TCPDUMP DESCRIPCIÓN Tcpdump imprime una descripción del contenido de los paquetes en una interfaz de red que coinciden con la expresión lógica de la descripción es precedida por una marca de tiempo, impreso, por defecto, en horas, minutos, segundos y fracciones de segundo desde la medianoche. También se puede ejecutar con la bandera - w, lo que hace que para guardar los datos de paquete en un archivo para su posterior análisis, y / o con la bandera - r, que hace que se lea desde un archivo de paquete salvado en lugar de leer los paquetes a partir de una interfaz de red. También se puede ejecutar con la bandera - V, lo que hace que se lea una lista de archivos de paquetes guardados. En todos los casos, sólo los paquetes que expresión de coincidencia será procesada por tcpdump. Tcpdump, si no se ejecuta con la opción - c, continuar la captura de paquetes hasta que es interrumpida por una señal SIGINT (generada, por ejemplo, escribiendo su carácter de interrupción, por lo general controlar-C) o una señal SIGTERM (típicamente generado con la matanza (1) de comandos) si se ejecuta con la opción - c, capturará los paquetes hasta que es interrumpida por una señal SIGINT o SIGTERM o el número especificado de paquetes han sido procesados. Cuando tcpdump termina de captura de paquetes, se informará cargos de: paquetes capturados (este es el número de paquetes que tcpdump ha recibido y procesado) los paquetes recibidos por el filtro (el significado de esto depende del sistema operativo en el que usted está corriendo tcpdump y posiblemente en. la forma en que el sistema operativo se configura - si un filtro se especifica en la línea de comandos, en algunos sistemas operativos que cuenta los paquetes, independientemente de que se correspondían con la expresión de filtro y, aunque fueron emparejados por la expresión de filtro, independientemente de si tcpdump tiene leer y los procesa sin embargo, en otros sistemas operativos que cuenta solamente los paquetes que fueron igualadas por la expresión de filtro independientemente de si tcpdump ha leído y procesado todavía, y en otros sistemas operativos que cuenta solamente los paquetes que fueron igualadas por la expresión de filtro y fueron procesados por tcpdump) paquetes descartados por el núcleo (esto es el número de paquetes que fueron arrojadas, debido a la falta de espacio de almacenamiento temporal, por el mecanismo de captura de paquetes en el sistema operativo en el que se ejecuta tcpdump, si el sistema operativo informa de que la información a las aplicaciones, si no, será reportado como 0). En las plataformas que soportan la señal SIGINFO, como la mayoría de BSD (incluyendo Mac OS X) y Digital / Tru64 UNIX, informará de esas cuenta cuando se recibe una señal SIGINFO (generada, por ejemplo, escribiendo su carácter de estado, normalmente control - T, aunque en algunas plataformas, como Mac OS X, el carácter de estado no se establece de forma predeterminada, por lo que debe establecer con stty (1) con el fin de usarlo) y continuará la captura de paquetes. En las plataformas que no admiten la señal SIGINFO, el mismo se puede conseguir mediante el uso de la señal SIGUSR1. La lectura de los paquetes de una interfaz de red puede requerir que usted tiene privilegios especiales, véase la página del manual pcap (3PCAP) para más detalles. La lectura de un archivo guardado de paquetes No requiere privilegios especiales. Opciones - a Imprimir cada paquete (menos su cabecera del nivel de enlace) en ASCII. Es práctico para la captura de páginas web. - b Muestra el número de AS en los paquetes BGP en ASDOT notación en lugar de la notación asplain. - B-Buffersize --buffer tamaño buffersize Establecer el tamaño del búfer de captura del sistema operativo para buffersize. en unidades de KiB (1024 bytes). - c Contador de salida después de recibir paquetes de recuento. l tamaño de archivo - C Antes de escribir un paquete sin procesar a un archivo de salvar, comprueba si el archivo es actualmente mayor que tamaño de archivo y, si es así, cerrar el archivo de salvar actual y abrir una nueva. Archivos de salvar después del primer archivo de salvar tendrán el nombre especificado con el distintivo - w, con un número después de que, a partir de 1 y continuando hacia arriba. Las unidades de tamaño de archivo son millones de bytes (1.000.000 bytes, no 1.048.576 bytes). - d Volcar el código de coincidencia de paquetes compilados en un formato legible por humanos en la salida estándar y se detendrá. Volcado - dd código de paquete de coincidencia como un fragmento de programa C. Volcado - DDD código de paquete de coincidencia como números decimales (precedido con un recuento). - D --list-Interfaces Imprimir la lista de las interfaces de red disponibles en el sistema y en el que tcpdump pueden capturar los paquetes. Para cada interfaz de red, un número y un nombre de interfaz, posiblemente