Linux下tcpdump命令解析及使用详解
简介
用简单的话来定义tcpdump,就是:dumpthetrafficonanetwork,根据使用者的定义对网络上的数据包进行截获的包分析工具。tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
实用命令实例
默认启动
tcpdump
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。
监视指定网络接口的数据包
tcpdump-ieth1
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0,下面的例子都没有指定网络接口。
监视指定主机的数据包
打印所有进入或离开sundown的数据包.
tcpdumphostsundown
也可以指定ip,例如截获所有210.27.48.1的主机收到的和发出的所有的数据包
tcpdumphost210.27.48.1
打印helios与hot或者与ace之间通信的数据包
tcpdumphostheliosand\(hotorace\)
截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信
tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
打印ace与任何其他主机之间通信的IP数据包,但不包括与helios之间的数据包.
tcpdumpiphostaceandnothelios
如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
tcpdumpiphost210.27.48.1and!210.27.48.2
截获主机hostname发送的所有数据
tcpdump-ieth0srchosthostname
监视所有送到主机hostname的数据包
tcpdump-ieth0dsthosthostname
监视指定主机和端口的数据包
如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令
tcpdumptcpport23andhost210.27.48.1
对本机的udp123端口进行监视123为ntp的服务端口
tcpdumpudpport123
监视指定网络的数据包
打印本地主机与Berkeley网络上的主机之间的所有通信数据包(nt:ucb-ether,此处可理解为'Berkeley网络'的网络地址,此表达式最原始的含义可表达为:打印网络地址为ucb-ether的所有数据包)
tcpdumpnetucb-ether
打印所有通过网关snup的ftp数据包(注意,表达式被单引号括起来了,这可以防止shell对其中的括号进行错误解析)
tcpdump'gatewaysnupand(portftporftp-data)'
打印所有源地址或目标地址是本地主机的IP数据包
(如果本地网络通过网关连到了另一网络,则另一网络并不能算作本地网络.(nt:此句翻译曲折,需补充).localnet实际使用时要真正替换成本地网络的名字)
tcpdumpipandnotnetlocalnet
监视指定协议的数据包
打印TCP会话中的的开始和结束数据包,并且数据包的源或目的不是本地网络上的主机.(nt:localnet,实际使用时要真正替换成本地网络的名字))
tcpdump'tcp[tcpflags]&(tcp-syn|tcp-fin)!=0andnotsrcanddstnetlocalnet'
打印所有源或目的端口是80,网络层协议为IPv4,并且含有数据,而不是SYN,FIN以及ACK-only等不含数据的数据包.(ipv6的版本的表达式可做练习)
tcpdump'tcpport80and(((ip[2:2]-((ip[0]&0xf)<<2))-((tcp[12]&0xf0)>>2))!=0)'
(nt:可理解为,ip[2:2]表示整个ip数据包的长度,(ip[0]&0xf)<<2)表示ip数据包包头的长度(ip[0]&0xf代表包中的IHL域,而此域的单位为32bit,要换算
成字节数需要乘以4,即左移2.(tcp[12]&0xf0)>>4表示tcp头的长度,此域的单位也是32bit,换算成比特数为((tcp[12]&0xf0)>>4)<<2,
即((tcp[12]&0xf0)>>2).((ip[2:2]-((ip[0]&0xf)<<2))-((tcp[12]&0xf0)>>2))!=0表示:整个ip数据包的长度减去ip头的长度,再减去
tcp头的长度不为0,这就意味着,ip数据包中确实是有数据.对于ipv6版本只需考虑ipv6头中的'PayloadLength'与'tcp头的长度'的差值,并且其中表达方式'ip[]'需换成'ip6[]'.)
打印长度超过576字节,并且网关地址是snup的IP数据包
tcpdump'gatewaysnupandip[2:2]>576'
打印所有IP层广播或多播的数据包,但不是物理以太网层的广播或多播数据报
tcpdump'ether[0]&1=0andip[16]>=224'
打印除'echorequest'或者'echoreply'类型以外的ICMP数据包(比如,需要打印所有非ping程序产生的数据包时可用到此表达式.
(nt:'echoreuqest'与'echoreply'这两种类型的ICMP数据包通常由ping程序产生))
tcpdump'icmp[icmptype]!=icmp-echoandicmp[icmptype]!=icmp-echoreply'
tcpdump与wireshark
Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpdump。我们可以用Tcpdump+Wireshark的完美组合实现:在Linux里抓包,然后在Windows里分析包。
tcpdumptcp-ieth1-t-s0-c100anddstport!22andsrcnet192.168.1.0/24-w./target.cap
(1)tcp:ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-ieth1:只抓经过接口eth1的包
(3)-t:不显示时间戳
(4)-s0:抓取数据包时默认抓取长度为68字节。加上-S0后可以抓到完整的数据包
(5)-c100:只抓取100个数据包
(6)dstport!22:不抓取目标端口是22的数据包
(7)srcnet192.168.1.0/24:数据包的源网络地址为192.168.1.0/24
(8)-w./target.cap:保存成cap文件,方便用ethereal(即wireshark)分析
使用tcpdump抓取HTTP包
tcpdump-XvvennSs0-ieth0tcp[20:2]=0x4745ortcp[20:2]=0x4854
0x4745为"GET"前两个字母"GE",0x4854为"HTTP"前两个字母"HT"。
tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump截获数据并保存到文件中,然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
输出信息含义
首先我们注意一下,基本上tcpdump总的的输出格式为:系统时间来源主机.端口>目标主机.端口数据包参数
tcpdump的输出格式与协议有关.以下简要描述了大部分常用的格式及相关例子.
链路层头
对于FDDI网络,'-e'使tcpdump打印出指定数据包的'framecontrol'域,源和目的地址,以及包的长度.(framecontrol域
控制对包中其他域的解析).一般的包(比如那些IPdatagrams)都是带有'async'(异步标志)的数据包,并且有取值0到7的优先级;
比如'async4'就代表此包为异步数据包,并且优先级别为4.通常认为,这些包们会内含一个LLC包(逻辑链路控制包);这时,如果此包
不是一个ISOdatagram或所谓的SNAP包,其LLC头部将会被打印(nt:应该是指此包内含的LLC包的包头).
对于TokenRing网络(令牌环网络),'-e'使tcpdump打印出指定数据包的'framecontrol'和'accesscontrol'域,以及源和目的地址,
外加包的长度.与FDDI网络类似,此数据包通常内含LLC数据包.不管是否有'-e'选项.对于此网络上的'source-routed'类型数据包(nt:
意译为:源地址被追踪的数据包,具体含义未知,需补充),其包的源路由信息总会被打印.
对于802.11网络(WLAN,即wirelesslocalareanetwork),'-e'使tcpdump打印出指定数据包的'framecontrol域,
包头中包含的所有地址,以及包的长度.与FDDI网络类似,此数据包通常内含LLC数据包.
(注意:以下的描述会假设你熟悉SLIP压缩算法(nt:SLIP为SerialLineInternetProtocol.),这个算法可以在
RFC-1144中找到相关的蛛丝马迹.)
对于SLIP网络(nt:SLIPlinks,可理解为一个网络,即通过串行线路建立的连接,而一个简单的连接也可看成一个网络),
数据包的'directionindicator'('方向指示标志')("I"表示入,"O"表示出),类型以及压缩信息将会被打印.包类型会被首先打印.
类型分为ip,utcp以及ctcp(nt:未知,需补充).对于ip包,连接信息将不被打印(nt:SLIP连接上,ip包的连接信息可能无用或没有定义.
reconfirm).对于TCP数据包,连接标识紧接着类型表示被打印.如果此包被压缩,其被编码过的头部将被打印.
