत Solaris अंतर्गत:

नेटवर्क गुप्तलेखनावर आपण वाचन / लेखन प्रवेश असणे आवश्यक आहे, उदा. / Dev / le Solaris च्या किमान काही आवृत्त्यांवर, तथापि, tcpdump ला मोठा मोडमध्ये कॅप्चर करण्याची परवानगी देणे पुरेसे नाही; Solaris च्या त्या आवृत्त्यांवर, रूट असणे आवश्यक आहे, किंवा बहुदा मोडमध्ये कॅप्चर करण्यासाठी tcpdump ला रूटवर setuid स्थापित करणे आवश्यक आहे. लक्षात ठेवा, बर्याच (बहुदा सर्व) इंटरफेसवर, जर आपण मोठ्या प्रकारात मोडत नाही, तर आपण कोणत्याही जावक पॅकेट्स पाहणार नाही, जेणेकरून मोठ्या मोडमध्ये केलेले कॅप्चर फार उपयुक्त नसू शकतात.

एचपी-युक्स विथ डीएलपीआय अंतर्गत:

आपण रूट असणे आवश्यक आहे किंवा tcpdump root करीता setuid प्रतिष्ठापीत केले पाहिजे.

गुप्तचरांच्या सह IRIX अंतर्गत:

आपण रूट असणे आवश्यक आहे किंवा tcpdump root करीता setuid प्रतिष्ठापीत केले पाहिजे.

Linux अंतर्गत:

आपण रूट असणे आवश्यक आहे किंवा tcpdump root करीता setuid प्रतिष्ठापीत केले पाहिजे.

अल्ट्रिक्स व डिजिटल युनिक्स / Tru64 युनिक्स अंतर्गत:

कोणतीही वापरकर्ता tcpdump सह नेटवर्क रहदारी प्राप्त करू शकतो. तथापि, सुपर-युजरने pfconfig (8) वापरुन त्या इंटरफेसवर मज्जासंस्थे-मोड ऑपरेशन सक्षम केले नसेल तर वापरकर्ता (सुपर-उपयोगकर्ता देखील नाही) ऐंशीय मोडमध्ये कॅप्चर करू शकतो, आणि वापरकर्ता (सुपर-यूझर देखील नाही ) जोपर्यंत इंटर -उपयोगकर्ताने त्या इंटरफेसवर कॉपी- एल -मोड ऑपरेशन सक्षम केलेले नाही अशा इंटरफेसवर मशीनद्वारे प्राप्त किंवा पाठविलेले अनचाही रहदारी वहन करू शकते , त्यामुळे पॅफ कॉन्फिगचा वापर करून कॉपी-सर्व-मोड ऑपरेशन सक्षम केले आहे, त्यामुळे एखाद्या इंटरफेसवरील उपयुक्त पॅकेट कॅप्चरला कदाचित एकतर मोठा-मोड किंवा कॉपी करण्याची आवश्यकता आहे सर्व-मोड ऑपरेशन, किंवा ऑपरेशनचे दोन्ही मोड, त्या इंटरफेसवर सक्षम केले जातील.

बीएसडी अंतर्गत:

आपल्याकडे / dev / bpf * वर वाचन प्रवेश असणे आवश्यक आहे.

जतन केलेली पॅकेट फाईल वाचण्यासाठी विशेष विशेषाधिकारांची आवश्यकता नाही.

पर्याय

-ए

नेटवर्क आणि ब्रॉडकास्टिंग पत्ते नावे बदलण्याचे प्रयत्न.

-सी

गणने पॅकेट प्राप्त केल्यानंतर बाहेर पडा

-सी

Savefile वर एक कच्चे पॅकेट लिहण्याआधी, फाईल फाइल आकारापेक्षा सध्याची फाइल मोठी आहे का ते तपासा आणि जर असल्यास, वर्तमान जतनफाइल बंद करा आणि एक नवीन उघडा. प्रथम जतन फाईल नंतर Savefiles मध्ये -w फ्लॅगसह नाव दिले जाईल, नंतरच्या संख्येसह, 2 वाजता सुरू होऊन वरती पुढे जा. File_isize ची एकके लाखो बाइट आहेत (1,000,000 बायेट्स, 1,048,576 बाइट नाहीत).

-डी

मानक आउटपुटमध्ये आणि थांबासाठी मानवी वाचनीय स्वरूपात संकलित केलेले पॅकेट-जुळणारे कोड डंप करा.

जोडा

सी प्रोग्राम खंड म्हणून पॅकेट-जुळणारे कोड डंप करा.

-डिडी

पॅकेट-मॅचिंग कोड डिपॉझिट क्रमांक म्हणून गणल्या जातात (गणनेसह पुढे).

-e

प्रत्येक डंप ओळीवर दुवा-स्तराचे शीर्षलेख छापा.

-ई

एल्गो वापरा : IPsec ESP पॅकेट्स डिक्रिप्ट करण्यासाठी गुप्त अल्गोरिदम डीएससीसी , 3des -cbc , ब्लॉफिश-सीबीसी , rc3-cbc , cast128-cbc , किंवा काहीही असू शकतात . डिफॉल्ट des-cbc आहे पॅकेजेस डिक्रिप्ट करण्याची क्षमता फक्त अशीच असते जेव्हा टीसीपीडम्पला क्रिप्टोग्राफि सक्षम केलेले होते. ESP गुप्त कीसाठी आस्की मजकूर गुप्त करा या क्षणी आपण अनियंत्रित बायनरी मूल्य घेऊ शकत नाही. पर्याय RFC2406 ESP घेते, RFC1827 ESP नाही. पर्याय केवळ डीबगिंग हेतूसाठी आहे आणि खरोखर 'गुप्त' कीसह हा पर्याय वापरणे परावृत्त केले आहे. कमांड लाइनवर IPsec गुप्त की सादर करून आपण पीएस (1) आणि इतर प्रसंगी इतरांपर्यंत ते दृश्यमान करता.

-f

'विदेशी' इंटरनेट पत्त्यांच्या प्रती प्रतीकात्मकरित्या दर्शविण्यापेक्षा (हा पर्याय सूर्यांच्या yp सर्व्हरमध्ये गंभीर मेंदूच्या भोवण्याची जागा मिळविण्याचा हेतू आहे --- सामान्यत: ते नेहमीच स्थानिक नसलेल्या इंटरनेट क्रमांकास अनुवादित करते).

-एफ

फिल्टर अभिव्यक्तीसाठी इनपुट म्हणून फाइल वापरा. आदेश ओळीवर दिलेली अतिरिक्त अभिव्यक्ति दुर्लक्षीत केली जाते.

-i

इंटरफेसवर ऐका. अनिर्दिष्ट असल्यास, tcpdump सर्वात कमी गिने, कॉन्फिग अप इंटरफेस (लूपबॅक वगळून) साठी प्रणाली इंटरफेस यादी शोधते. सर्वात जुने सामना निवडून संबंध मोडले आहेत.

2.2 किंवा त्यानंतरच्या कर्नलसह लिनक्स सिस्टम्सवर, सर्व इंटरफेसवरून पॅकेट्स कॅप्चर करण्यासाठी `` कुठल्याही '' चे इंटरफेस वितर्क वापरले जाऊ शकते. लक्षात ठेवा `` कोणतेही साधन '' कॅप्चर करणार नाही तो मोठा मोडमध्ये केला जाणार नाही.

-एल

स्टडआउट लाइन बफर दिली. आपण कॅप्चर करताना डेटा पाहू इच्छित असल्यास उपयुक्त. उदा.
`` टीसीपीडम्प-एल | टी डेटा '' किंवा `` टीसीपीडम्प-एल> डेटा आणि टेस्ट-एफ डेटा ''.

-एम

फाइल मॉड्यूल मधून SMI MIB मॉड्यूल परिभाषा लोड करा. अनेक एमआयबी मॉड्यूल tcpdump मध्ये लोड करण्यासाठी हा पर्याय अनेक वेळा वापरला जाऊ शकतो.

-एन

होस्ट पत्त्यांना नावानुसार रूपांतरित करू नका. हे DNS लुकअप टाळण्यासाठी वापरले जाऊ शकते.

-एनएन

प्रोटोकॉल आणि पोर्ट क्रमांक इत्यादी नामांकित करु नका.

-एन

होस्ट नावांची डोमेन नाव पात्रता मुद्रित करू नका. उदा, आपण हे ध्वज दिल्यास टीसीपीडम्प `` एनआयसी.एडीएन.एमिल '' ऐवजी `` एनआयसी '' प्रिंट करेल.

-ओ

पॅकेट-जुळणारे कोड ऑप्टिमाइझर चालवू नका. हे केवळ तेव्हा उपयुक्त आहे जेव्हा आपण ऑप्टिमाइझरवर बगची शंका आल्या.

-पी

इंटरमिस्टला संमिश्र मोडमध्ये ठेवू नका . लक्षात घ्या की इंटरफेस काही इतर कारणास्तव मोठा होणारा मोडमध्ये असू शकतो; म्हणून `` एथर होस्ट {लोकल-एचडब्लू-एडिटर} किंवा ईथर ब्रॉडकास्ट 'हे नाव' -पी 'म्हणून वापरले जाऊ शकत नाही.

-कडी

द्रुत (शांत?) आउटपुट. कमी प्रोटोकॉल माहिती मुद्रित करा त्यामुळे आउटपुट ओळी लहान आहेत

-आर

जुन्या तपशीलावर आधारित राहण्यासाठी ईएसपी / एएच पॅकेट्स गृहित धरा (आरएफसी 1825 ते आरएफसी 18 9 2) निर्दिष्ट केल्यास, tcpdump पुनरावृत्ती प्रतिबंधक फील्डचे मुद्रण करणार नाही. ईएसपी / एएच स्पेसिफिकेशनमध्ये प्रोटोकॉल व्हर्शन फील्ड नसल्याने, टीसीपीडम्प ईएसपी / एएच प्रोटोकॉलचे आवृत्ती काढू शकत नाही.

-आर

फाइलमधून पॅकेट वाचा (जे -w पर्यायसह तयार केले होते). फाईल `` - '' असल्यास मानक इनपुट वापरले जाते.

-एस

रिलेटिव्ह ऐवजी पूर्णतया प्रिंट करा, टीसीपी अनुक्रमांक.

-स्

डीनॉल्ट (68 % डीएनएटी , किमान प्रत्यक्षात 96 आहे) ऐवजी प्रत्येक पॅकेटमधील डेटाचे स्नॅफ स्नॅपेलन बाइट. आयपी, आयसीएमपी, टीसीपी आणि यूडीपीसाठी 68 बाइट पुरेसा आहे परंतु ते नाव सर्व्हर आणि NFS पॅकेट्सवरून (खाली पहा) प्रोटोकॉल माहिती छेदतील. मर्यादित स्नॅपशॉटमुळे कापलेले पॅकेट `` [| | सह आउटपुटमध्ये सूचित केले आहेत प्रोटो ] '' आहे, जेथे प्रोटोकॉलचा प्रोटोकॉल पातळीवर ट्रान्सकेशन आली आहे. लक्षात ठेवा की मोठ्या स्नॅपशॉट घेतल्याने दोन्ही पॅकेटवर प्रक्रिया करण्यासाठी लागणारी वेळ वाढते आणि प्रभावीपणे पॅकेट बफरिंगची संख्या कमी करते. यामुळे पॅकेट्स गमावले जाऊ शकतात आपण स्नॅपलाइनला सर्वात लहान क्रमांकापर्यंत मर्यादित करू शकता जी आपल्याला स्वारस्य असलेल्या प्रोटोकॉल माहितीत कॅप्चर करेल. स्नॅपलीन 0 ला सेट करणे म्हणजे संपूर्ण पॅकेट पकडण्यासाठी आवश्यक लांबी वापरा

-टी

" एक्सप्रेशन " द्वारे निर्दिष्ट केलेले पॅकेट्सला निर्दिष्ट केलेल्या प्रकाराची व्याख्या करणे. सध्या ज्ञात प्रकार म्हणजे सीएनएफपी (सिस्को नेटफ्लो प्रोटोकॉल), आरपीसी (रिमोट प्रक्रिया कॉल), आरटीपी (रिअल-टाइम अॅप्लिकेशन्स प्रोटोकॉल), आरटीसीपी (रिअल-टाइम अॅप्लिकेशन्स कंट्रोल प्रोटोकॉल), एसएनपीपी (सिंपल नेटवर्क मॅनेजमेंट प्रोटोकॉल), व्हीट (विजुअल ऑडिओ टूल) ), आणि डब्ल्यूबी (वितरित व्हाईट बोर्ड).