seguido de una descripción de texto de la interfaz, se imprime. El nombre de la interfaz o el número se pueden suministrar a la bandera - i para especificar una interfaz en la que capturar. Esto puede ser útil en sistemas que no dispongamos de un comando para enumerarlas (por ejemplo, los sistemas Windows, UNIX o sistemas carece ifconfig - a) el número puede ser útil en sistemas Windows 2000 y posteriores, donde el nombre de la interfaz es una cadena algo complejo. La bandera - D no se admite si tcpdump fue construido con una versión anterior de libpcap que carece de la función () pcapfindalldevs. - e Imprimir la cabecera de nivel de enlace en cada línea de descarga. Esto se puede utilizar, por ejemplo, para imprimir direcciones de capa MAC para protocolos tales como Ethernet y IEEE 802.11. - E Uso spiipaddr algo: secreto para descifrar los paquetes IPsec ESP que se dirigen a addr y contienen valor del índice de parámetros de seguridad spi. Esta combinación se puede repetir con coma o la separación de nueva línea. Tenga en cuenta que el ajuste del secreto para los paquetes IPv4 ESP se admite en este momento. Los algoritmos pueden ser des-cbc. 3DES-CBC. blowfish-cbc. RC3-CBC. CAST128-CBC. o ninguno. El valor predeterminado es DES-CBC. La capacidad de desencriptar los paquetes sólo está presente si tcpdump se compiló con la criptografía habilitado. secreto es el texto ASCII de la clave secreta ESP. Si va precedido de 0x, a continuación, un valor hexadecimal será leído. La opción asume RFC2406 ESP, ESP no RFC1827. La opción es sólo para propósitos de depuración, y el uso de esta opción con una verdadera clave secreta no se recomienda. Con la presentación de clave secreta IPsec a la línea de comandos que hará visible a los demás, a través de ps (1) y en otras ocasiones. Además de la sintaxis anterior, el nombre del archivo de sintaxis puede ser utilizado para tener tcpdump leer el archivo proporcionado. El archivo se abre al recibir el primer paquete ESP, por lo que los permisos especiales que tcpdump puede haber sido dados ya debería haber sido abandonado . - f Imprimir direcciones IPv4 extranjeros numéricamente más que simbólicamente (esta opción está destinada a sufrir daño cerebral grave en torno servidor NIS Soles --- por lo general se bloquea siempre la traducción de los Números de Internet no locales). La prueba para las direcciones IPv4 extranjeros se realiza utilizando la dirección IPv4 y la máscara de red de la interfaz en la que se está haciendo de captura. Si esa dirección o máscara de red no están disponibles, disponible, ya sea debido a que la interfaz en la que se está haciendo la captura no tiene ninguna dirección o máscara de red o porque la captura se está trabajando en la interfaz quotanyquot Linux, que puede capturar en más de una interfaz, esta opción no funcionará correctamente. Uso de archivos de archivos - F como entrada para la expresión de filtro. Una expresión adicional dado en la línea de comandos es ignorado. rotateseconds - G Si se especifica, hace girar el archivo de volcado especificado con la opción - w cada rotateseconds segundos. Archivos de salvar tendrán el nombre especificado por - w que debería incluir un formato de hora como se define en strftime (3). Si no se especifica un formato de hora, cada nuevo archivo sobrescribirá el anterior. Si se utiliza junto con la opción - C, los nombres de archivo tomarán la forma de ltcountgt archivo. - h --help Muestra las cadenas de tcpdump y libpcap versión, imprimir un mensaje de uso, y la salida. --version Muestra las cuerdas y la salida de tcpdump y libpcap versión. Intento - H para detectar encabezados proyecto de malla 802.11s. - i interfaz --interface interfaz de escuchar en la interfaz. Si no se especifica, tcpdump busca en la lista de interfaces para el sistema, configurado por interfaz con el número menor (excluyendo bucle de retorno), que puede llegar a ser, por ejemplo, eth0. En los sistemas Linux con kernel 2.2 o posterior, un argumento de cualquier interfaz se puede utilizar para capturar los paquetes de todas las interfaces. Tenga en cuenta que en la captura de cualquier dispositivo no se llevará a cabo en modo promiscuo. Si se soporta la bandera - D, un número de interfaz como impreso por que la bandera puede ser utilizado como el argumento de la interfaz, si no hay interfaz en el sistema tiene ese número como un nombre. --monitor modo - I Ponga la interfaz en modequot quotmonitor esto sólo es compatible con las interfaces IEEE 802.11 Wi-Fi, y admite sólo en algunos sistemas operativos. Tenga en cuenta que en modo monitor el adaptador podría desvincularse de la red con la que su asociado, de modo que usted no será capaz de utilizar cualquier red inalámbrica con el adaptador. Esto podría impedir el acceso a archivos en un servidor de red, o la resolución de nombres de host o direcciones de red, si está