此时对于特殊的压缩包,会如下显示:
*S+n或者*SA+n,其中n代表包的(顺序号或(顺序号和应答号))增加或减少的数目(nt|rt:S,SA拗口,需再译).
对于非特殊的压缩包,0个或更多的'改变'将会被打印.'改变'被打印时格式如下:
'标志'+/-/=n包数据的长度压缩的头部长度.
其中'标志'可以取以下值:
U(代表紧急指针),W(指缓冲窗口),A(应答),S(序列号),I(包ID),而增量表达'=n'表示被赋予新的值,+/-表示增加或减少.
比如,以下显示了对一个外发压缩TCP数据包的打印,这个数据包隐含一个连接标识(connectionidentifier);应答号增加了6,
顺序号增加了49,包ID号增加了6;包数据长度为3字节(octect),压缩头部为6字节.(nt:如此看来这应该不是一个特殊的压缩数据包).
ARP/RARP数据包
tcpdump对Arp/rarp包的输出信息中会包含请求类型及该请求对应的参数.显示格式简洁明了.以下是从主机rtsg到主机csam的'rlogin'
(远程登录)过程开始阶段的数据包样例:
arpwho-hascsamtellrtsg
arpreplycsamis-atCSAM
第一行表示:rtsg发送了一个arp数据包(nt:向全网段发送,arp数据包)以询问csam的以太网地址
Csam(nt:可从下文看出来,是Csam)以她自己的以太网地址做了回应(在这个例子中,以太网地址以大写的名字标识,而internet
地址(即ip地址)以全部的小写名字标识).
如果使用tcpdump-n,可以清晰看到以太网以及ip地址而不是名字标识:
arpwho-has128.3.254.6tell128.3.254.68
arpreply128.3.254.6is-at02:07:01:00:01:c4
如果我们使用tcpdump-e,则可以清晰的看到第一个数据包是全网广播的,而第二个数据包是点对点的:
RTSGBroadcast080664:arpwho-hascsamtellrtsg
CSAMRTSG080664:arpreplycsamis-atCSAM
第一个数据包表明:以arp包的源以太地址是RTSG,目标地址是全以太网段,type域的值为16进制0806(表示ETHER_ARP(nt:arp包的类型标识)),
包的总长度为64字节.
TCP数据包
(注意:以下将会假定你对RFC-793所描述的TCP熟悉.如果不熟,以下描述以及tcpdump程序可能对你帮助不大.(nt:警告可忽略,
只需继续看,不熟悉的地方可回头再看.).
通常tcpdump对tcp数据包的显示格式如下:
src>dst:flagsdata-seqnoackwindowurgentoptions
src和dst是源和目的IP地址以及相应的端口.flags标志由S(SYN),F(FIN),P(PUSH,R(RST),
W(ECNCWT(nt|rep:未知,需补充))或者E(ECN-Echo(nt|rep:未知,需补充))组成,
单独一个'.'表示没有flags标识.数据段顺序号(Data-seqno)描述了此包中数据所对应序列号空间中的一个位置(nt:整个数据被分段,
每段有一个顺序号,所有的顺序号构成一个序列号空间)(可参考以下例子).Ack描述的是同一个连接,同一个方向,下一个本端应该接收的
(对方应该发送的)数据片段的顺序号.Window是本端可用的数据接收缓冲区的大小(也是对方发送数据时需根据这个大小来组织数据).
Urg(urgent)表示数据包中有紧急的数据.options描述了tcp的一些选项,这些选项都用尖括号来表示(如
src,dst和flags这三个域总是会被显示.其他域的显示与否依赖于tcp协议头里的信息.
这是一个从trsg到csam的一个rlogin应用登录的开始阶段.
rtsg.1023>csam.login:S768512:768512(0)win4096
csam.login>rtsg.1023:S947648:947648(0)ack768513win4096
rtsg.1023>csam.login:.ack1win4096
rtsg.1023>csam.login:P1:2(1)ack1win4096
csam.login>rtsg.1023:.ack2win4096
rtsg.1023>csam.login:P2:21(19)ack1win4096
csam.login>rtsg.1023:P1:2(1)ack21win4077
csam.login>rtsg.1023:P2:3(1)ack21win4077urg1
csam.login>rtsg.1023:P3:4(1)ack21win4077urg1
第一行表示有一个数据包从rtsg主机的tcp端口1023发送到了csam主机的tcp端口login上(nt:udp协议的端口和tcp协议的端
口是分别的两个空间,虽然取值范围一致).S表示设置了SYN标志.包的顺序号是768512,并且没有包含数据.(表示格式
为:'first:last(nbytes)',其含义是'此包中数据的顺序号从first开始直到last结束,不包括last.并且总共包含nbytes的
用户数据'.)没有捎带应答(nt:从下文来看,第二行才是有捎带应答的数据包),可用的接受窗口的大小为4096bytes,并且请求端(rtsg)
的最大可接受的数据段大小是1024字节(nt:这个信息作为请求发向应答端csam,以便双方进一步的协商).
Csam向rtsg回复了基本相同的SYN数据包,其区别只是多了一个'piggy-backedack'(nt:捎带回的ack应答,针对rtsg的SYN数据包).
rtsg同样针对csam的SYN数据包回复了一ACK数据包作为应答.'.'的含义就是此包中没有标志被设置.由于此应答包中不含有数据,所以
包中也没有数据段序列号.提醒!此ACK数据包的顺序号只是一个小整数1.有如下解释:tcpdump对于一个tcp连接上的会话,只打印会话两端的
初始数据包的序列号,其后相应数据包只打印出与初始包序列号的差异.即初始序列号之后的序列号,可被看作此会话上当前所传数据片段在整个
要传输的数据中的'相对字节'位置(nt:双方的第一个位置都是1,即'相对字节'的开始编号).'-S'将覆盖这个功能,
使数据包的原始顺序号被打印出来.
第六行的含义为:rtsg向csam发送了19字节的数据(字节的编号为2到20,传送方向为rtsg到csam).包中设置了PUSH标志.在第7行,
csam喊到,她已经从rtsg中收到了21以下的字节,但不包括21编号的字节.这些字节存放在csam的socket的接收缓冲中,相应地,
csam的接收缓冲窗口大小会减少19字节(nt:可以从第5行和第7行win属性值的变化看出来).csam在第7行这个包中也向rtsg发送了一个
字节.在第8行和第9行,csam继续向rtsg分别发送了两个只包含一个字节的数据包,并且这个数据包带PUSH标志.
如果所抓到的tcp包(nt:即这里的snapshot)太小了,以至tcpdump无法完整得到其头部数据,这时,tcpdump会尽量解析这个不完整的头,
并把剩下不能解析的部分显示为'[|tcp]'.如果头部含有虚假的属性信息(比如其长度属性其实比头部实际长度长或短),tcpdump会为该头部
显示'[badopt]'.如果头部的长度告诉我们某些选项(nt|rt:从下文来看,指tcp包的头部中针对ip包的一些选项,回头再翻)会在此包中,
而真正的IP(数据包的长度又不够容纳这些选项,tcpdump会显示'[badhdrlength]'.
抓取带有特殊标志的的TCP包(如SYN-ACK标志,URG-ACK标志等).