-टी

प्रत्येक डंप ओळीवर टाइमस्टॅम्प मुद्रित करू नका .

-टीटी

प्रत्येक डंप लाइनवर एक नूतनीकृत टाइमस्टॅम्प मुद्रित करा.

-यू

रूट विशेषाधिकार वगळते आणि वापरकर्त्याच्या प्राथमिक गटात उपयोजक आणि गट आयडी वापरकर्ता आयडीमध्ये बदल करतो.

टीप! Red Hat Linux आपोआप विशेषाधिकार वापरकर्ता `` पीकेपी '' खाली आणते जर अन्य काही निर्दिष्ट नाही

-टीटीटी

प्रत्येक डंप ओळीवर चालू आणि मागील ओळीदरम्यान डेल्टा (सूक्ष्म-सेकंदांमध्ये) प्रिंट करा.

-tttt

प्रत्येक डंप ओळीवर तारखेनुसार पुढे केलेली डीफॉल्ट स्वरुपात टाइमस्टॅम्प मुद्रित करा.

-उ

अनिर्णित NFS हाताळणी मुद्रित करा

-वी

(किंचित जास्त) क्रियापद आउटपुट. उदाहरणार्थ, राहण्याची वेळ, ओळख, एकूण लांबी आणि आयपी पॅकेटमधील पर्याय छापलेले असतात. तसेच अतिरिक्त पॅकेट एकाग्रता तपासणी सक्षम करते जसे की IP आणि ICMP हेडर चेकसमची तपासणी करणे.

-व्हीव्ही

आणखी प्रादेशिक उत्पादन. उदाहरणार्थ, अतिरिक्त फील्ड NFS उत्तर पॅकेटस् पासून छपाई केले जातात, व SMB पॅकेटस् पूर्णपणे डीकोड केले आहेत.

-व्हीव्हीव्ही

आणखी प्रादेशिक उत्पादन. उदाहरणार्थ, टेलनेट एसबी ... एसई पर्याय संपूर्ण मुद्रित आहेत. -एक्स टेलनेटसह हेक्समध्ये देखील प्रिंट केले जातात.

-उ

कच्चे पॅकेट लिहा आणि त्यास छपाईच्या ऐवजी फाइलवर लिहा. ते नंतर -r ऑब्जेक्टसह प्रिंट केले जाऊ शकतात. फाईल `` - '' असल्यास मानक आउटपुट वापरले जाते.

-x

हेक्समध्ये प्रत्येक पॅकेट (त्याचे दुवा स्तर शीर्षलेख) कमी करा. संपूर्ण पॅकेट किंवा स्नॅपलायन बाइट्सच्या छपाई छापली जाईल. लक्षात घ्या की हे संपूर्ण लिंक-स्तर पॅकेट आहे, त्यामुळे दुवा स्तरांसाठी पॅड (उदा. इथरनेट), पॅडिंग बाइट्स देखील प्रिंट होतील जेव्हा उच्च स्तर पॅकेट आवश्यक पॅडिंगपेक्षा लहान असेल.

-एक्स

हेक्स मुद्रण करताना, आसाची प्रिंट देखील करा त्यामुळे जर -x देखील सेट केले असेल, तर पैकेट हेक्स / आस्की मध्ये छापलेले आहे. नवीन प्रोटोकॉलचे विश्लेषण करण्यासाठी हे अतिशय सुलभ आहे. जरी -x देखील सेट केलेले नसले तरीही, काही पॅकेटचे काही भाग हेक्स / आस्कीमध्ये मुद्रित केले जाऊ शकतात.

अभिव्यक्ती

कोणते पॅकेट डंप केले जातील ते निवडा. जर कुठलेही अभिव्यक्ती दिले नाही, तर नेटवरील सर्व पॅकेट डंप होतील. अन्यथा, ज्या पॅकेजेससाठी केवळ 'सच्चे' शब्दप्रयोग आहेत ते डम्प केले जातील.

अभिव्यक्ती एक किंवा अधिक primitives समावेश Primitives मध्ये सामान्यत: एक किंवा अधिक क्वालिफायरच्या आधी एक आयडी (नाव किंवा नंबर) असतो. तीन वेगवेगळ्या प्रकारचे पात्र आहेत:

प्रकार

क्वालीफायर काय म्हणते ते आयडी नाव किंवा नंबर कशास सूचित करतो. संभाव्य प्रकार होस्ट , नेट आणि पोर्ट आहेत उदा, `होस्ट फू ',` नेट 128.3', `पोर्ट 20 '. एकही प्रकार क्लिफिअर नसल्यास, होस्ट मानला जातो.

dir

क्वालिफायर विशिष्ट निर्दिष्ट दिशा निर्देश आणि / किंवा आयडीवरून संभाव्य दिशानिर्देश स्त्रोत , डीएसटी , src किंवा डीएसटी आणि src आणि डीएसटी आहेत . उदा, `src foo ',` dst net 128.3', 'src किंवा dst पोर्ट ftp-data'. डीआयआर पात्रता नसल्यास, एससीसी किंवा डीएसटी मानले जाते. `नल 'लिंक स्तरांसाठी (उदा. स्लिप सारख्या बिंदू प्रोटोकॉलचा बिंदू) इनबाउंड आणि आउटबाउंड क्वालिफायरचा वापर अपेक्षित दिशानिर्देश निर्दिष्ट करण्यासाठी केला जाऊ शकतो.

प्रोटो

पात्रता सामन्यात एका विशिष्ट प्रोटोकॉलवर प्रतिबंध करतात. संभाव्य प्रोटो आहेत: इथर , एफडीडी , ट्र , आयपी , आईपी ​​6 , एआरपी , रारप , डेनेटनेट , टीसीपी आणि यूड . उदा, `ईथर सरोवर फू ',` एआरपी नेट 128.3', `टीसीपी पोर्ट 21 '. प्रोटो पात्रता नसल्यास सर्व प्रकारचे प्रोटोकॉल गृहित धरले जातात. उदा, `src foo 'म्हणजे` (ip किंवा arp किंवा rarp) src foo' (नंतरचे कायदेशीर सिंटॅक्स नाही), `नेट बार 'म्हणजे` (ip किंवा arp किंवा rarp) net bar' आणि `port 53 'म्हणजे `(टीसीपी किंवा udp) पोर्ट 53 '

[`fddi 'प्रत्यक्षात` ईथर' साठी उपनाव आहे; पारदर्शक त्यांना सारखेच अर्थाने हाताळतो जसे "निर्दिष्ट नेटवर्क इंटरफेसवर वापरलेले डेटा लिंक स्तर." एफडीडीआय शीर्षकेमध्ये इथरनेट सारखी स्रोत आणि गंतव्य पत्ते असतात, आणि बर्याचदा इथरनेट सारखी पॅकेट प्रकार असतात, त्यामुळे आपण या FDDI फील्डवर फिल्टर करू शकता फक्त सारख्या इथरनेट शेतात म्हणून. FDDI शीर्षलेखांमध्ये इतर क्षेत्र देखील असतात, परंतु आपण फिल्टर अभिव्यक्तीमध्ये स्पष्टपणे नाव देऊ शकत नाही.

त्याचप्रमाणे `tr 'हे` एथर' साठी उपनाव आहे; एफडीडीआय हेडर्सबद्दलच्या मागील परिच्छेदाच्या स्टेटमेंट्स टोकन रिंग हेडर्सना देखील लागू होतात.]

उपरोक्त व्यतिरिक्त, काही विशेष 'मूळमितीय' कीवर्ड आहेत जे नमुन्याचे पालन करीत नाहीत: गेटवे , प्रसारण , कमी , मोठे आणि अंकगणित अभिव्यक्ती. या सर्व गोष्टी खाली वर्णन केल्या आहेत.

अधिक कॉम्प्लेक्स फिल्टर समीकरणे शब्द वापरुन तयार केली जातात, आणि आणि आधीपासूनच जोडण्यासाठी नाही . उदाहरणार्थ, `होस्ट फू आणि पोर्ट नाही पोर्ट आणि नाही पोर्ट एफटीपी-डेटा '. टाइपिंग जतन करण्यासाठी, समान पात्रता सूची वगळल्या जाऊ शकतात. उदाहरणार्थ, `टीसीपी डीएसटी पोर्ट एफटीपी किंवा एफटीपी-डेटा किंवा डोमेन 'हे` टीसीपी डीएसटी पोर्ट एफटीपी किंवा टीसीपी डीएसटी पोर्ट एफटीपी-डेटा किंवा टीसीपी डीएसटी पोर्ट डोमेन' सारखाच आहे.

स्वीकार्य प्रथावादी आहेत:

डीएसटी होस्ट होस्ट

पॅकेटचे IPv4 / v6 गंतव्य क्षेत्र यजमान असल्यास , ते एकतर पत्ता किंवा नाव असू शकतात.

स्त्रोत होस्ट होस्ट

खरे असल्यास पॅकेटचे IPv4 / v6 स्रोत फील्ड होस्ट आहे .

होस्ट होस्ट

खरे असल्यास पॅकेटचे IPv4 / v6 स्रोत किंवा गंतव्य होस्ट आहे . उपरोक्त यजमान अभिव्यक्तिंचे कोणतेही कीवर्ड, ip , arp , rarp , किंवा ip6 यांमध्ये पुढीलप्रमाणे असू शकते:

ip होस्ट होस्ट

जे समान आहे:

ईथर प्रोटोटो \ ip आणि होस्ट होस्ट

यजमान एकाधिक IP पत्त्यांसह एक नाव असल्यास, प्रत्येक पत्त्यातील जुळणीसाठी तपासले जाईल

ईथर डीएसटी अहोस्ट

ईथरनेट गंतव्य पत्ता अहो असल्यास खरे आहे Ehost एकतर / etc / ethers किंवा संख्यातून एक नाव असू शकते (अंकीय स्वरूपासाठी ethers (3N) पहा).

ether sqa ehost

ईथरनेट स्रोत पत्ता अहो असल्यास खरे.

इथर होस्ट एहोस्ट

ईथरनेट स्रोत किंवा गंतव्य पत्ता अहो नसल्यास सत्य आहे

गेटवे होस्ट

पॅकेटने गेटवे म्हणून होस्टचा वापर केला तर खरे. इरे, ईथरनेट स्रोत किंवा गंतव्य पत्ता होस्ट होते परंतु आयपी स्रोत किंवा आयपी गंतव्य आयोजीत नाही . होस्ट एक नाव असणे आवश्यक आहे आणि मशीनचे होस्ट-नेम-टू-आयपी-एड्रेस रेजॉल्यूशन यंत्रणा (होस्ट नेम फाइल, DNS, एनआयएस, इत्यादी) आणि मशीनच्या होस्ट-नेम-टू-इथरनेट-अॅड्रेस रिजोल्यूशन यंत्रणा (/ etc / ethers, इत्यादी) (समतुल्य अभिव्यक्ती आहे

ईथर होस्ट एहोस्ट आणि होस्ट होस्ट नाही

जे होस्ट / एहोस्टसाठी नावे किंवा नंबरसह वापरले जाऊ शकते.) या सिंटॅक्स या क्षणी IPv6-सक्षम कॉन्फिगरेशनमध्ये कार्य करत नाही.

डीएसटी नेट नेट

पॅकेटच्या IPv4 / v6 च्या गंतव्य पत्त्यात नेटचा नेटवर्क नंबर असल्यास सत्य. नेट एकतर / etc / नेटवर्क्स किंवा नेटवर्क क्रमांकावरून एक नाव असू शकते (तपशीलांसाठी नेटवर्क (4) पहा).

src नेट नेट

पॅकेटच्या IPv4 / v6 स्रोत पत्त्यावर नेटचा नेटवर्क नंबर असल्यास सत्य.

निव्वळ जाल

खरे असल्यास पॅकेटच्या IPv4 / v6 स्रोत किंवा गंतव्य पत्त्यामध्ये नेटची एक नेटवर्क क्रमांक आहे.

नेट नेट मास्क नेटमास्क

IP पत्ता विशिष्ट नेटमास्कसह नेटशी जुळल्यास सत्य. स्त्रोत किंवा डीएसटीसह योग्यता प्राप्त केली जाऊ शकते. लक्षात घ्या की हे वाक्यरचना IPv6 नेटसाठी वैध नाही.

नेट निव्वळ / लेन

खरे असल्यास IPv4 / v6 पत्ता नेटमास्क लेन बिट रुंद सह नेटशी जुळतो. स्त्रोत किंवा डीएसटीसह योग्यता प्राप्त केली जाऊ शकते.

dst पोर्ट पोर्ट

पॅकेट ip / tcp, ip / udp, ip6 / tcp किंवा ip6 / udp असल्यास आणि पोर्टकडे गंतव्य पोर्ट मूल्य असल्यास हे खरे आहे. पोर्ट / etc / सेवांमध्ये वापरलेले एक संख्या किंवा नाव असू शकते (टीसीपी (4 पी) आणि udp (4 पी) पहा). नाव वापरले असल्यास, पोर्ट नंबर आणि प्रोटोकॉल दोन्ही तपासले आहे. नंबर किंवा अस्पष्ट नाव वापरले असल्यास, फक्त पोर्ट नंबर तपासला जातो (उदा., डीएसटी पोर्ट 513 टीसीपी / लॉगिन ट्रॅफिक आणि udp / जो ट्रॅफिक प्रिंट करेल, आणि पोर्ट डोमेन दोन्ही टीसीपी / डोमेन आणि udp / domain ट्रॅफिक प्रिंट करेल).

src पोर्ट पोर्ट

पॅकेटमध्ये पोर्टचे स्रोत पोर्ट मूल्य असल्यास खरे.

पोर्ट बंदर

हे खरे आहे की पॅकेटचा स्रोत किंवा गंतव्यस्थान पोर्ट पोर्ट आहे वरीलपैकी कोणतेही पोर्ट स्पेशेशन्स कीवर्ड, टीसीपी किंवा udp याप्रमाणे पूर्वनिश्चित केले जाऊ शकतात:

tcp src पोर्ट पोर्ट

जे tcp पॅकेट्सशी जुळले आहे ज्यांचे पोर्ट पोर्ट पोर्ट आहे

कमी लांबी

पॅकेटमध्ये लांबीची लांबी त्यापेक्षा कमी किंवा समांतर असली तर खरे. हे यासारखे आहे:

लेन <= लांबी

जास्त लांबी

पॅकेटमध्ये लांबीची लांबी किंवा त्यापेक्षा जास्त लांबी असली तर खरे. हे यासारखे आहे:

लॅन> = लांबी

ip प्रोटोटो प्रोटोकॉल

पॅकेट प्रोटोकॉल प्रकार प्रोटोकॉलचा IP पॅकेट ( ip (4P) पहा) खरे असल्यास. प्रोटोकॉल क्रमांक किंवा icmp , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , किंवा tcp असे एक नाव असू शकते. लक्षात घ्या की टीसीपी , udp , आणि icmp ओळखणारे शब्ददेखील आहेत आणि ते बॅकस्लॅश (\) द्वारे बचावले पाहिजे, जे \\ सी-शेलमध्ये आहे लक्षात घ्या की हे जुने प्रोटोकॉल हेडर साखळीचा पाठलाग करत नाही.

ip6 प्रोटो प्रोटोकॉल

पॅकेट प्रोटोकॉल प्रकार प्रोटोकॉलचे IPv6 पॅकेट असल्यास सत्य आहे. लक्षात घ्या की हे जुने प्रोटोकॉल हेडर साखळीचा पाठलाग करत नाही.

ip6 प्रोटोकॅन प्रोटोकॉल

पॅकेट IPv6 पॅकेट असल्यास सत्य आहे, आणि प्रोटोकॉल शीर्षलेख साखळीमध्ये प्रकार प्रोटोकॉलसह प्रोटोकॉल हेडर समाविष्ट करते. उदाहरणार्थ,

ip6 प्रोटोकॅन 6

प्रोटोकॉल शीर्षलेख साखळीमध्ये TCP प्रोटोकॉल हेडरसह कोणत्याही IPv6 पॅकेटशी जुळते. पॅकेटमध्ये उदाहरणार्थ, IPv6 शीर्षलेख आणि TCP हेडर दरम्यान, प्रमाणीकरण शीर्षलेख, रूटिंग शीर्षलेख, किंवा हॉप-बाय-हॉप पर्याय शीर्षलेख असू शकतात. या प्राचीन द्वारा उत्सर्जित केलेली बीपीएफ कोड जटिल आहे आणि बीपीएफ ऑप्टिमायझर कोडद्वारे तिचा अनुकुल करता येणार नाही, त्यामुळे हे काहीसे धीमे असू शकते.

आयपी प्रोटोकॅन प्रोटोकॉल

IP6 प्रोटोकॅन प्रोटोकॉल समकक्ष, परंतु हे IPv4 साठी आहे.

ईथर प्रसारण

पॅकेट इथरनेट प्रसारण पॅकेट असल्याबाबत खरे आहे. ईथर कीवर्ड वैकल्पिक आहे.

IP प्रसारण

पॅकेट IP प्रसारण पॅकेट असल्यासारखे खरे आहे. हे सर्व-झिरो आणि सर्व-प्रसारित प्रसारित अधिवेशनांसाठी तपासते आणि स्थानिक सबनेट मास्क शोधते.

ईथर मल्टिकास्ट

हे पॅकेट एक इथरनेट मल्टीकास्ट पॅकेट असल्याबाबत खरे आहे. ईथर कीवर्ड वैकल्पिक आहे. हे ` ईथर [0] & 1! = 0 'साठी लघुलिपी आहे.

ip मल्टिकास्ट

पॅकेट IP मल्टीकास्ट पॅकेट असल्यास सत्य आहे.

ip6 मल्टिकास्ट

पॅकेट IPv6 मल्टिकास्ट पॅकेट असल्यास सत्य आहे.

ईथर प्रोटोटो प्रोटोकॉल

पॅकेट हे ईथर टाइप प्रोटोकॉलचे खरे असल्यास. प्रोटोकॉल क्रमांक किंवा ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , किंवा netbeui नावाचे एक असू शकते . लक्षात ठेवा ही अभिज्ञापक देखील कीवर्ड आहेत आणि बॅकस्लॅश (\) द्वारे सुटलेले असणे आवश्यक आहे.

[त्यातील बहुतांश प्रोटोकॉलसाठी एफडीडीआय (उदा. ` एफडीडीए प्रोटोकॉल आर्क ') आणि टोकन रिंग ( उदा.` ट्र प्रोटोकॉल आर्क ') या बाबतीत, प्रोटोकॉल ओळख 802.2 लॉजिकल लिंक कंट्रोल (एलएलसी) हेडरमधून येते, जे सामान्यत: FDDI किंवा टोकन रिंग हेडरच्या शीर्षस्थानी आहे

एफडीडीआय किंवा टोकन रिंगवरील बहुतेक प्रोटोकॉल ओळखपट्टीसाठी फिल्टर करताना, tcpdump 0x000000 च्या संगठनात्मक युनिट आइडिटिफायर (OUI) सह एनपाइझ्ड इथरनेट साठी, तर म्हणतात SNAP स्वरूपातील एलएलसी शीर्षलेखातील फक्त प्रोटोकॉल ID फील्ड तपासते; 0x000000 च्या OUI सह हे पॅकेट एसएनएपी स्वरूपात आहे किंवा नाही हे तपासत नाही.

अपवाद आइसो आहेत , ज्यासाठी ते डीएलएपी (डेस्टिनेशन सर्व्हिस ऍक्सेस पॉईंट) आणि एसएलएपी (एसएसएपी) ( एसएसपीएल ) हेडर, स्टप आणि नेटबेइच्या शेताची तपासणी करत आहे, जेथे ते एलएलसी हेडरचे डीएसएपी तपासतात , आणि परानासाठी 0x080007 चे एक OUI आणि Appletalk etype सह SNAP- स्वरुप पॅकेटची तपासणी करते.

इथरनेटच्या बाबतीत, त्या प्रोटोकॉलसाठी tcpdump इथरनेट प्रकार क्षेत्र तपासते; हे अपवाद आहेत आइसो , एसएपी , आणि नेटबेइ , ज्यासाठी ते 802.3 फ्रेम तपासते आणि नंतर एफडीडीआय आणि टोकन रिंग, एटाक साठी एलएलसी हेडरची तपासणी करते, जेथे ते ईथरनेट फ्रेममध्ये ऍपलटॉक एटाइपसाठी आणि दोन्हीसाठी तपासते स्नॅप-फॉर्मेट पॅकेट एफडीडीआय आणि टोकन रिंग, अॅारपसाठी करत आहे , जेथे ते ईथरनेट फ्रेमवर किंवा 0x000000 च्या ओयूआयमध्ये 802.2 एसएपीएपी फ्रेम आणि ऍप्लिकेट एआरपी एटीप साठी तपासते, आणि आयपॅक , जेथे ते आयपीएक्स एटीईप साठी तपासते इथरनेट फ्रेम, एलएलसी हेडरमधील आयपीएक्स डीएसएपी, 802.3 आयपीएक्सचे एलएलसी हेडर्स नाही आणि एसएनएपी फ्रेममध्ये आयपीएक्स एटिपी).]

decnet शॉर्ट होस्ट

DECNET स्रोत पत्ता होस्ट असल्याची खात्री असली तर ती `` 10.123 '' किंवा 'डीसीनेट होस्ट नेम' चा पत्ता असू शकते. [DECNET होस्ट नेम सपोर्ट डिफॉन्स चालवण्यासाठी कॉन्फिगर केलेल्या ऑट्रिक्स सिस्टीमवर उपलब्ध आहे.]

डिनेटनेट डीएसटी होस्ट

DECNET गंतव्य पत्ता होस्ट असेल तर खरे.

डिस्नेट होस्ट होस्ट

DECNET स्रोत किंवा गंतव्य पत्ता होस्ट असेल तर खरे.

आईपी , आईपी ​​6 , एआरपी , रारप , एटॉक , एएआरपी , डेनेटनेट , आईएसओ , एसटीपी , आईपीएक्स , नेटबीई

यासाठी संकेताक्षर:

ईथर प्रोटोटो पी

जेथे p वरील प्रोटोकॉलपैकी एक आहे.

lat , moprc , mopdl

यासाठी संकेताक्षर:

ईथर प्रोटोटो पी

जेथे p वरील प्रोटोकॉलपैकी एक आहे. लक्षात ठेवा tcpdump सध्या हे प्रोटोकॉल कसे विश्लेषित करायचे हे ओळखत नाही.

vlan [vlan_id]

पॅकेट IEEE 802.1Q VLAN पॅकेट असल्याबाबत खरे आहे. [Vlan_id] निर्देशीत केल्यास, फक्त खरे पॅकेटमध्ये vlan_id निर्दिष्ट केले आहे . लक्षात घ्या की अभिव्यक्तीमध्ये पहिले vlan कीवर्ड ज्यामुळे पॅकेट एक व्हीएलएएन पॅकेट आहे असा अभिव्यक्तीवर उर्वरित उर्वरित भागांसाठी डीकोडिंग ऑफसेट बदलला आहे.

tcp , udp , icmp

यासाठी संकेताक्षर:

ip आर्ट् पी किंवा आईपी 6 प्रोटो पी

जेथे p वरील प्रोटोकॉलपैकी एक आहे.