在TCP的头部中,有8比特(bit)用作控制位区域,其取值为:
CWR|ECE|URG|ACK|PSH|RST|SYN|FIN
(nt|rt:从表达方式上可推断:这8个位是用或的方式来组合的,可回头再翻)
现假设我们想要监控建立一个TCP连接整个过程中所产生的数据包.可回忆如下:TCP使用3次握手协议来建立一个新的连接;其与此三次握手
连接顺序对应,并带有相应TCP控制标志的数据包如下:
1)连接发起方(nt:Caller)发送SYN标志的数据包
2)接收方(nt:Recipient)用带有SYN和ACK标志的数据包进行回应
3)发起方收到接收方回应后再发送带有ACK标志的数据包进行回应
01531
-----------------------------------------------------------------
|sourceport|destinationport|
-----------------------------------------------------------------
|sequencenumber|
-----------------------------------------------------------------
|acknowledgmentnumber|
-----------------------------------------------------------------
|HL|rsvd|C|E|U|A|P|R|S|F|windowsize|
-----------------------------------------------------------------
|TCPchecksum|urgentpointer|
-----------------------------------------------------------------
一个TCP头部,在不包含选项数据的情况下通常占用20个字节(nt|rt:options理解为选项数据,需回译).第一行包含0到3编号的字节,
第二行包含编号4-7的字节.
如果编号从0开始算,TCP控制标志位于13字节(nt:第四行左半部分).
07|15|23|31
----------------|---------------|---------------|----------------
|HL|rsvd|C|E|U|A|P|R|S|F|windowsize|
----------------|---------------|---------------|----------------
||13thoctet|||
让我们仔细看看编号13的字节:
||
|---------------|
|C|E|U|A|P|R|S|F|
|---------------|
|7530|
这里有我们感兴趣的控制标志位.从右往左这些位被依次编号为0到7,从而PSH位在3号,而URG位在5号.
提醒一下自己,我们只是要得到包含SYN标志的数据包.让我们看看在一个包的包头中,如果SYN位被设置,到底
在13号字节发生了什么:
|C|E|U|A|P|R|S|F|
|---------------|
|00000010|
|---------------|
|76543210|
在控制段的数据中,只有比特1(bitnumber1)被置位.
假设编号为13的字节是一个8位的无符号字符型,并且按照网络字节号排序(nt:对于一个字节来说,网络字节序等同于主机字节序),其二进制值
如下所示:
00000010
并且其10进制值为:
0*2^7+0*2^6+0*2^5+0*2^4+0*2^3+0*2^2+1*2^1+0*2^0=2(nt:1*2^6表示1乘以2的6次方,也许这样更
清楚些,即把原来表达中的指数76...0挪到了下面来表达)
接近目标了,因为我们已经知道,如果数据包头部中的SYN被置位,那么头部中的第13个字节的值为2(nt:按照网络序,即大头方式,最重要的字节
在前面(在前面,即该字节实际内存地址比较小,最重要的字节,指数学表示中数的高位,如356中的3)).
表达为tcpdump能理解的关系式就是:
tcp[13]2
从而我们可以把此关系式当作tcpdump的过滤条件,目标就是监控只含有SYN标志的数据包:
tcpdump-ixl0tcp[13]2(nt:xl0指网络接口,如eth0)
这个表达式是说"让TCP数据包的第13个字节拥有值2吧",这也是我们想要的结果.
现在,假设我们需要抓取带SYN标志的数据包,而忽略它是否包含其他标志.(nt:只要带SYN就是我们想要的).让我们来看看当一个含有
SYN-ACK的数据包(nt:SYN和ACK标志都有),来到时发生了什么:
|C|E|U|A|P|R|S|F|
|---------------|
|00010010|
|---------------|
|76543210|
13号字节的1号和4号位被置位,其二进制的值为:
00010010
转换成十进制就是:
0*2^7+0*2^6+0*2^5+1*2^4+0*2^3+0*2^2+1*2^1+0*2=18(nt:1*2^6表示1乘以2的6次方,也许这样更
清楚些,即把原来表达中的指数76...0挪到了下面来表达)
现在,却不能只用'tcp[13]18'作为tcpdump的过滤表达式,因为这将导致只选择含有SYN-ACK标志的数据包,其他的都被丢弃.
提醒一下自己,我们的目标是:只要包的SYN标志被设置就行,其他的标志我们不理会.
为了达到我们的目标,我们需要把13号字节的二进制值与其他的一个数做AND操作(nt:逻辑与)来得到SYN比特位的值.目标是:只要SYN被设置
就行,于是我们就把她与上13号字节的SYN值(nt:00000010).
00010010SYN-ACK00000010SYN
AND00000010(wewantSYN)AND00000010(wewantSYN)
----------------
=00000010=00000010
我们可以发现,不管包的ACK或其他标志是否被设置,以上的AND操作都会给我们相同的值,其10进制表达就是2(2进制表达就是00000010).
从而我们知道,对于带有SYN标志的数据包,以下的表达式的结果总是真(true):
((valueofoctet13)AND(2))(2)(nt:valueofoctet13,即13号字节的值)
灵感随之而来,我们于是得到了如下的tcpdump的过滤表达式
tcpdump-ixl0'tcp[13]&22'
注意,单引号或反斜杆(nt:这里用的是单引号)不能省略,这可以防止shell对&的解释或替换.
UDP数据包
UDP数据包的显示格式,可通过rwho这个具体应用所产生的数据包来说明:
actinide.who>broadcast.who:udp84
其含义为:actinide主机上的端口who向broadcast主机上的端口who发送了一个udp数据包(nt:actinide和broadcast都是指Internet地址).
这个数据包承载的用户数据为84个字节.
一些UDP服务可从数据包的源或目的端口来识别,也可从所显示的更高层协议信息来识别.比如,DomainNameservicerequests(DNS请求,
在RFC-1034/1035中),和SunRPCcallstoNFS(对NFS服务器所发起的远程调用(nt:即SunRPC),在RFC-1050中有对远程调用的描述).
UDP名称服务请求
(注意:以下的描述假设你对DomainServiceprotoco(nt:在RFC-103中有所描述),否则你会发现以下描述就是天书(nt:希腊文天书,
不必理会,吓吓你的,接着看就行))
名称服务请求有如下的格式:
src>dst:idop?flagsqtypeqclassname(len)
(nt:从下文来看,格式应该是src>dst:idopflagsqtypeqclass?name(len))
比如有一个实际显示为:
h2opolo.1538>helios.domain:3+A?ucbvax.berkeley.edu.(37)
主机h2opolo向helios上运行的名称服务器查询ucbvax.berkeley.edu的地址记录(nt:qtype等于A).此查询本身的id号为'3'.符号
'+'意味着递归查询标志被设置(nt:dns服务器可向更高层dns服务器查询本服务器不包含的地址记录).这个最终通过IP包发送的查询请求
数据长度为37字节,其中不包括UDP和IP协议的头数据.因为此查询操作为默认值(nt|rt:normalone的理解),op字段被省略.
如果op字段没被省略,会被显示在'3'和'+'之间.同样,qclass也是默认值,C_IN,从而也没被显示,如果没被忽略,她会被显示在'A'之后.
异常检查会在方括中显示出附加的域:如果一个查询同时包含一个回应(nt:可理解为,对之前其他一个请求的回应),并且此回应包含权威或附加记录段,
ancount,nscout,arcount(nt:具体字段含义需补充)将被显示为'[na]','[nn]','[nau]',其中n代表合适的计数.如果包中以下
回应位(比如AA位,RA位,rcode位),或者字节2或3中任何一个'必须为0'的位被置位(nt:设置为1),'[b2&3]=x'将被显示,其中x表示
头部字节2与字节3进行与操作后的值.