आयो प्रोटोटो प्रोटोकॉल

पॅकेट प्रोटोकॉल प्रकार प्रोटोकॉलचे OSI पॅकेट असल्यास सत्य आहे. प्रोटोकॉल संख्या किंवा एक नाव clnp , esis , किंवा isis असू शकते.

clnp , esis , isis

यासाठी संकेताक्षर:

आयसो प्रोटोटो पी

जेथे p वरील प्रोटोकॉलपैकी एक आहे. लक्षात ठेवा tcpdump हे प्रोटोकॉल पार्स करण्याच्या अपूर्ण कार्य करते.

expr relop expr

रिचार्ज म्हणजे रिलायप एक असेल तर, <,> =, <=, =,! =, आणि expr एक अंकगणितीय अभिव्यक्ती आहे जी पूर्णांक स्थिरांक (मानक सी वाक्यरचना मध्ये व्यक्त केलेली) आहे, सामान्य बायनरी ऑपरेटर्स [ , -, *, /, आणि, |], एक लांबी ऑपरेटर आणि विशेष पॅकेट डेटा एक्सेसर्स पॅकेटमधील डेटा ऍक्सेस करण्यासाठी, खालील सिंटॅक्स वापरा:

प्रोटो [ एक्सस्प : आकार ]

प्रोटो हा ईथर, एफडीडी, ट्र, पीपीपी, स्लिप, लिंक, आयपी, एआरपी, रारप, टीसीपी, यूडपी, आईसीएमपी किंवा आयपी 6 मधील एक आहे आणि निर्देशांक ऑपरेशनसाठी प्रोटोकॉलचा स्तर दर्शवितो. ( इथर, एफडीडीए, ट्र, पीपीपी, स्लीप आणि लिंक लिंक थ्रीला पहा.) लक्षात घ्या की टीसीपी, यूडपी आणि इतर अपर-लेव्हल प्रोटोकॉलचे प्रकार केवळ आयपीव्ही 4 वर लागू होतात, IPv6 नाही (हे भविष्यात निश्चित केले जातील). दर्शवलेले प्रोटोकॉल थरच्या तुलनेत बाइट ऑफसेट, एक्सप्र द्वारे दिले जाते. आकार पर्यायी आहे आणि व्याज क्षेत्रात बाइटची संख्या दर्शविते; तो एकतर एक, दोन किंवा चार असू शकतो, आणि एखाद्यास डीफॉल्ट असू शकते. लॅन ऑपरेटरने, कीवर्ड लाईनद्वारे दर्शविलेले पॅकेटची लांबी दर्शविते.

उदाहरणार्थ, ` ईथर [0] & 1! = 0 'सर्व मल्टिकास्ट ट्राफिक पसरवते. अभिव्यक्ति ' ip [0] & 0xf! = 5 ' पर्यायांसह सर्व आयपी पॅकेट कॅच करतो. ' आईपी ​​[6: 2] आणि 0x1fff = 0 ' हे शब्द फक्त अपग्रेडेड डेटाग्राम आणि फ्रॅगमेंटेड डेटाग्रामचे शून्य गुण घेतात. ही चेक प्रामुख्याने टीसीपी आणि udp निर्देशांक ऑपरेशन्सवर लागू आहे. उदाहरणार्थ, टीसीपी [0] चा अर्थ नेहमी टीसीपी हेडरचा पहिला बाईट असा असतो आणि याचा अर्थ कधीच एका मध्यभागी असलेल्या तुकडयाचा पहिला बाईट नाही.

काही ऑफसेट आणि फील्ड मूल्यांना संख्यात्मक मूल्यांऐवजी नाम म्हणून व्यक्त केले जाऊ शकते. खालील प्रोटोकॉल हेडर फील्ड ऑफसेट उपलब्ध आहेत: icmptype (ICMP प्रकार फील्ड), icmpcode (ICMP कोड फील्ड), आणि टीसीपी फ्लॅग (टीसीपी ध्वज क्षेत्र).

खालील ICMP प्रकारचे क्षेत्र मूल्ये उपलब्ध आहेत: icmp-echoreply , icmp-unreach , icmp-sourcequench , icmp- पुनर्निर्देशन , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .

खालील टीसीपी झेंडे फिल्डचे मूल्य उपलब्ध आहेत: टीसीपी -फिन , टीसीपी -सिंक , टीसीपी-आरएसटी , टीसीपी -पुश , टीसीपी -पुश , टीसीपी -एके , टीसीपी-जर्सी .

Primitives वापरून एकत्र केले जाऊ शकते:

प्राइमिटिट्स आणि ऑपरेटरचे कंस बंद गट (कंस असलेले शेल शस्त्रांसाठी खास आहेत आणि त्यांचा बचाव होणे आवश्यक आहे).

नग्नावेशन (` ! 'किंवा` नाही ').

Concatenation (` && 'किंवा` आणि ')

पर्याय (` . ' किंवा` किंवा` )

निगेटिव्हकडे सर्वोच्च प्राधान्य आहे पर्यायी आणि जुळवणीचे समान प्राधान्य आहे आणि सहयोगी डावीकडून उजवीकडे लक्षात घ्या की स्पष्ट आणि टोकन्स, जुळविण्याशी संबंध नसणे, आता समाकलनासाठी आवश्यक आहे.

एखाद्या अभिज्ञापकाविरूद्ध कीवर्ड न दिलेल्यास, सर्वात अलीकडील कीवर्ड गृहीत धरले जाते. उदाहरणार्थ,

यजमान बनाम व निपुण

यासाठी लहान आहे

यजमान बनाम आणि यजमानांचे नाही

ज्याला गोंधळ करू नये

नाही (होस्ट व्हा किंवा एसे)

एक्सप्रेशन आर्ग्युमेंटस tcpdump ला एकतर एकच आर्ग्युमेंट म्हणून किंवा एकापेक्षा जास्त आर्ग्युमेंटस म्हणून पुरवले जाऊ शकतात, जे अधिक सुलभ असेल ते. सामान्यतया, जर अभिव्यक्तीमध्ये शेल मेटाचार्यक्टर्स समाविष्ट असतील तर ते एक एकल, उद्धृत वितर्क म्हणून पारित करणे सोपे आहे. विश्लेषित होण्यापूर्वी एकाधिक वितर्क रिक्त स्थानांसह एकत्रित केले जातात.

उदाहरणे

सूर्यप्रकाशापासून आगमन किंवा निर्गमन सर्व पॅकेट्स मुद्रित करण्यासाठी:

tcpdump होस्ट सूरँडडाउन

हेलिओस् आणि हॉट किंवा अॅसेज दरम्यान रहदारी मुद्रित करण्यासाठी:

tcpdump होस्ट होलियोज आणि \ (हॉट किंवा ऍसे)

सर्व आयपी पॅकेट्सला हेलिवासव्यतिरिक्त प्रत्येक एसी आणि होस्ट दरम्यान मुद्रित करण्यासाठी:

tcpdump ip host ace आणि helios नाही

बर्कले येथे स्थानिक होस्ट आणि यजमानांमधील सर्व रहदारी मुद्रित करण्यासाठी:

tcpdump net ucb-ether

इंटरनेट गेटवे स्नूपद्वारे सर्व एफटीपी ट्रॅफिक मुद्रित करण्यासाठी: (लक्षात घ्या की अभिव्यक्तीने शेलला ( चुकीचे) पॅरॅथीसची व्याख्या करणे टाळण्यासाठी उद्धृत केले आहे):

tcpdump 'गेटवे स्नूप आणि (पोर्ट एफटीपी किंवा एफटीपी-डेटा)'

स्थानिक होस्टसाठी न मिळालेली किंवा न वापरलेली रहदारी मुद्रित करण्यासाठी (जर तुम्ही इतर नेटवर गेटवे देत असाल, तर हे सामान आपल्या स्थानिक नेटवर कधीही येऊ नये).

tcpdump ip आणि नाही नेट लोकनेट

प्रत्येक TCP संभाषणाच्या सुरवातीस आणि समाप्ती पॅकेट्स (SYN आणि FIN पॅकेट्स) मुद्रित करण्यासाठी ज्यामध्ये गैर-स्थानिक होस्ट समाविष्ट आहे.

tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fin)! = 0 आणि src आणि dst net localnet नाही '

गेटवे स्नूपद्वारे पाठवलेल्या 576 बाईटपेक्षा आयपी पॅकेट्स मुद्रित करण्यासाठी:

tcpdump 'गेटवे स्नूप आणि आयपी [2: 2]> 576'

IP ब्रॉडकास्ट किंवा मल्टिकास्ट पॅकेट्स मुद्रित करण्यासाठी जे इथरनेट ब्रॉडकास्ट किंवा मल्टिकास्टद्वारे पाठवले गेले नाहीत :

tcpdump 'इथर [0] & 1 = 0 आणि ip [16]> = 224'

सर्व ICMP पॅकेट्स प्रिंट करण्यासाठी जे विनंत्या / उत्तरांना प्रतिध्वनी देत ​​नाही (म्हणजेच, पिंग पॅकेट नाही):

tcpdump 'icmp [icmptype]! = icmp-echo आणि icmp [icmptype]! = icmp-echoreply'

अंतिम स्वरूप

Tcpdump चे आऊटपुट प्रोटोकॉलवर अवलंबून आहे. खालीलपैकी बहुतांश स्वरुपनांचे संक्षिप्त वर्णन आणि उदाहरणे आहेत.

दुवा स्तर शीर्षलेख

जर '-e' पर्याय दिला असेल, तर लिंक पातळी शीर्षलेख छापले जातील. इथरनेटवर, स्रोत आणि गंतव्य पत्ते, प्रोटोकॉल आणि पॅकेटची लांबी छापली जाते.

FDDI नेटवर्कवर, '-e' पर्याय tcpdump ला `फ्रेम नियंत्रण 'फील्ड, स्रोत आणि गंतव्य पत्ते, आणि पॅकेट लांबी मुद्रित करण्यास कारणीभूत असतो. ('फ्रेम कंट्रोल' फील्ड उर्वरित पॅकेटचे अर्थ सांगते.साधारण पॅकेजेस (जसे की आयपी डाटागर्म असलेली) `एसिन्क 'पॅकेट्स आहेत, जे प्राधान्य मूल्य 0 आणि 7 दरम्यान आहेत; उदाहरणार्थ,` async4 '. पॅकेट्सना 802.2 लॉजिकल लिंक कंट्रोल (एलएलसी) पॅकेट असे गृहीत धरले जाते; एलएलसी हेडर जर आयएसओ डाटाग्राम किंवा तथाकथित एसएनएपी पॅकेट नसले तर

टोकन रिंग नेटवर्क्सवर, '-e' पर्याय tcpdump ला `ऍक्सेस कंट्रोल ' आणि` फ्रेम कंट्रोल' फील्ड, स्रोत आणि डेस्टिनेशन पत्ते, आणि पॅकेट लांबी प्रिंट करण्यास कारणीभूत असतो. एफडीडीआय नेटवर्क प्रमाणे, पॅकेटमध्ये एलएलसी पॅकेट धारण केले जाते. जरी '-e' पर्याय निर्दिष्ट केला आहे किंवा नाही तरीही स्त्रोत-रूटीकेट पॅकेट्ससाठी स्त्रोत मार्ग माहिती मुद्रित केली आहे.

(NB: खालील वर्णन RFC-1144 मध्ये वर्णन केलेल्या SLIP कम्प्रेशन अल्गोरिदमसह परिचित करेल.)

एसएलआयपी लिंक्सवर, दिशानिर्देशक (इनबाउंडसाठी `` मी '', आउटबाउंडसाठी `` ओ), पॅकेट प्रकार आणि कॉम्प्रेशन माहिती मुद्रित केली जाते. पॅकेट प्रकार प्रथम मुद्रित केला आहे. तीन प्रकार आहेत ip , utcp , आणि ctcp . Ip पॅकेट्ससाठी पुढील दुवा माहिती मुद्रित केलेली नाही टीसीपी पॅकेट्ससाठी, कनेक्शन आइडेंटिफायर प्रकार खालील छापलेले आहे. पॅकेट संकुचित केल्यास, त्याचे एन्कोड केलेले शीर्षलेख छापलेले आहे. विशेष प्रकरणांमध्ये * S + n आणि * SA + n असे छापलेले आहे, जेथे n ही संख्या आहे ज्याद्वारे क्रम संख्या (किंवा अनुक्रमांक आणि अॉक्स) बदलली आहे. जर ते विशेष प्रकरण नसेल, तर शून्य किंवा त्याहून अधिक बदल मुद्रित केले जातात. एक बदल यू (त्वरित पॉइंटर), डब्ल्यू (विंडो), ए (एसीसी), एस (अनुक्रमांक) आणि मी (पॅकेट आयडी) द्वारे दर्शविला जातो, त्यानंतर डेल्टा (+ n किंवा -n), किंवा नवीन मूल्य (= एन). अखेरीस, पॅकेटमधील डेटाची संख्या आणि संकलित केलेली हेडर लांबी छापली जाते.

उदाहरणार्थ, खालील ओळ अप्रत्यक्ष कनेक्शन अभिज्ञापकासह आउटबाउंड कॉम्प्रेस्ड टीसीपी पॅकेट दाखवते; ack 6 ने बदलला आहे, क्रम संख्या 4 9, आणि पॅकेट आयडी 6; डेटाच्या 3 बाइट्स आणि संक्षिप्त बाणांच्या 6 बाइट्स आहेत:

ओ सीटीसीपी * ए 6 एस +49 आय + 6 3 (6)

एआरपी / आरएआरपी पॅकेट्स

Arp / rarp आउटपुटची विनंती आणि त्याच्या वितर्क प्रकार दर्शविते. स्वरूप स्वयं स्पष्टीकरणात्मक आहे होस्ट आरटीएसजीवरून सीएसएम होस्ट करण्यासाठी `rlogin 'च्या प्रारंभापासून घेतलेला एक लहान नमुना आहे:

आरपीजी एआरपी उत्तर सीएसएएम- सीएसएएम येथे ज्याला सीएसएम आहे असा अर्चर

पहिली ओळ म्हणते की आरटीएसजीने इंटरनेट होस्ट सीएसएएमच्या ईथरनेट पत्त्यासाठी एक अर्प पॅकेट पाठविले. Csam चे इथरनेट पत्त्यासह उत्तर (या उदाहरणात, इथरनेट पत्ते लोअर केसमध्ये कॅपिटल व इंटरनेट पत्ते आहेत).

आम्ही tcpdump -n केले तर हे कमी अनावश्यक दिसत असेल:

arp ज्याकडे 128.3.254.6 आहेत 128.3.254.68 arp उत्तर 128.3.254.6 आतील 02: 07: 01: 00: 01: c4

जर आम्ही टीसीपीडम्प-ई केले , तर पहिले पॅकेट प्रसारित केले गेले आणि दुसरे म्हणजे पॉइंट-टू-पॉईंट दिसेल:

आरटीएसजी ब्रॉडकास्ट 0806 64: एआरपी ज्याने आपल्यास आरटीएसजी माहिती दिली आहे सीएसएएम आरटीएसजी 0806 64: एआरपी उत्तर सीएसएएम सीएसएएम वर आहे

पहिल्या पॅकेटमध्ये असे म्हटले आहे की इथरनेट स्त्रोत पत्ता आरटीएसजी आहे, गंतव्य ईथरनेट ब्रॉडकास्टिंग पत्ते आहे, प्रकारचे क्षेत्र हेक्स 0806 (प्रकार ETHER_ARP) आहे आणि एकूण लांबी 64 बाइट्स होती.

टीसीपी पॅकेट्स

(NB: खालील वर्णन RFC-793 मध्ये वर्णन केलेल्या TCP प्रोटोकॉलची ओळख करून घेते. जर आपण प्रोटोकॉलसह परिचित नसल्यास, हे वर्णन किंवा टीसीपीडम्प आपल्यासाठी खूप उपयोग होणार नाही.)

एक tcp प्रोटोकॉल ओळचे सामान्य स्वरूप आहे:

src> डीएसटी: ध्वजांकने डेटा- seqno ack खिडकी तात्कालिक पर्याय

Src आणि dst स्रोत आणि गंतव्य IP पत्ते आणि पोर्ट आहेत. ध्वज एस (SYN), F (FIN), पी (पुश) किंवा आर (आरएसटी) किंवा एका सिंगल `` चे मिश्रण आहे. (ध्वज नाही) डेटा- seqno या पैकेटमधील डेटाद्वारे संरक्षित क्रम घटकाच्या भागाचे वर्णन करतो (खालील उदाहरणे पहा). Ack या कनेक्शनवर इतर दिशा अपेक्षित पुढील डेटा क्रम संख्या आहे. खिडकी प्राप्त बफर जागेच्या बाइटची संख्या आहे जी या जोडणीवर इतर दिशानिर्देश उपलब्ध आहे. Urg सूचित करते की पॅकेटमध्ये `अत्यावश्यक 'डेटा आहे पर्याय कोन ब्रॅकेट्समध्ये असलेल्या tcp पर्याय आहेत (उदा. ).

Src, dst आणि flags नेहमी उपस्थित असतात. इतर फील्ड पॅकेटच्या टीसीपी प्रोटोकॉल हेडरच्या सामग्रीवर अवलंबून आहेत आणि योग्य असल्यास फक्त आउटपुट आहेत.

येथे होस्ट rtsg पासून host csam करण्यासाठी rlogin चे उघडलेले भाग आहे.

rtsg.1023> csam.login: s 768512: 768512 (0) जिंकणे 4096 csam.login> rtsg.1023: एस 947648: 947648 (0) ack 768513 चा विजय 4096 rtsg.1023> csam लॉगिन:. ack 1 विजय 4096 rtsg.1023> csam.login: पी 1: 2 (1) एके 1 विजय 4096 csam.login> rtsg.1023:. ack 2 विजय 4096 rtsg.1023> csam.login: पी 2:21 (1 9) ऍके 1 विजय 4096 csam.login> rtsg.1023: पी 1: 2 (1) एके 21 विजय 4077 csam.login> rtsg.1023: पी 2: 3 (1) एके 21 जिंकणे 4077 कृपया 1 csam.login> rtsg.1023: पी 3: 4 (1) एके 21 जिंकणे 4077 कृपया 1

पहिली ओळ म्हणते की आरसीजीवर टीसीपी पोर्ट 1023 ने सीएसएमवर पोर्ट लॉगिनवर एक पॅकेट पाठविले. एस इंगित करते की SYN फ्लॅग सेट होता. पॅकेट अनुक्रमांची संख्या 768512 होती आणि त्यात डेटा समाविष्ट नव्हता (नमुना 'प्रथम: शेवटचा (nbytes)' म्हणजे 'क्रम संख्या प्रथम पर्यंत परंतु अंतिम डेटा वापरकर्त्याचे nbytes बाइट नसले तरीही '). येथे एकही सूअर व पाठीचा कणा नसलेला अॅक होता, उपलब्ध प्राप्त विंडो 40 9 6 बाइट्स होती आणि एक एमएसएसएस 1024 बाइट्सची विनंती करणारी एक कमाल-सेगमेंट-आकार पर्याय होता.

सीएसएएम एक समान पॅकेटसह उत्तर देते ज्यात त्यात rtsg च्या SYN साठी एक सूअरचा बाहेरील पाठीचा अ आरटीएसजी नंतर सीएसएएमची एसवायएन `. ' म्हणजे कोणतेही झेंडे सेट नाहीत. पॅकेटमध्ये कोणताही डेटा नाही त्यामुळे डेटा क्रम संख्या नाही. टीप की ack क्रम संख्या एक लहान पूर्णांक आहे (1). पहिल्यांदा जेव्हा टीसीपीडम्प एक टीसीपी `संभाषण 'पाहतो, तेव्हा ते पॅकेटमधील अनुक्रमांक छापते. संभाषणाच्या त्यानंतरच्या पॅकेटवर, वर्तमान पॅकेटच्या अनुक्रमांची संख्या आणि हे प्रारंभिक अनुक्रमांक छेदित आहे. याचा अर्थ असा की प्रथम क्रमांकानंतर संभाषण डेटा स्ट्रिममध्ये सापेक्ष बायेट पोझिशन्स म्हणून व्याख्या करता येते (पहिल्या डेटा बाइटला प्रत्येक दिशा '1' म्हणुन). `-S 'हे वैशिष्ट्य अधिलिखित करेल, ज्यामुळे मूळ अनुक्रमांची संख्या आउटपुट होते.

6 व्या ओळीवर, आरटीएसजी डेटाच्या 1 9 बाइट्समधून (बाइट 2 ते 20, आरटीएसजी -> संभाषणाच्या सीएसएम बाजू) पाठवितो. पुश ध्वज पॅकेटमध्ये सेट आहे 7 व्या ओळीत, सीएसएएमने असे म्हटले आहे की rtsg द्वारे पाठवलेला डेटा प्राप्त झाला आहे परंतु बाइट 21 चा समावेश नाही. सीएसएम च्या प्राप्त केलेल्या खिडकीत 1 9 बाइट लहान मिळाले असल्यामुळे हा डेटा बहुधा सॉकेट बफरमध्ये बसलेला आहे. Csam या पॅकेटमध्ये rtsg ला एक बाइट डेटा देखील पाठवितो. 8 व्या आणि 9 व्या ओळींवर, सीएसएम अत्यावश्यक दोन बाइट्स पाठवते, ढकलले डेटा rtsg ला.

जर स्नॅपशॉट इतका लहान असेल की टीसीपीडम्पने संपूर्ण टीसीपी हेडर हस्तगत केले नाही, तर हे तेवढ्याच मथळ्यांप्रमाणे अनुवादित करते आणि नंतर `` [[| tcp ] '' उर्वरित व्याख्या करणे शक्य नाही हे दर्शविण्याकरीता जर शीर्षकात एक बोगस पर्याय असेल (एक जो खूप लहान असेल किंवा शीर्षकाच्या शेवटी असेल तर) tcpdump त्याची `` [ खराब निवड ] '' म्हणून घोषित करतो आणि पुढील पर्यायाची व्याख्या करीत नाही (कारण हे सांगणे अशक्य आहे जिथे ते सुरू करतात). जर हेडरची लांबी पर्याय दर्शवितात दर्शवितात परंतु प्रत्यक्षात तेथे उपलब्ध असलेल्या पर्यायांसाठी आयपी डेटाগ্রাম लांबी इतका लांब पुरेशी नसल्यास, टीसीपीडम्पने ती `` [ वाईट एचडीआर लांबी ] '' म्हणून नोंदविली आहे .

विशिष्ट फ्लॅग जोड्या (SYN-ACK, URG-ACK, इत्यादि) सह TCP पॅकेट कॅप्चर करणे

टीसीपी हेडरच्या कंट्रोल बिट्स विभागात 8 बिट्स आहेत:

सीडब्ल्यूआर | ईसीई | यूआरजी | ACK | पीएसएच | आरएसटी | SYN | FIN

चला गृहीत धरा की आम्ही एक टीसीपी कनेक्शन स्थापन करण्यासाठी वापरले जाणारे पॅकेट्स पाहू इच्छित आहोत. स्मरण करा की जेव्हा नवीन जोडणी सुरू होते तेव्हा TCP 3-मार्ग हँडशेक प्रोटोकॉल वापरते; टीसीपी कंट्रोल बिट्स संबंधित कनेक्शन क्रम आहे

1) कॉलर SYN पाठवितो

2) प्राप्तकर्ता SYN, ACK सह प्रतिसाद देतो

3) कॉलर एसीके पाठवते

आता आम्हाला फक्त पॅकेज संकलित करण्यास स्वारस्य आहे ज्यात केवळ SYN बीट संच आहे (पायरी 1). लक्षात घ्या की आम्हाला चरण 2 (SYN-ACK) पासून पॅकेट नको आहे, फक्त एक प्रारंभिक SYN. आपल्याला tcpdump साठी योग्य फिल्टर एक्सप्रेशन म्हणजे काय हवे आहे.