UDP名称服务应答
对名称服务应答的数据包,tcpdump会有如下的显示格式
src>dst:idoprcodeflagsa/n/autypeclassdata(len)
比如具体显示如下:
helios.domain>h2opolo.1538:33/3/7A128.32.137.3(273)
helios.domain>h2opolo.1537:2NXDomain*0/1/0(97)
第一行表示:helios对h2opolo所发送的3号查询请求回应了3条回答记录(nt|rt:answerrecords),3条名称服务器记录,
以及7条附加的记录.第一个回答记录(nt:3个回答记录中的第一个)类型为A(nt:表示地址),其数据为internet地址128.32.137.3.
此回应UDP数据包,包含273字节的数据(不包含UPD和IP的头部数据).op字段和rcode字段被忽略(nt:op的实际值为Query,rcode,即
responsecode的实际值为NoError),同样被忽略的字段还有class字段(nt|rt:其值为C_IN,这也是A类型记录默认取值)
第二行表示:helios对h2opolo所发送的2号查询请求做了回应.回应中,rcode编码为NXDomain(nt:表示不存在的域)),没有回答记录,
但包含一个名称服务器记录,不包含权威服务器记录(nt|ck:从上文来看,此处的authorityrecords就是上文中对应的additional
records).'*'表示权威服务器回答标志被设置(nt:从而additionalrecords就表示的是authorityrecords).
由于没有回答记录,type,class,data字段都被忽略.
flag字段还有可能出现其他一些字符,比如'-'(nt:表示可递归地查询,即RA标志没有被设置),'|'(nt:表示被截断的消息,即TC标志
被置位).如果应答(nt|ct:可理解为,包含名称服务应答的UDP数据包,tcpdump知道这类数据包该怎样解析其数据)的'question'段一个条
目(entry)都不包含(nt:每个条目的含义,需补充),'[nq]'会被打印出来.
要注意的是:名称服务器的请求和应答数据量比较大,而默认的68字节的抓取长度(nt:snaplen,可理解为tcpdump的一个设置选项)可能不足以抓取
数据包的全部内容.如果你真的需要仔细查看名称服务器的负载,可以通过tcpdump的-s选项来扩大snaplen值.
SMB/CIFS解码
tcpdump已可以对SMB/CIFS/NBT相关应用的数据包内容进行解码(nt:分别为'ServerMessageBlockCommon','InternetFileSystem'
'在TCP/IP上实现的网络协议NETBIOS的简称'.这几个服务通常使用UDP的137/138以及TCP的139端口).原来的对IPX和NetBEUISMB数据包的
解码能力依然可以被使用(nt:NetBEUI为NETBIOS的增强版本).
tcpdump默认只按照最简约模式对相应数据包进行解码,如果我们想要详尽的解码信息可以使用其-v启动选现.要注意的是,-v会产生非常详细的信息,
比如对单一的一个SMB数据包,将产生一屏幕或更多的信息,所以此选项,确有需要才使用.
关于SMB数据包格式的信息,以及每个域的含义可以参看www.cifs.org或者samba.org镜像站点的pub/samba/specs/目录.linux上的SMB补丁
(nt|rt:patch)由AndrewTridgell(tridge@samba.org)提供.
NFS请求和回应
tcpdump对SunNFS(网络文件系统)请求和回应的UDP数据包有如下格式的打印输出:
src.xid>dst.nfs:lenopargs
src.nfs>dst.xid:replystatlenopresults
以下是一组具体的输出数据
sushi.6709>wrl.nfs:112readlinkfh21,24/10.73165
wrl.nfs>sushi.6709:replyok40readlink"../var"
sushi.201b>wrl.nfs:
144lookupfh9,74/4096.6878"xcolors"
wrl.nfs>sushi.201b:
replyok128lookupfh9,74/4134.3150
第一行输出表明:主机sushi向主机wrl发送了一个'交换请求'(nt:transaction),此请求的id为6709(注意,主机名字后是交换
请求id号,而不是源端口号).此请求数据为112字节,其中不包括UDP和IP头部的长度.操作类型为readlink(nt:即此操作为读符号链接操作),
操作参数为fh21,24/10.73165(nt:可按实际运行环境,解析如下,fd表示描述的为文件句柄,21,24表示此句柄所对应设
备的主/从设备号对,10表示此句柄所对应的i节点编号(nt:每个文件都会在操作系统中对应一个i节点,限于unix类系统中),
73165是一个编号(nt:可理解为标识此请求的一个随机数,具体含义需补充)).
第二行中,wrl做了'ok'的回应,并且在results字段中返回了sushi想要读的符号连接的真实目录(nt:即sushi要求读的符号连接其实是一个目录).
第三行表明:sushi再次请求wrl在'fh9,74/4096.6878'所描述的目录中查找'xcolors'文件.需要注意的是,每行所显示的数据含义依赖于其中op字段的
类型(nt:不同op所对应args含义不相同),其格式遵循NFS协议,追求简洁明了.
如果tcpdump的-v选项(详细打印选项)被设置,附加的信息将被显示.比如:
sushi.1372a>wrl.nfs:
148readfh21,11/12.1958192bytes@24576
wrl.nfs>sushi.1372a:
replyok1472readREG100664ids417/0sz29388
(-v选项一般还会打印出IP头部的TTL,ID,length,以及fragmentation域,但在此例中,都略过了(nt:可理解为,简洁起见,做了删减))
在第一行,sushi请求wrl从文件21,11/12.195(nt:格式在上面有描述)中,自偏移24576字节处开始,读取8192字节数据.
Wrl回应读取成功;由于第二行只是回应请求的开头片段,所以只包含1472字节(其他的数据将在接着的reply片段中到来,但这些数据包不会再有NFS
头,甚至UDP头信息也为空(nt:源和目的应该要有),这将导致这些片段不能满足过滤条件,从而没有被打印).-v选项除了显示文件数据信息,还会显示
附加显示文件属性信息:filetype(文件类型,''REG''表示普通文件),filemode(文件存取模式,8进制表示的),uid和gid(nt:文件属主和
组属主),filesize(文件大小).
如果-v标志被多次重复给出(nt:如-vv),tcpdump会显示更加详细的信息.
必须要注意的是,NFS请求包中数据比较多,如果tcpdump的snaplen(nt:抓取长度)取太短将不能显示其详细信息.可使用
'-s192'来增加snaplen,这可用以监测NFS应用的网络负载(nt:traffic).
NFS的回应包并不严格的紧随之前相应的请求包(nt:RPCoperation).从而,tcpdump会跟踪最近收到的一系列请求包,再通过其
交换序号(nt:transactionID)与相应请求包相匹配.这可能产生一个问题,如果回应包来得太迟,超出tcpdump对相应请求包的跟踪范围,
该回应包将不能被分析.
AFS请求和回应
AFS(nt:Andrew文件系统,Transarc,未知,需补充)请求和回应有如下的答应
src.sport>dst.dport:rxpacket-type
src.sport>dst.dport:rxpacket-typeservicecallcall-nameargs
src.sport>dst.dport:rxpacket-typeservicereplycall-nameargs
elvis.7001>pike.afsfs:
rxdatafscallrenameoldfid536876964/1/1".newsrc.new"
newfid536876964/1/1".newsrc"
pike.afsfs>elvis.7001:rxdatafsreplyrename
在第一行,主机elvis向pike发送了一个RX数据包.
这是一个对于文件服务的请求数据包(nt:RXdatapacket,发送数据包,可理解为发送包过去,从而请求对方的服务),这也是一个RPC
调用的开始(nt:RPC,remoteprocedurecall).此RPC请求pike执行rename(nt:重命名)操作,并指定了相关的参数:
原目录描述符为536876964/1/1,原文件名为'.newsrc.new',新目录描述符为536876964/1/1,新文件名为'.newsrc'.