पर्यायाशिवाय TCP हेडलाची संरचना आठवा:

0 15 31 ----------------------------------------------- ------------------ | स्रोत पोर्ट | गंतव्य पोर्ट | -------------------------------------------------- --------------- | क्रम संख्या | -------------------------------------------------- --------------- | पोचपावती क्रमांक | -------------------------------------------------- --------------- | एचएल | आरएसव्हीडी | सी | ई | यू | ए | पी | आर | एस | एफ | खिडकी आकार | -------------------------------------------------- --------------- | टीसीपी चेकसम | त्वरित पॉइंटर | -------------------------------------------------- ---------------

एक पर्यायी TCP मथळ्यामध्ये 20 ऑक्टेसेट डेटा असतो, जोपर्यंत पर्याय उपलब्ध नसतात. ग्राफमधील पहिल्या ओळीमध्ये ऑक्टेट 0 - 3 आहे, दुसरी ओळ आक्टेट 4 - 7 इत्यादी दर्शविते.

0 बरोबर मोजण्यास सुरुवात करत आहे, संबंधित टीसीपी कंट्रोल बिट्स ऑक्टेट 13:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | एचएल | आरएसव्हीडी | सी | ई | यू | ए | पी | आर | एस | एफ | खिडकी आकार | ---------------- | --------------- | --------------- | - - --------------- | | 13 वी ऑक्टेट | | |

चला ओक्सेट नंबर वर जवळून दिसूया. 13:

| | | --------------- | | सी | ई | यू | ए | पी | आर | एस | एफ | | --------------- | | 7 5 3 0 |

ही अशी टीसीपी कंट्रोल बिट आहेत जी आम्हाला रूची आहे. आम्ही या ऑक्टेटमध्ये बिट्स क्रमांक 0 ते 7 वरुन उजवीकडून डावीकडे काढल्या आहेत, त्यामुळे पीएसएच बीट थोडी संख्या 3 आहे, तर यूआरजी बीट संख्या 5 आहे.

आठवत आहात की आम्हाला फक्त SYN सेटसह पॅकेट्स प्राप्त करण्याची इच्छा आहे. चला तर पहा की ऑक्टोपस 13 काय असेल तर टीसीपी डेटाग्राम आपल्या शीर्षलेखामध्ये SYN बीट सेटमध्ये येईल:

| सी | ई | यू | ए | पी | आर | एस | एफ | | --------------- | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

कंट्रोल बिट सेक्शन बघताना आपल्याला फक्त बीट नंबर 1 (SYN) सेट होतो.

असे समजू की ऑक्टेट नंबर 13 हे नेटवर्क बाइट क्रमानुसार 8-बिट स्वाक्षरीकृत पूर्णांक आहे, या octet ची बायनरी व्हॅल्यू आहे.

00000010

आणि त्याच्या दशांश प्रमाण आहे

7 6 5 4 3 2 1 0 0 * 2 + 2 * 2 + 2 * 2 + 0 * 2 + 2 * 2 + 2 * 2 + 1 * 2 + 2 * 2 = 2

आम्ही जवळजवळ पूर्ण केले आहे कारण आता आम्हाला माहित आहे की जर फक्त SYN सेट केला असेल तर, टीसीपी हेडरमध्ये 13 वी ऑक्टेट ची व्हॅल्यू, ज्यास नेटवर्क बाइट क्रमानुसार 8-बिट स्वाक्षरीकृत पूर्णांक म्हणून लावलेला अर्थ, तंतोतंत 2 असणे आवश्यक आहे.

या नातेसंबंध म्हणून व्यक्त केले जाऊ शकते

टीसीपी [13] == 2

आम्ही या अभिव्यक्तिचा वापर केवळ एसवायएन सेट केलेल्या पैकेट पाहण्यासाठी tcpdump साठी फिल्टर प्रमाणे करु शकतो:

tcpdump -i xl0 टीसीपी [13] == 2

अभिव्यक्ती म्हणते "एक टीसीपी डेटाग्रामच्या 13 व्या ऑक्टेटमध्ये दशांश मूल्य 2 आहे", जे आपल्याला नेमके हवे आहे

आता, असे गृहीत धरू या की आम्हाला एसवायएन पॅकेट्स घेणे आवश्यक आहे, परंतु ACK किंवा इतर कोणत्याही टीसीपी कंट्रोल बिट एकाच वेळी सेट केल्याचे आम्ही काळजीत नाही. आता आपण पाहू की ऑक्टोपस काय होते 13 जेव्हा एसटीएन-एसीके सेटसह एक टीसीपी डेटाग्राम येईल:

| सी | ई | यू | ए | पी | आर | एस | एफ | | --------------- | 0 0 0 0 0 0 0 0 | --------------- | 7 6 5 4 3 2 1 0 |

आता बीट 1 आणि 4 13 ओक्टॅटमध्ये सेट केले आहेत. Octet 13 चे बायनरी मूल्य आहे

00010010

जे दशांशमध्ये अनुवादित करते

7 6 5 4 3 2 1 0 0 * 2 + 2 * 2 + 2 * 2 + 1 * 2 + 2 * 2 + 2 * 2 + 1 * 2 + 2 * 2 = 18

आता आम्ही केवळ 'tcp [13] == 18' टीसीपीडम्प फिल्टर एक्सप्रेशनमध्ये वापरू शकत नाही, कारण ते फक्त त्या पॅकेट्सचाच सिलेक्ट करतील जे SYN-ACK सेट करतात, परंतु ते केवळ एसवायएन सेट नसतात लक्षात ठेवा की ACK किंवा SYN सेट केल्यावर कोणताही अन्य कंट्रोल बिट सेट केला जाईल याची आम्हाला काळजी नाही.

आमचे ध्येय साध्य करण्यासाठी, आम्ही तार्किकदृष्टया आणि ऑक्टाईट 13 ची बायनरी व्हॅल्यू असणे आवश्यक आहे जे एसवायएन बीट संरक्षित करण्यासाठी इतर काही मूल्यासह आम्हाला माहित आहे की आम्हाला कोणत्याही परिस्थितीत SYN सेट करायचे आहे, म्हणून आम्ही तात्त्विक आणि 13 वी ऑक्टेटमध्ये मूल्य SYN च्या बायनरी मूल्यासह करू:

00010010 SYN-ACK 00000010 SYN आणि 00000010 (आम्हाला SYN हवे आहे) आणि 00000010 (आम्ही SYN हवे) -------- -------- = 00000010 = 00000010

आपल्याला दिसेल की ACK किंवा दुसरे TCP कंट्रोल बीट सेट केले आहे की नाही हे आणि ऑपरेशन समान निकाल वितरीत करते. AND मूल्याच्या दशांश प्रस्तुततेसह तसेच या ऑपरेशनचे परिणाम 2 (बायनरी 00000010) आहे, म्हणून आम्हाला माहित आहे की SYN ने पॅकेट खालील संबंध सेट करण्यासाठी सत्य धारण करावेच लागतील:

((ऑक्टेट 13 ची किंमत) आणि (2)) == (2)

हे tcpdump फिल्टर अभिव्यक्तीकडे दर्शविते

tcpdump -i xl0 'tcp [13] आणि 2 == 2'

लक्षात ठेवा की शेल मधून AND ('आणि') विशेष अक्षर लपविण्यासाठी आपण अभिव्यक्तिमध्ये सिंगल कोट्स किंवा बॅकस्लॅश वापरणे आवश्यक आहे.

UDP पॅकेट्स

UDP स्वरूप हे रवा पॅकेट द्वारे स्पष्ट केले आहे:

actinide.who> ब्रॉडकास्ट .who: udp 84

हे असे म्हणत आहे की ज्या होस्टने होस्टने पोर्टवर होस्ट यट ब्रॉडकास्टवर उदप डेटाग्राम पाठविला होता, तो इंटरनेट ब्रॉडकास्ट पत्त्यावर होता. पॅकेटमध्ये वापरकर्ता डेटाच्या 84 बाइट्सचा समावेश होता.

काही UDP सेवा (स्त्रोत किंवा गंतव्य पोर्ट क्रमांक) पासून ओळखली जातात आणि उच्च पातळीवरील प्रोटोकॉल माहिती छापली जाते. विशेषतः, डोमेन नेम सर्व्हिस विनंत्या (आरएफसी -1034 / 1035) आणि सन आरपीसी कॉल (आरएफसी -1050) NFS

UDP नेम सर्व्हर विनंत्या

(NB: खालील वर्णन RFC-1035 मध्ये वर्णन केलेल्या डोमेन सेवा प्रोटोकॉलची ओळख करून घेतात. जर आपण प्रोटोकॉलसह परिचित नसल्यास खालील वर्णन ग्रीक भाषेत लिहीले जाईल.)

नाव सर्व्हर विनंत्या या स्वरूपात स्वरूपित केल्या जातात

src> डीएसटी: आयडी ऑप? झंड्यांचा qtype qclass नाव (len) h2opolo.1538> हॅलोios.डोमेन: 3+ ए? ucbvax.berkeley.edu. (37)

होस्ट h2opolo नावाच्या ucbvax.berkeley.edu नावाशी संबंधित अॅड्रेस रेकॉर्ड्ससाठी (qtype = A) हॅलोझ वरील डोमेन सर्व्हरला विचारले . क्वेरी आयडी `3 'होती. `+ 'हे सूचित करते की पुनरावृत्ती अपेक्षित ध्वज सेट होते. क्वेरी लांबी 37 बाइट होते, त्यात UDP आणि IP प्रोटोकॉल हेडर्स समाविष्ट नाही. क्वेरी ऑपरेशन सामान्य होते, क्वेरी , त्यामुळे ओप क्षेत्र वगळले होते. जर ऑप दुसरे काही असेल तर तो `3 'आणि` +' यांच्या दरम्यान मुद्रित केला गेला असता. त्याचप्रमाणे, क्क्लॅस सामान्य होता, C_IN आणि वगळला. 'अ' नंतर कोणत्याही अन्य qclass लगेच मुद्रित केले गेले असते

काही त्रुटी तपासल्या जातात आणि चौरस ब्रॅकेटमध्ये संलग्न अतिरिक्त फील्ड होऊ शकतात: जर एखाद्या प्रश्नात उत्तर, प्राधिकरण रेकॉर्ड किंवा अतिरिक्त रेकॉर्ड विभाग, ancount , nscount , किंवा arcount `[ n ए] 'म्हणून मुद्रित केले असेल तर` [ n ] ] 'किंवा `[एनएयू]' जेथे n ही योग्य संख्या आहे कोणताही प्रतिसाद बिट (एए, आरए किंवा आरकोड) सेट केला असल्यास किंवा 'शून्य असणे आवश्यक' पैकी कोणतेही बिट बाइट्स दोन आणि तीन मध्ये सेट केले असल्यास `[B2 & 3 = x ] 'मुद्रित केले आहे, जेथे x हे हेक्स मूल्य आहे शीर्षलेख बाइट्स दोन आणि तीन

UDP नाव सर्व्हर प्रतिसाद

नाव सर्व्हर प्रतिसाद हे या स्वरूपात स्वरूपित केले जातात

src> डीएसटी: आयडी ऑप रकॉड झेंडे ए / एन / एयू टाइप क्लास डेटा ( लेनन) होलीओसम.डोमेन> एच 2 ऑपोलो. 1538: 3 3/3/7 अ 128.32.137.3 (273) हॅलोयस.डोमेन> एच 2ओपीओओ 157: 2 एनएक्सडोमेन * 0/1/0 (97)

पहिल्या उदाहरणात, हॅलोओझ 3 उत्तर रेकॉर्ड, 3 नेम सर्व्हर रेकॉर्ड आणि 7 अतिरिक्त रेकॉर्डसह h2opolo कडून query id 3 ला प्रतिसाद देतो. प्रथम उत्तर रेकॉर्ड प्रकार आहे A (पत्ता) आणि त्याचा डेटा इंटरनेट पत्ता 128.32.137.3 आहे. प्रतिसादांचा एकूण आकार 273 बाइट्स होता, UDP आणि IP शीर्षलेख वगळता. ऑप (क्वेरी) आणि प्रतिसाद कोड (नोअर) वगळले गेले होते, जसे की रेकॉर्डच्या क्लास (C_IN) होते.