主机pike对此rename操作的RPC请求作了回应(回应表示rename操作成功,因为回应的是包含数据内容的包而不是异常包).
一般来说,所有的'AFSRPC'请求被显示时,会被冠以一个名字(nt:即decode,解码),这个名字往往就是RPC请求的操作名.
并且,这些RPC请求的部分参数在显示时,也会被冠以一个名字(nt|rt:即decode,解码,一般来说也是取名也很直接,比如,
一个interesting参数,显示的时候就会直接是'interesting',含义拗口,需再翻).
这种显示格式的设计初衷为'一看就懂',但对于不熟悉AFS和RX工作原理的人可能不是很
有用(nt:还是不用管,书面吓吓你的,往下看就行).
如果-v(详细)标志被重复给出(nt:如-vv),tcpdump会打印出确认包(nt:可理解为,与应答包有区别的包)以及附加头部信息
(nt:可理解为,所有包,而不仅仅是确认包的附加头部信息),比如,RXcallID(请求包中'请求调用'的ID),
callnumber('请求调用'的编号),sequencenumber(nt:包顺序号),
serialnumber(nt|rt:可理解为与包中数据相关的另一个顺信号,具体含义需补充),请求包的标识.(nt:接下来一段为重复描述,
所以略去了),此外确认包中的MTU协商信息也会被打印出来(nt:确认包为相对于请求包的确认包,MaximumTransmissionUnit,最大传输单元).
如果-v选项被重复了三次(nt:如-vvv),那么AFS应用类型数据包的'安全索引'('securityindex')以及'服务索引'('serviceid')将会
被打印.
对于表示异常的数据包(nt:abortpacket,可理解为,此包就是用来通知接受者某种异常已发生),tcpdump会打印出错误号(errorcodes).
但对于Ubikbeaconpackets(nt:Ubik灯塔指示包,Ubik可理解为特殊的通信协议,beaconpackets,灯塔数据包,可理解为指明通信中
关键信息的一些数据包),错误号不会被打印,因为对于Ubik协议,异常数据包不是表示错误,相反却是表示一种肯定应答(nt:即,yesvote).
AFS请求数据量大,参数也多,所以要求tcpdump的snaplen比较大,一般可通过启动tcpdump时设置选项'-s256'来增大snaplen,以
监测AFS应用通信负载.
AFS回应包并不显示标识RPC属于何种远程调用.从而,tcpdump会跟踪最近一段时间内的请求包,并通过callnumber(调用编号),serviceID
(服务索引)来匹配收到的回应包.如果回应包不是针对最近一段时间内的请求包,tcpdump将无法解析该包.
KIPAppleTalk协议
(nt|rt:DDPinUDP可理解为,DDP,TheAppleTalkDataDeliveryProtocol,
相当于支持KIPAppleTalk协议栈的网络层协议,而DDP本身又是通过UDP来传输的,
即在UDP上实现的用于其他网络的网络层,KIPAppleTalk是苹果公司开发的整套网络协议栈).
AppleTalkDDP数据包被封装在UDP数据包中,其解封装(nt:相当于解码)和相应信息的转储也遵循DDP包规则.
(nt:encapsulate,封装,相当于编码,de-encapsulate,解封装,相当于解码,dump,转储,通常就是指对其信息进行打印).
/etc/atalk.names文件中包含了AppleTalk网络和节点的数字标识到名称的对应关系.其文件格式通常如下所示:
numbername
1.254ether
16.1icsd-net
1.254.110ace
头两行表示有两个AppleTalk网络.第三行给出了特定网络上的主机(一个主机会用3个字节来标识,
而一个网络的标识通常只有两个字节,这也是两者标识的主要区别)(nt:1.254.110可理解为ether网络上的ace主机).
标识与其对应的名字之间必须要用空白分开.除了以上内容,/etc/atalk.names中还包含空行以及注释行(以'#'开始的行).
AppleTalk完整网络地址将以如下格式显示:
net.host.port
以下为一段具体显示:
144.1.209.2>icsd-net.112.220
office.2>icsd-net.112.220
jssmag.149.235>icsd-net.2
(如果/etc/atalk.names文件不存在,或者没有相应AppleTalk主机/网络的条目,数据包的网络地址将以数字形式显示).
在第一行中,网络144.1上的节点209通过2端口,向网络icsd-net上监听在220端口的112节点发送了一个NBP应用数据包
(nt|rt:NBP,namebindingprotocol,名称绑定协议,从数据来看,NBP服务器会在端口2提供此服务.
'DDPport2'可理解为'DDP对应传输层的端口2',DDP本身没有端口的概念,这点未确定,需补充).
第二行与第一行类似,只是源的全部地址可用'office'进行标识.
第三行表示:jssmag网络上的149节点通过235向icsd-net网络上的所有节点的2端口(NBP端口)发送了数据包.(需要注意的是,
在AppleTalk网络中如果地址中没有节点,则表示广播地址,从而节点标识和网络标识最好在/etc/atalk.names有所区别.
nt:否则一个标识x.port无法确定x是指一个网络上所有主机的port口还是指定主机x的port口).
tcpdump可解析NBP(名称绑定协议)andATP(AppleTalk传输协议)数据包,对于其他应用层的协议,只会打印出相应协议名字(
如果此协议没有注册一个通用名字,只会打印其协议号)以及数据包的大小.
NBP数据包会按照如下格式显示:
icsd-net.112.220>jssmag.2:nbp-lkup190:"=:LaserWriter@*"
jssmag.209.2>icsd-net.112.220:nbp-reply190:"RM1140:LaserWriter@*"250
techpit.2>icsd-net.112.220:nbp-reply190:"techpit:LaserWriter@*"186
第一行表示:网络icsd-net中的节点112通过220端口向网络jssmag中所有节点的端口2发送了对'LaserWriter'的名称查询请求(nt:
此处名称可理解为一个资源的名称,比如打印机).此查询请求的序列号为190.
第二行表示:网络jssmag中的节点209通过2端口向icsd-net.112节点的端口220进行了回应:我有'LaserWriter'资源,其资源名称
为'RM1140',并且在端口250上提供改资源的服务.此回应的序列号为190,对应之前查询的序列号.
第三行也是对第一行请求的回应:节点techpit通过2端口向icsd-net.112节点的端口220进行了回应:我有'LaserWriter'资源,其资源名称
为'techpit',并且在端口186上提供改资源的服务.此回应的序列号为190,对应之前查询的序列号.
ATP数据包的显示格式如下
jssmag.209.165>helios.132:atp-req12266<0-7>0xae030001
helios.132>jssmag.209.165:atp-resp12266:0(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:1(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:2(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:3(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:5(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:6(512)0xae040000
helios.132>jssmag.209.165:atp-resp*12266:7(512)0xae040000
jssmag.209.165>helios.132:atp-req12266<3,5>0xae030001
helios.132>jssmag.209.165:atp-resp12266:3(512)0xae040000
helios.132>jssmag.209.165:atp-resp12266:5(512)0xae040000
jssmag.209.165>helios.132:atp-rel12266<0-7>0xae030001
jssmag.209.133>helios.132:atp-req*12267<0-7>0xae030002
第一行表示节点Jssmag.209向节点helios发送了一个会话编号为12266的请求包,请求helios
回应8个数据包(这8个数据包的顺序号为0-7(nt:顺序号与会话编号不同,后者为一次完整传输的编号,
前者为该传输中每个数据包的编号.transaction,会话,通常也被叫做传输)).行尾的16进制数字表示
该请求包中'userdata'域的值(nt:从下文来看,这并没有把所有用户数据都打印出来).
Helios回应了8个512字节的数据包.跟在会话编号(nt:12266)后的数字表示该数据包在该会话中的顺序号.
括号中的数字表示该数据包中数据的大小,这不包括atp的头部.在顺序号为7数据包(第8行)外带了一个'*'号,
表示该数据包的EOM标志被设置了.(nt:EOM,EndOfMedia,可理解为,表示一次会话的数据回应完毕).
接下来的第9行表示,Jssmag.209又向helios提出了请求:顺序号为3以及5的数据包请重新传送.Helios收到这个
请求后重新发送了这个两个数据包,jssmag.209再次收到这两个数据包之后,主动结束(release)了此会话.
在最后一行,jssmag.209向helios发送了开始下一次会话的请求包.请求包中的'*'表示该包的XO标志没有被设置.
(nt:XO,exactlyonce,可理解为在该会话中,数据包在接受方只被精确地处理一次,就算对方重复传送了该数据包,
接收方也只会处理一次,这需要用到特别设计的数据包接收和处理机制).
IP数据包破碎
(nt:指把一个IP数据包分成多个IP数据包)
碎片IP数据包(nt:即一个大的IP数据包破碎后生成的小IP数据包)有如下两种显示格式.
(fragid:size@offset+)
(fragid:size@offset)
(第一种格式表示,此碎片之后还有后续碎片.第二种格式表示,此碎片为最后一个碎片.)
id表示破碎编号(nt:从下文来看,会为每个要破碎的大IP包分配一个破碎编号,以便区分每个小碎片是否由同一数据包破碎而来).
size表示此碎片的大小,不包含碎片头部数据.offset表示此碎片所含数据在原始整个IP包中的偏移((nt:从下文来看,
一个IP数据包是作为一个整体被破碎的,包括头和数据,而不只是数据被分割).
每个碎片都会使tcpdump产生相应的输出打印.第一个碎片包含了高层协议的头数据(nt:从下文来看,被破碎IP数据包中相应tcp头以及
IP头都放在了第一个碎片中),从而tcpdump会针对第一个碎片显示这些信息,并接着显示此碎片本身的信息.其后的一些碎片并不包含
高层协议头信息,从而只会在显示源和目的之后显示碎片本身的信息.以下有一个例子:这是一个从arizona.edu到lbl-rtsg.arpa
途经CSNET网络(nt:CSNETconnection可理解为建立在CSNET网络上的连接)的ftp应用通信片段:
arizona.ftp-data>rtsg.1170:.1024:1332(308)ack1win4096(frag595a:328@0+)
arizona>rtsg:(frag595a:204@328)
rtsg.1170>arizona.ftp-data:.ack1536win2560
有几点值得注意:
第一,第二行的打印中,地址后面没有端口号.
这是因为TCP协议信息都放到了第一个碎片中,当显示第二个碎片时,我们无法知道此碎片所对应TCP包的顺序号.
第二,从第一行的信息中,可以发现arizona需要向rtsg发送308字节的用户数据,而事实是,相应IP包经破碎后会总共产生512字节
数据(第一个碎片包含308字节的数据,第二个碎片包含204个字节的数据,这超过了308字节).如果你在查找数据包的顺序号空间中的
一些空洞(nt:hole,空洞,指数据包之间的顺序号没有上下衔接上),512这个数据就足够使你迷茫一阵(nt:其实只要关注308就行,
不必关注破碎后的数据总量).
一个数据包(nt|rt:指IP数据包)如果带有非IP破碎标志,则显示时会在最后显示'(DF)'.(nt:意味着此IP包没有被破碎过).
时间戳
tcpdump的所有输出打印行中都会默认包含时间戳信息.
时间戳信息的显示格式如下
hh:mm:ss.frac(nt:小时:分钟:秒.(nt:frac未知,需补充))
此时间戳的精度与内核时间精度一致,反映的是内核第一次看到对应数据包的时间(nt:saw,即可对该数据包进行操作).
而数据包从物理线路传递到内核的时间,以及内核花费在此包上的中断处理时间都没有算进来.
命令使用
tcpdump采用命令行方式,它的命令格式为:
tcpdump[-AdDeflLnNOpqRStuUvxX][-ccount][-Cfile_size][-Ffile][-iinterface][-mmodule][-Msecret][-rfile][-ssnaplen][-Ttype][-wfile][-Wfilecount][-Espi@ipaddralgo:secret,...][-ydatalinktype][-Zuser][expression]
tcpdump的简单选项介绍
-A以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息).在抓取包含网页数据的数据包时,可方便查看数据(nt:即Handyforcapturingwebpages).-ccounttcpdump将在接受到count个数据包后退出.-Cfile-size(nt:此选项用于配合-wfile选项使用)该选项使得tcpdump在把原始数据包直接保存到文件中之前,检查此文件大小是否超过file-size.如果超过了,将关闭此文件,另创一个文件继续用于原始数据包的记录.新创建的文件名与-w选项指定的文件名一致,但文件名后多了一个数字.该数字会从1开始随着新创建文件的增多而增加.file-size的单位是百万字节(nt:这里指1,000,000个字节,并非1,048,576个字节,后者是以1024字节为1k,1024k字节为1M计算所得,即1M=1024*1024=1,048,576)-d以容易阅读的形式,在标准输出上打印出编排过的包匹配码,随后tcpdump停止.(nt|rt:humanreadable,容易阅读的,通常是指以ascii码来打印一些信息.compiled,编排过的.packet-matchingcode,包匹配码,含义未知,需补充)-dd以C语言的形式打印出包匹配码.-ddd以十进制数的形式打印出包匹配码(会在包匹配码之前有一个附加的'count'前缀).-D打印系统中所有tcpdump可以在其上进行抓包的网络接口.每一个接口会打印出数字编号,相应的接口名字,以及可能的一个网络接口描述.其中网络接口名字和数字编号可以用在tcpdump的-iflag选项(nt:把名字或数字代替flag),来指定要在其上抓包的网络接口.此选项在不支持接口列表命令的系统上很有用(nt:比如,Windows系统,或缺乏ifconfig-a的UNIX系统);接口的数字编号在windows2000或其后的系统中很有用,因为这些系统上的接口名字比较复杂,而不易使用.如果tcpdump编译时所依赖的libpcap库太老,-D选项不会被支持,因为其中缺乏pcap_findalldevs()函数.-e每行的打印输出中将包括数据包的数据链路层头部信息-Espi@ipaddralgo:secret,...可通过spi@ipaddralgo:secret来解密IPsecESP包(nt|rt:IPsecEncapsulatingSecurityPayload,IPsec封装安全负载,IPsec可理解为,一整套对ip数据包的加密协议,ESP为整个IP数据包或其中上层协议部分被加密后的数据,前者的工作模式称为隧道模式;后者的工作模式称为传输模式.工作原理,另需补充).需要注意的是,在终端启动tcpdump时,可以为IPv4ESPpackets设置密钥(secret).可用于加密的算法包括des-cbc,3des-cbc,blowfish-cbc,rc3-cbc,cast128-cbc,或者没有(none).默认的是des-cbc(nt:des,DataEncryptionStandard,数据加密标准,加密算法未知,另需补充).secret为用于ESP的密钥,使用ASCII字符串方式表达.如果以0x开头,该密钥将以16进制方式读入.该选项中ESP的定义遵循RFC2406,而不是RFC1827.并且,此选项只是用来调试的,不推荐以真实密钥(secret)来使用该选项,因为这样不安全:在命令行中输入的secret可以被其他人通过ps等命令查看到.除了以上的语法格式(nt:指spi@ipaddralgo:secret),还可以在后面添加一个语法输入文件名字供tcpdump使用(nt:即把spi@ipaddralgo:secret,...中...换成一个语法文件名).