दुसऱ्या उदाहरणामध्ये, होलिओस उत्तर देण्यासाठी उत्तर न देणारा, एक नाव सर्व्हर आणि कोणताही अधिकृतता रेकॉर्ड नसलेल्या अस्तित्वाच्या डोमेन (एनएक्सडोमेन) च्या प्रतिसाद कोडसह क्वेरी 2 ला प्रतिसाद देत आहे. `* 'दर्शविते की अधिकृत उत्तर बिट सेट होते. एकही उत्तरे नव्हती असल्याने, प्रकार, वर्ग किंवा डेटा छापलेले नाहीत.

कदाचित दिसणारे अन्य ध्वज वर्ण `- '(रिकर्सन उपलब्ध, आरए, सेट केलेले नाही ) आणि` `' (तुकडे केलेला संदेश, टीसी, सेट). `प्रश्न 'विभागात तंतोतंत एक नोंद नसल्यास` [ n q]' छापलेले आहे.

लक्षात घ्या की नेम सर्व्हर विनंत्या आणि प्रतिसाद मोठे असतात आणि 68 बाइट्सचे डीफॉल्ट स्नॅपलाइन मुद्रित करण्यासाठी पुरेसा पॅकेट प्राप्त करू शकत नाहीत. आपल्याला नाव सर्व्हर रहदारीचे गंभीरपणे अन्वेषण करण्याची आवश्यकता असल्यास स्नॅपलाइन वाढवण्यासाठी -s ध्वज वापरा. `एस 128 'माझ्यासाठी चांगले काम केले आहे.

SMB / CIFS डीकोडिंग

tcpdump मध्ये आता UDP / 137, UDP / 138 आणि TCP / 13 9 वरील माहितीसाठी बर्यापैकी विस्तृत SMB / CIFS / NBT डीकोडिंगचा समावेश आहे. IPX आणि NetBEUI SMB डेटाचे काही प्राचीन डीकोडिंग देखील झाले आहे.

डिफॉल्टनुसार बर्याच तपशीलवार डीकोड केल्या असल्यास बर्याच प्रमाणात कमी डीकोड केले जाते, जर -व्ही वापरले तर. अशी चेतावणी द्या की -व्हा एकल SMB पॅकेटसह एक पृष्ठ किंवा अधिक लागू शकतात, म्हणून केवळ -v जर आपल्याला खरोखर सर्व भ्रामक तपशील पाहिजे असतील तर

जर आपण एसएमबी सत्रांचे डीकोडिंग करत असाल तर युनिकोड स्ट्रिंग असतील तर आपण पर्यावरणप्रेमी यूएसओयूआयएनओआयओडीओडे 1 वर सेट करू शकता. युनिकोडाच्या झर्यांची आपोआप शोधण्याची पॅच स्वागत आहे.

एसएमबी पॅकेट स्वरुपनाविषयी अधिक माहितीसाठी व आपल्या सर्वसमान क्षेत्रास आपल्या पसंतीच्या samba.org मिरर साइटवर www.cifs.org किंवा pub / samba / specs / निर्देशिका पहात आहे. एसएमबी पॅचेस अँड्र्यू ट्रिडेल (ट्रिज @ samba.org) यांनी लिहिलेले होते.

NFS विनंत्या आणि उत्तरे

सन एनएफएस (नेटवर्क फाइल सिस्टम) विनंत्या आणि प्रत्युत्तरे याप्रमाणे मुद्रित केल्या जातात:

src.xid> dst.nfs: len op args src.nfs> dst.xid: प्रत्युत्तर स्टेट लेन ऑप परिणाम सुशी 6709> wrl.nfs: 112 readlink एफएच 21,24 / 10.73165 wrl.nfs> सुशी 670 9: उत्तर ठीक आहे 40 readlink "../var" सुशी2012bbbb> wrl.nfs: 144 लुकअप fh 9, 74 / 4096.6878 "xcolors" wrl.nfs सुची -2012: उत्तर ओके 128 लुकअप fh 9, 74 / 4134.3150

पहिल्या ओळीत, होस्ट सुशी आयडी 6709 सह wrl करण्यासाठी एक नोट पाठवते (लक्षात ठेवा की स્રો द होस्ट खालील नंबर एक ट्रान्झॅक्शन आयडी आहे, स्त्रोत पोर्ट नव्हे). UDP आणि IP शीर्षलेख वगळून विनंती 112 बाइट्स होती. ऑपरेशन फाईल हँडल (एफएच) 21,24 / 10.73165711 9 वर रीलीलिंक (सिंबॉलिक लिंक्स वाचा) होते. (जर भाग्यवान असेल तर, या प्रकरणात फाईल हॅन्डलला मुख्य, लहान डिव्हाइस नंबर जोडी म्हणून निर्देशित केले जाऊ शकते, त्यानंतर आयनोड नंबर आणि पिढीतील क्रमांक.) Wrl प्रत्युत्तरांची सामग्री सह 'ठीक' उत्तर.

तिसऱ्या ओळीत, सुश्री ने निर्देशकाच्या 9 .74 / 4096.6878 क्रमांकातील ` xcolors 'हे नाव शोधण्याकरिता विनंती केली. लक्षात ठेवा मुद्रित केलेला डेटा ऑपरेशन प्रकारावर अवलंबून असतो. NFS प्रोटोकॉल स्पेससह संयुक्तपणे वाचल्यास स्वरूप स्वयं स्पष्टीकरणात्मक आहे.

जर -v (verbose) ध्वज दर्शविला, तर अतिरिक्त माहिती छापली जाते. उदाहरणार्थ:

सुशी 6.1372a> wrl.nfs: 148 वाचा एफएच 21,11 / 12.195 8192 बाइट्स @ 24576 wrl.nfs> सुशी 13372: उत्तर ओके 1472 REG 100664 आयडी 417/02 2,29388 वाचणे

(-V हे आयपी हेडर टीटीएल, आयडी, लांबी, आणि फ्रॅगमेंटेशन फील्ड देखील छापतो जे या उदाहरणावरून वगळले आहेत.) पहिल्या ओळीत सुशी ने 21 9 11 बाइट्सच्या फाईल 21,11 / 12.1 9 5 पासून बाईट ऑफसेट 24576. Wrl प्रत्युत्तर `ठीक '; दुसऱ्या ओळीवर दर्शविलेले पॅकेट हे उत्तराचे पहिले भाग आहे, आणि म्हणून फक्त 1472 बाइट्सची वेळ आहे (इतर बाइट्स नंतरच्या तुकड्यांमध्ये अनुसरतात, परंतु या तुकड्यांना NFS किंवा अगदी UDP हेडर्स नाहीत आणि त्यामुळे कदाचित मुद्रित केले जाऊ शकत नाही, वापरलेले फिल्टर अभिव्यक्तीवर अवलंबून). कारण -v फ्लॅग दिलेला आहे, काही फाइल विशेषता (ज्यामध्ये फाइल डेटाच्या व्यतिरिक्त भरली जाते) मुद्रित केली जातात: फाइल प्रकार (`` आरईजी '', नियमित फाइलसाठी), फाईल मोड (ऑक्टलमध्ये), यूआयडी आणि जीआयडी, आणि फाईलचा आकार.

-v फ्लॅग एकापेक्षा जास्त वेळा दिले असल्यास, आणखी तपशीलही प्रिंट केले जातात.

लक्षात ठेवा NFS विनंत्या खूप मोठ्या आहेत आणि स्नॅपलीन वाढविले जाण्याकरीता जास्त तपशील मुद्रित केला जाणार नाही. NFS रहदारी पाहण्यासाठी ` -स 1 9 2 'वापरून पहा.

NFS उत्तर पॅकेट्स स्पष्टपणे RPC ऑपरेशन ओळखत नाहीत. त्याऐवजी, tcpdump `` अलीकडील '' विनंत्यांचे मागोवा ठेवते आणि व्यवहार आयडी वापरून उत्तरांशी त्यांचे जुळते. जर प्रतिसाद संबंधित विनंतीचे बारकाईने पालन करत नसेल, तर ते कदाचित या शब्दावर आधारित नसेल.

AFS विनंत्या आणि उत्तरे

Transarc AFS (अँड्रू फाइल सिस्टम) विनंत्या आणि प्रत्युत्तरे याप्रमाणे मुद्रित केल्या जातात:

src.sport> dst.dport: rx पॅकेट-प्रकार src.sport> dst.dport: rx पॅकेट-प्रकार सेवा कॉल कॉल- एन्जिल src.sport> dst.dport: rx पॅकेट-प्रकार सेवा उत्तर कॉल-नाव अर्गस एल्व्हिस . 7001> pike.afsfs: आरएक्स डेटा एफएस कॉल जुन्या फेड 536876964/1/1 नाव बदला ".newsrc.new" नवीन fid 536876964/1/1 ".newsrc" pike.afsfs> एल्विस 7001: आरएक्स डेटा एफएस उत्तर पुनर्नामित

पहिल्या ओळीत, यजमान एल्व्हिस पाकीकाकडे एक आरएक्स पॅकेट पाठवते. हे एफएस (फाइलसर्व्हर) सेवेसाठी आरएक्स डेटा पॅकेट होते आणि आरपीसी कॉलची सुरुवात होते. RPC कॉल 536876 9 64/1/1 ची जुनी निर्देशिका फाइल आयडी आणि `.newsrc.new 'ची जुनी फाइलनाव, आणि 536876 9 64/1/1 ची नवीन निर्देशिका फाइल आयडी आणि` `चे नवीन फाइलनाव असलेले नाव बदलले होते. न्यूज्रिक ' यजमान पीके नामक कॉलला आरपीसी प्रतिसादास प्रतिसाद देतो (जो यशस्वी झाला, कारण हा डेटा पॅकेट होता आणि गर्भपात पॅकेट नाही).

साधारणतया, सर्व AFS RPCs किमान RPC कॉल नावाद्वारे डीकोड केल्या जातात. बर्याच AFS RPCs मध्ये कमीत कमी काही आर्ग्युमेंट्स डीकोड केल्या आहेत (सहसा मनोरंजक असलेल्या काही परिभाषांसाठी फक्त 'रुचीपूर्ण' वितर्क).

स्वरूप स्वरूपात वर्णन करण्याच्या हेतूने आहे, परंतु ते कदाचित एएफएस आणि आरएक्सच्या कामकाजाशी परिचित नसलेल्या लोकांना उपयोगी ठरेल.

-v (वर्बोज्) ध्वज दोनदा दिले असल्यास पावती पॅकेट आणि अतिरिक्त शीर्षलेख माहिती मुद्रित केली आहे, जसे की RX कॉल आयडी, कॉल नंबर, अनुक्रमांक, सिरीयल नंबर, आणि RX पॅकेट ध्वज.

-v ध्वज दोनदा दिले असल्यास, अतिरिक्त माहिती मुद्रित केली आहे, जसे की RX कॉल आयडी, अनुक्रमांक, आणि RX पॅकेट ध्वज. एमटीयू वार्तालाप माहिती आरएक्स एके पॅकेट्समधून छापली जाते.

-v ध्वज तीन वेळा दिले असल्यास, सुरक्षा निर्देशांक आणि सेवा आयडी छापली जातात.

Ubik बीकन पॅकेट वगळता त्रुटी कोड मुद्रित करण्यासाठी मुद्रित केले जातात (कारण गर्भपात पॅकेट Ubik प्रोटोकॉलसाठी एक होय मत दर्शविण्यासाठी वापरले जातात).

लक्षात घ्या की AFS विनंती खूप जास्त आहे आणि जोपर्यंत स्नॅपलीन वाढत नाही तोपर्यंत बर्याच वितर्क मुद्रित होणार नाहीत. एएफएस रहदारी पाहण्यासाठी ' -256 ' वापरून पहा.