此文件在接受到第一个ESP包时会打开此文件,所以最好此时把赋予tcpdump的一些特权取消(nt:可理解为,这样防范之后,当该文件为恶意编写时,不至于造成过大损害).-f显示外部的IPv4地址时(nt:foreignIPv4addresses,可理解为,非本机ip地址),采用数字方式而不是名字.(此选项是用来对付Sun公司的NIS服务器的缺陷(nt:NIS,网络信息服务,tcpdump显示外部地址的名字时会用到她提供的名称服务):此NIS服务器在查询非本地地址名字时,常常会陷入无尽的查询循环).由于对外部(foreign)IPv4地址的测试需要用到本地网络接口(nt:tcpdump抓包时用到的接口)及其IPv4地址和网络掩码.如果此地址或网络掩码不可用,或者此接口根本就没有设置相应网络地址和网络掩码(nt:linux下的'any'网络接口就不需要设置地址和掩码,不过此'any'接口可以收到系统中所有接口的数据包),该选项不能正常工作.-Ffile使用file文件作为过滤条件表达式的输入,此时命令行上的输入将被忽略.-iinterface指定tcpdump需要监听的接口.如果没有指定,tcpdump会从系统接口列表中搜寻编号最小的已配置好的接口(不包括loopback接口).一但找到第一个符合条件的接口,搜寻马上结束.在采用2.2版本或之后版本内核的Linux操作系统上,'any'这个虚拟网络接口可被用来接收所有网络接口上的数据包(nt:这会包括目的是该网络接口的,也包括目的不是该网络接口的).需要注意的是如果真实网络接口不能工作在'混杂'模式(promiscuous)下,则无法在'any'这个虚拟的网络接口上抓取其数据包.如果-D标志被指定,tcpdump会打印系统中的接口编号,而该编号就可用于此处的interface参数.-l对标准输出进行行缓冲(nt:使标准输出设备遇到一个换行符就马上把这行的内容打印出来).在需要同时观察抓包打印以及保存抓包记录的时候很有用.比如,可通过以下命令组合来达到此目的:``tcpdump-l|teedat''或者``tcpdump-l>dat&tail-fdat''.(nt:前者使用tee来把tcpdump的输出同时放到文件dat和标准输出中,而后者通过重定向操作'>',把tcpdump的输出放到dat文件中,同时通过tail把dat文件中的内容放到标准输出中)-L列出指定网络接口所支持的数据链路层的类型后退出.(nt:指定接口通过-i来指定)-mmodule通过module指定的file装载SMIMIB模块(nt:SMI,StructureofManagementInformation,管理信息结构MIB,ManagementInformationBase,管理信息库.可理解为,这两者用于SNMP(SimpleNetworkManagementProtoco)协议数据包的抓取.具体SNMP的工作原理未知,另需补充).此选项可多次使用,从而为tcpdump装载不同的MIB模块.-Msecret如果TCP数据包(TCPsegments)有TCP-MD5选项(在RFC2385有相关描述),则为其摘要的验证指定一个公共的密钥secret.-n不对地址(比如,主机地址,端口号)进行数字表示到名字表示的转换.-N不打印出host的域名部分.比如,如果设置了此选现,tcpdump将会打印'nic'而不是'nic.ddn.mil'.-O不启用进行包匹配时所用的优化代码.当怀疑某些bug是由优化代码引起的,此选项将很有用.-p一般情况下,把网络接口设置为非'混杂'模式.但必须注意,在特殊情况下此网络接口还是会以'混杂'模式来工作;从而,'-p'的设与不设,不能当做以下选现的代名词:'etherhost{local-hw-add}'或'etherbroadcast'(nt:前者表示只匹配以太网地址为host的包,后者表示匹配以太网地址为广播地址的数据包).-q快速(也许用'安静'更好?)打印输出.即打印很少的协议相关信息,从而输出行都比较简短.-R设定tcpdump对ESP/AH数据包的解析按照RFC1825而不是RFC1829(nt:AH,认证头,ESP,安全负载封装,这两者会用在IP包的安全传输机制中).如果此选项被设置,tcpdump将不会打印出'禁止中继'域(nt:relaypreventionfield).另外,由于ESP/AH规范中没有规定ESP/AH数据包必须拥有协议版本号域,所以tcpdump不能从收到的ESP/AH数据包中推导出协议版本号.-rfile从文件file中读取包数据.如果file字段为'-'符号,则tcpdump会从标准输入中读取包数据.-S打印TCP数据包的顺序号时,使用绝对的顺序号,而不是相对的顺序号.(nt:相对顺序号可理解为,相对第一个TCP包顺序号的差距,比如,接受方收到第一个数据包的绝对顺序号为232323,对于后来接收到的第2个,第3个数据包,tcpdump会打印其序列号为1,2分别表示与第一个数据包的差距为1和2.而如果此时-S选项被设置,对于后来接收到的第2个,第3个数据包会打印出其绝对顺序号:232324,232325).-ssnaplen设置tcpdump的数据包抓取长度为snaplen,如果不设置默认将会是68字节(而支持网络接口分接头(nt:NIT,上文已有描述,可搜索'网络接口分接头'关键字找到那里)的SunOS系列操作系统中默认的也是最小值是96).68字节对于IP,ICMP(nt:InternetControlMessageProtocol,因特网控制报文协议),TCP以及UDP协议的报文已足够,但对于名称服务(nt:可理解为dns,nis等服务),NFS服务相关的数据包会产生包截短.如果产生包截短这种情况,tcpdump的相应打印输出行中会出现''[|proto]''的标志(proto实际会显示为被截短的数据包的相关协议层次).需要注意的是,采用长的抓取长度(nt:snaplen比较大),会增加包的处理时间,并且会减少tcpdump可缓存的数据包的数量,从而会导致数据包的丢失.所以,在能抓取我们想要的包的前提下,抓取长度越小越好.把snaplen设置为0意味着让tcpdump自动选择合适的长度来抓取数据包.-Ttype强制tcpdump按type指定的协议所描述的包结构来分析收到的数据包.目前已知的type可取的协议为:aodv(Ad-hocOn-demandDistanceVectorprotocol,按需距离向量路由协议,在Adhoc(点对点模式)网络中使用),cnfp(CiscoNetFlowprotocol),rpc(RemoteProcedureCall),rtp(Real-TimeApplicationsprotocol),rtcp(Real-TimeApplicationscon-trolprotocol),snmp(SimpleNetworkManagementProtocol),tftp(TrivialFileTransferProtocol,碎文件协议),vat(VisualAudioTool,可用于在internet上进行电视电话会议的应用层协议),以及wb(distributedWhiteBoard,可用于网络会议的应用层协议).-t在每行输出中不打印时间戳-tt不对每行输出的时间进行格式处理(nt:这种格式一眼可能看不出其含义,如时间戳打印成1261798315)-ttttcpdump输出时,每两行打印之间会延迟一个段时间(以毫秒为单位)-tttt在每行打印的时间戳之前添加日期的打印-u打印出未加密的NFS句柄(nt:handle可理解为NFS中使用的文件句柄,这将包括文件夹和文件夹中的文件)-U使得当tcpdump在使用-w选项时,其文件写入与包的保存同步.(nt:即,当每个数据包被保存时,它将及时被写入文件中,而不是等文件的输出缓冲已满时才真正写入此文件)-U标志在老版本的libcap库(nt:tcpdump所依赖的报文捕获库)上不起作用,因为其中缺乏pcap_cump_flush()函数.-v当分析和打印的时候,产生详细的输出.比如,包的生存时间,标识,总长度以及IP包的一些选项.这也会打开一些附加的包完整性检测,比如对IP或ICMP包头部的校验和.-vv产生比-v更详细的输出.比如,NFS回应包中的附加域将会被打印,SMB数据包也会被完全解码.-vvv产生比-vv更详细的输出.比如,telent时所使用的SB,SE选项将会被打印,如果telnet同时使用的是图形界面,其相应的图形选项将会以16进制的方式打印出来(nt:telnet的SB,SE选项含义未知,另需补充).-w把包数据直接写入文件而不进行分析和打印输出.这些包数据可在随后通过-r选项来重新读入并进行分析和打印.-Wfilecount此选项与-C选项配合使用,这将限制可打开的文件数目,并且当文件数据超过这里设置的限制时,依次循环替代之前的文件,这相当于一个拥有filecount个文件的文件缓冲池.同时,该选项会使得每个文件名的开头会出现足够多并用来占位的0,这可以方便这些文件被正确的排序.-x当分析和打印时,tcpdump会打印每个包的头部数据,同时会以16进制打印出每个包的数据(但不包括连接层的头部).总共打印的数据大小不会超过整个数据包的大小与snaplen中的最小值.必须要注意的是,如果高层协议数据没有snaplen这么长,并且数据链路层(比如,Ethernet层)有填充数据,则这些填充数据也会被打印.(nt:soforlinklayersthatpad,未能衔接理解和翻译,需补充)-xxtcpdump会打印每个包的头部数据,同时会以16进制打印出每个包的数据,其中包括数据链路层的头部.-X当分析和打印时,tcpdump会打印每个包的头部数据,同时会以16进制和ASCII码形式打印出每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.-XX当分析和打印时,tcpdump会打印每个包的头部数据,同时会以16进制和ASCII码形式打印出每个包的数据,其中包括数据链路层的头部.这对于分析一些新协议的数据包很方便.-ydatalinktype设置tcpdump只捕获数据链路层协议类型是datalinktype的数据包-Zuser使tcpdump放弃自己的超级权限(如果以root用户启动tcpdump,tcpdump将会有超级用户权限),并把当前tcpdump的用户ID设置为user,组ID设置为user首要所属组的ID(nt:tcpdump此处可理解为tcpdump运行之后对应的进程)此选项也可在编译的时候被设置为默认打开.(nt:此时user的取值未知,需补充)
tcpdump条件表达式
该表达式用于决定哪些数据包将被打印.如果不给定条件表达式,网络上所有被捕获的包都会被打印,否则,只有满足条件表达式的数据包被打印.(nt:allpackets,可理解为,所有被指定接口捕获的数据包).
表达式由一个或多个'表达元'组成(nt:primitive,表达元,可理解为组成表达式的基本元素).一个表达元通常由一个或多个修饰符(qualifiers)后跟一个名字或数字表示的id组成(nt:即,'qualifiersid').有三种不同类型的修饰符:type,dir以及proto.
type修饰符指定id所代表的对象类型,id可以是名字也可以是数字.可选的对象类型有:host,net,port以及portrange(nt:host表明id表示主机,net表明id是网络,port表明id是端而portrange表明id是一个端口范围).如,'hostfoo','net128.3','port20','portrange6000-6008'(nt:分别表示主机foo,网络128.3,端口20,端口范围6000-6008).如果不指定type修饰符,id默认的修饰符为host.dir修饰符描述id所对应的传输方向,即发往id还是从id接收(nt:而id到底指什么需要看其前面的type修饰符).可取的方向为:src,dst,src或dst,src并且dst.(nt:分别表示,id是传输源,id是传输目的,id是传输源或者传输目的,id是传输源并且是传输目的).例如,'srcfoo','dstnet128.3','srcordstportftp-data'.(nt:分别表示符合条件的数据包中,源主机是foo,目的网络是128.3,源或目的端口为ftp-data).如果不指定dir修饰符,id默认的修饰符为src或dst.对于链路层的协议,比如SLIP(nt:SerialLineInternetProtocol,串联线路网际网络协议),以及linux下指定'any'设备,并指定'cooked'(nt|rt:cooked含义未知,需补充)抓取类型,或其他设备类型,可以用'inbound'和'outbount'修饰符来指定想要的传输方向.proto修饰符描述id所属的协议.可选的协议有:ether,fddi,tr,wlan,ip,ip6,arp,rarp,decnet,tcp以及upd.(nt|rt:ether,fddi,tr,具体含义未知,需补充.可理解为物理以太网传输协议,光纤分布数据网传输协议,以及用于路由跟踪的协议.wlan,无线局域网协议;ip,ip6即通常的TCP/IP协议栈中所使用的ipv4以及ipv6网络层协议;arp,rarp即地址解析协议,反向地址解析协议;decnet,DigitalEquipmentCorporation开发的,最早用于PDP-11机器互联的网络协议;tcpandudp,即通常TCP/IP协议栈中的两个传输层协议).例如,`ethersrcfoo',`arpnet128.3',`tcpport21',`udpportrange7000-7009'分别表示'从以太网地址foo来的数据包','发往或来自128.3网络的arp协议数据包','发送或接收端口为21的tcp协议数据包','发送或接收端口范围为7000-7009的udp协议数据包'.如果不指定proto修饰符,则默认为与相应type匹配的修饰符.例如,'srcfoo'含义是'(iporarporrarp)srcfoo'(nt:即,来自主机foo的ip/arp/rarp协议数据包,默认type为host),`netbar'含义是`(iporarporrarp)netbar'(nt:即,来自或发往bar网络的ip/arp/rarp协议数据包),`port53'含义是`(tcporudp)port53'(nt:即,发送或接收端口为53的tcp/udp协议数据包).(nt:由于tcpdump直接通过数据链路层的BSD数据包过滤器或DLPI(datalinkproviderinterface,数据链层提供者接口)来直接获得网络数据包,其可抓取的数据包可涵盖上层的各种协议,包括arp,rarp,icmp(因特网控制报文协议),ip,ip6,tcp,udp,sctp(流控制传输协议).对于修饰符后跟id的格式,可理解为,typeid是对包最基本的过滤条件:即对包相关的主机,网络,端口的限制;dir表示对包的传送方向的限制;proto表示对包相关的协议限制)'fddi'(nt:FiberDistributedDataInterface)实际上与'ether'含义一样:tcpdump会把他们当作一种''指定网络接口上的数据链路层协议''.如同ehter网(以太网),FDDI的头部通常也会有源,目的,以及包类型,从而可以像ether网数据包一样对这些域进行过滤.此外,FDDI头部还有其他的域,但不能被放到表达式中用来过滤同样,'tr'和'wlan'也和'ether'含义一致,上一段对fddi的描述同样适用于tr(TokenRing)和wlan(802.11wirelessLAN)的头部.对于802.11协议数据包的头部,目的域称为DA,源域称为SA;而其中的BSSID,RA,TA域(nt|rt:具体含义需补充)不会被检测(nt:不能被用于包过虑表达式中).
除以上所描述的表达元('primitive'),还有其他形式的表达元,并且与上述表达元格式不同.比如:gateway,broadcast,less,greater以及算术表达式(nt:其中每一个都算一种新的表达元).下面将会对这些表达元进行说明.
表达元之间还可以通过关键字and,or以及not进行连接,从而可组成比较复杂的条件表达式.比如,`hostfooandnotportftpandnotportftp-data'(nt:其过滤条件可理解为,数据包的主机为foo,并且端口不是ftp(端口21)和ftp-data(端口20,常用端口和名字的对应可在linux系统中的/etc/service文件中找到)).
为了表示方便,同样的修饰符可以被省略,如'tcpdst