एएफएस उत्तर पॅकेट स्पष्टपणे RPC ऑपरेशन ओळखत नाहीत. त्याऐवजी, tcpdump `` अलिकडील '' विनंत्यांचे मागोवा ठेवते आणि कॉल नंबर आणि सेवा आयडी वापरून त्यांना प्रत्युत्तरांशी जुळते. जर प्रतिसाद संबंधित विनंतीचे बारकाईने पालन करत नसेल, तर ते कदाचित या शब्दावर आधारित नसेल.

KIP Appletalk (UDP मध्ये डीडीपी)

UDP डेटाग्राममध्ये समीकरण केलेले ऍपलेटॉक डीडीपी पॅकेट्स डी-एनपॅक्झुलेटेड आहेत आणि डीडीपी पॅकेजेस (म्हणजेच सर्व यूडीपी हैडरची माहिती काढून टाकली जाते) म्हणून टाकण्यात आले आहे. /etc/atalk.names ही फाइल appletalk net आणि node numbers ला नावे म्हणून भाषांतरित करण्यासाठी वापरली जाते. या फाईलमधील ओळींमध्ये फॉर्म आहे

नंबरचे नाव 1.254 एथर 16.1 icsd-net 1.254.110 एस

पहिले दोन ओळी ऍपलेटॉक नेटवर्कचे नाव देतात तिसऱ्या ओळीने एका विशिष्ट होस्टचे नाव दिले आहे (तिसऱ्या ऑक्टेटने क्रमांकाने नेटवर ओळखले जाते - एक शुद्ध क्रमांक दोन ऑकटेट असणे आवश्यक आहे आणि होस्ट क्रमांकामध्ये तीन ऑक्टेट असणे आवश्यक आहे.) संख्या आणि नाव वेगळे केले पाहिजे मोकळी जागा (रिक्त किंवा टॅब्ज) द्वारे /etc/atalk.names फाइलमध्ये रिक्त रेष किंवा टिप्पणी ओळी असू शकतात (`# 'ने सुरू होणाऱ्या ओळी).

Appletalk पत्ते स्वरूपात छापलेले आहेत:

net.host.port 144.1.20 9.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

( /etc/atalk.names अस्तित्वात नसल्यास किंवा काही ऍपलेटॉक होस्ट / निव्वळ क्रमांकाची नोंद नसल्यास, पत्ते अंकीय स्वरूपात छापलेले असतात.) पहिल्या उदाहरणामध्ये, नेट 144.1 वरील NBP (डीडीपी पोर्ट 2) नोड 20 9 निव्वळ icsd नोड 112 च्या पोर्ट 220 वर ऐकत असलेल्यांना पाठवित आहे. दुसरी ओळ म्हणजे स्रोत नोडचे पूर्ण नाव वगळता एकच आहे (`कार्यालय '). तिसरी ओळ icsd-net NBP पोर्टवर प्रसारित करण्यासाठी नेट jssmag नोड 149 वर पोर्ट 235 वरून पाठविली आहे (लक्षात ठेवा की ब्रॉडकास्ट पत्ता (255) होस्ट क्रमांकासह निव्वळ नावाने दर्शविला जातो - या कारणास्तव हे एक चांगले कल्पना आहे नोड नावे आणि /etc/atalk.names वेगळ्या नावांची नावे ठेवण्यासाठी).

NBP (नाव बाइंडिंग प्रोटोकॉल) आणि एटीपी (ऍपलटाक ट्रान्झॅक्शन प्रोटोकॉल) पॅकेट्समध्ये त्यांच्या सामुग्रीचा अर्थ आहे अन्य प्रोटोकॉल फक्त प्रोटोकॉल नाव (किंवा प्रोटोकॉलसाठी कोणतेही नाव नोंदणीकृत नसल्यास क्रमांक) आणि पॅकेट आकार डंप करा.

NBP पॅकेट खालील उदाहरणांप्रमाणे स्वरूपित केले जातात:

icsd-net.112.220> jssmag.2: nbp-lkup 1 9 0: "=: लेझरविर @ *" jssmag.20 9.2> icsd-net.112.220: एनबीपी-उत्तर 1 9 0: "आरएम 1140: लेसरर्रेटर @ *" 250 टेकपिट 2.> icsd -नेट.112.220: एनबीपी-उत्तर 1 9 0: "टेकपिट: लेसरर्रेटर @ *" 186

पहिली ओळ म्हणजे नेट icsd होस्ट 112 द्वारा पाठविलेल्या लेसरविरर्सची एक नाव शोध विनंती आहे आणि नेट jssmag वर प्रसारित आहे लुकअपसाठी एनबिप आयडी 1 9 0 आहे. दुसरी ओळ या होस्ट (jssmag.209) वरून या विनंतीसाठी (लक्षात घ्या की त्याच आयडीची नोंद आहे) म्हणत आहे की त्याच्याकडे पोर्ट 250 वर नोंदणीकृत "RM1140" नावाचे लेसररिक्टर संसाधन आहे. तृतीय लाइन त्याच विनंतीचा दुसरा प्रतिसाद आहे ज्यात होस्ट टेक्पिटने लेसररिटिटर "टेकपिट" पोर्ट 186 वर नोंदणीकृत केले आहे.

खालील उदाहरणाद्वारे एटीपी पॅकेट स्वरुपन दर्शविले जाते:

jssmag.209.165> हॅलोओझ .132: एटीपी-रेक 12266 <0-7> 0xae030001 हेलीओस.132> जेस्सीएमग 200 9 .165: एटीपी-रेज 12266: 0 (512) 0xae040000 हैलिएओस .132> जेस्सीएमग. 200 9 .165: एटीपी-रेस्प 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: एटीपी-आरओपी 12266: 2 (512) 0xae040000 हेलीओस.132> जेस्सीएमग 200 9 .165: एटीपी-रेज 12266: 3 (512) 0xae040000 हेलीओस .132> जेस्सीएमग 200 9 .165: एटीपी- resp 12266: 4 (512) 0xae040000 helios.132> jssmag.20 9 .165: एटीपी-रेज 12266: 5 (512) 0xae040000 helios.132> jssmag.20 9 .165: एटीपी-लसिथ 12266: 6 (512) 0xae040000 helios.132> jssmag 20 9. 166: एटीपी-लोग * 12266: 7 (512) 0xae040000 jssmag.20 9 .165> हॅलोओस.132: एटीपी-रेक 12266 <3,5> 0xae030001 हेलीओस.132> जेस्सीएमग 200 9 .165: एटीपी-रेस्प 12266: 3 (512) 0xae040000 हेलीओस .132> jssmag.20 9. 165: एटीपी-रेज 12266: 5 (512) 0xae040000 jssmag.20 9 .165> होलिएओस .132: एपीपी-रिलायट 12266 <0-7> 0xae030001 jssmag.20 9 .133> हॅलोओझ .132: एटीपी-रेक * 12267 <0 -7> 0xae030002

Jssmag.209 ने 8 पॅकेट (`<0-7> ') पर्यंत विनंती करून यजमान होलियससह व्यवहार आयडी 12266 ला आरंभ केला. ओळीच्या शेवटी हेक्स क्रमांक विनंतीमध्ये `userdata 'फील्डचे मूल्य आहे.

हेलिओझ 8 512-बाइट पॅकेट्ससह प्रतिसाद देतो. व्यवहार id खालील`: अंकी 'व्यवहार मध्ये पॅकेट क्रम संख्या देते आणि पालक मध्ये संख्या पॅकेटमधील डेटा रक्कम आहे, एटीपी शीर्षलेख वगळता. पॅकेट 7 वरील `* 'हे सूचित करते की EOM बीट सेट होते.

Jssmag.20 9 नंतर पॅकेट 3 व 5 च्या पुनर्रचनाची विनंती करते. हेलिओझने त्यांचे पुनर्विक्री नंतर jssmag.20 9 व्यवहार सौदा. अखेरीस, jssmag.20 9 पुढील विनंतीस सुरवात करतो. विनंतीवरील `* 'दर्शविते की XO (` नक्की एकदा') सेट केले नव्हते.

आयपी फ्रेगमेंटेशन

फ्रॅगमेंट केलेले इंटरनेट डेटाग्राम याप्रमाणे मुद्रित केले जातात

(तुंग आयडी : आकार @ ऑफसेट +) (तुंग आयडी : आकार @ ऑफसेट )

(पहिला फॉर्म इंगित करतो की अधिक तुकड्यांचा आकार आहे.दुसऱ्या म्हणजे हे शेवटचे तुकडा आहे.

आयडी हा खंड ID आहे आयपी हेडर सोडून वगळता आकार (बाइट्समध्ये) आकार आहे. ऑफसेट म्हणजे हे स्मरणस्थान ऑफसेट (बाइट्समध्ये) मूळ डेटाग्राममध्ये आहे.

तुकडा माहिती प्रत्येक खंडासाठी आउटपुट आहे. पहिल्या तुकडामध्ये उच्चस्तरीय प्रोटोकॉल शीर्षक आहे आणि प्रोटोकॉल माहितीनंतर frag माहिती छापली जाते. प्रथम नंतरच्या तुकड्यांमधे कोणतेही उच्च स्तर प्रोटोकॉल हेडर नाही आणि स्रोत माहिती आणि गंतव्यस्थानाच्या पत्त्यानंतर फ्रॉग माहिती छपाई केली जाते. उदाहरणार्थ, येथे एआरिझोना.इंडू ते एलएलबी-आरटीएसपी.एआरपी वर एक सीएसएनईटी कनेक्शनवर एफटीपीचा भाग आहे जो 576 बाइट डेटाग्राम हाताळण्यासाठी दिसत नाही.

arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) एके 1 चा विजय 40 9 6 (फरव्ह 595 ए: 328 @ 0 +) ऍरिझोना> आरटीएसजी: (फरक 595 ए: 204 @ 328) आरटीएस -1.170> एरिझोना. एफटीपी-डेटा: अॅके 1536 2560 चा विजय

येथे लक्षात ठेवण्यासाठी काही गोष्टी आहेत: प्रथम, द्वितीय रेषेतील पत्ते पोर्ट क्रमांक समाविष्ट करीत नाहीत याचे कारण असे की TCP प्रोटोकॉल माहिती सर्व प्रथमच आहे आणि जेव्हा आम्ही नंतरचे खंड मुद्रित करतो तेव्हा पोर्ट किंवा अनुक्रमांची संख्या काय आहे याची आम्हाला कल्पना नाही. दुसरे म्हणजे, पहिल्या ओळीतील टीसीपी अनुक्रमांची माहिती छापली जाते ज्यातून युरोपीय डेटाच्या 308 बाईट्स होत्या, खरे तर, 512 बाइट्स आहेत (पहिल्या फ्रेमनमध्ये 308 आणि दुसऱयामध्ये 204). आपण अनुक्रम क्षेत्रातील छिद्र शोधत असाल किंवा पॅकेटसह acks जुळवण्याचा प्रयत्न करत असल्यास, हे आपल्याला विदूषक करु शकते.

IP सह असलेले पॅकेट खंड ध्वजांकन एका पिछाडीवर (डीएफ) सह चिन्हांकित नाही .

टाइमस्टॅम्प

डीफॉल्टनुसार, सर्व आउटपुट ओळी एका टाइमस्टॅम्पद्वारे पुढे येतात. टाइमस्टॅम्प स्वरूपात वर्तमान घड्याळ वेळ आहे

hh: mm: ss.frac

आणि कर्नलचे घड्याळ म्हणून अचूक आहे. वेळशिक्षण कर्नलने पॅकेट पाहिलेला वेळ दर्शवितात. इथरनेट इंटरफेसने वायरमधून पॅकेट काढले आणि जेव्हा कर्नलने `नवीन पॅकेट 'व्यत्यय आणला तेव्हा त्या दरम्यानचा काळ खरा झाला नाही.

हे सुद्धा पहा

रहदारी (1 सी), निट (4 पी), बीपीएफ (4), पीकेपी (3)

महत्वाचे: आपल्या कॉम्प्यूटरवर आज्ञा कशी वापरली जाते हे पाहण्यासाठी man कमांड ( % man ) वापरा.