capturando en modo monitor y no está conectado a otra red con otro adaptador. Este indicador afectará a la salida de una marca - L. Si isnt - I especifica, sólo se mostrarán aquellos tipos de capa de enlace disponibles cuando no está en modo monitor si no se especifica - I, sólo aquellos tipos de capa de enlace disponible en el modo de monitor será mostrado. Capture-mode --immediate en modequot quotimmediate. En este modo, los paquetes se entregan a tcpdump tan pronto como llegan, en lugar de ser tamponada para la eficiencia. Este es el valor por defecto cuando se imprime paquetes en lugar de guardar los paquetes a un archivo de salvar si los paquetes se están imprimiendo a un terminal en lugar de a un archivo o una tubería. - j tstamptype --time-sello de tipo tstamptype Establecer el tipo de marca de tiempo para la captura de tstamptype. Los nombres a utilizar para el tiempo de los tipos de timbre se dan en pcap tstamp (7) no todos los tipos enumerados necesariamente habrá válida para cualquier interfaz dada. - J-Tiempo-estampar---list tipos de lista los tipos de marcas de tiempo compatibles con la interfaz y la salida. Si el tipo de marca de tiempo no se puede establecer para la interfaz, no aparece ningún tipo de marca de tiempo. tstampprecision --time-sello de precisión Al capturar, ajustar la precisión marca de tiempo para la captura de tstampprecision. Tenga en cuenta que la disponibilidad de sellos de tiempo de alta precisión (nanosegundos) y su precisión real es plataforma y dependiente del hardware. También tenga en cuenta que al escribir capturas realizadas con una precisión de nanosegundos a un archivo de salvar, las marcas de tiempo se escriben con la resolución de nanosegundos, y el archivo se escriben con un número mágico diferente, para indicar que las marcas de tiempo están en segundos y nanosegundos no todos los programas que leen archivos de salvar pcap serán capaces de leer esas capturas. Al leer un archivo de salvar, convertir las marcas de tiempo a la precisión especificada por timestampprecision. y mostrarlos con esa resolución. Si la precisión especificada es menor que la precisión de las marcas de tiempo en el archivo, la conversión se pierde precisión. Los valores admitidos para timestampprecision son micro para la resolución de microsegundos y nano para la resolución de nanosegundos. El valor predeterminado es de microsegundos. - K --dont-Verificar-suma de comprobación para verificar Dont intentan IP, TCP o UDP de comprobación. Esto es útil para las interfaces que realizan algunos o todos los cálculos de suma de comprobación en el hardware de otro modo, todas las sumas de comprobación TCP salientes serán marcados como malos. - l Hacer una línea de salida estándar tamponada. Es útil si desea ver los datos mientras que la captura. P. ej. o Tenga en cuenta que en Windows, sin búfer búfer de línea significa, de manera que WinDump escribirá cada personaje individualmente si se especifica - l. - U Es similar a - l en su comportamiento, pero que hará que la salida sea de paquetes tamponada, de manera que la salida se escribe en la salida estándar al final de cada paquete en lugar de al final de cada línea esto es tamponada en todas las plataformas , incluyendo Windows. - L --list-Data-link-tipos de listas de los tipos conocidos de enlace de datos para la interfaz, en el modo especificado, y salir. La lista de tipos de enlace de datos conocidos puede ser dependiente del modo especificado por ejemplo, en algunas plataformas, una interfaz Wi-Fi podría apoyar un conjunto de tipos de enlace de datos cuando no está en modo monitor (por ejemplo, podría apoyar las cabeceras Ethernet única falsos o podría apoyar 802.11 cabeceras pero no apoyar 802.11 cabeceras con información de radio) y otro conjunto de tipos de enlace de datos cuando está en modo monitor (por ejemplo, podría apoyar 802.11 802.11 encabezados, o cabeceras con información de radio, sólo en el modo de monitor). módulo de carga definiciones del módulo MIB SMI - m módulo de archivo. Esta opción se puede utilizar varias veces para cargar varios módulos MIB en tcpdump. - M Uso secreta secreta como un secreto compartido para la validación de los resúmenes que se encuentran en los segmentos TCP con la opción TCP-MD5 (RFC 2385), si está presente. - n Dont convertir direcciones (es decir, las direcciones de host, números de puerto, etc.) a los nombres. - N Dont nombre de dominio de impresión calificación de nombres de host. P. ej. si se le da este distintivo, tcpdump imprimirá NIC en lugar de nic. ddn. mil. - --number Imprimir un número de paquete opcional al principio de la línea. - O --no-Optimizar No ejecute el código optimizador de paquetes de coincidencia. Esto es útil sólo si se sospecha que hay un error en el optimizador. - p --no-promiscua en modo No ponga la interfaz en modo promiscuo. Tenga en cuenta que la interfaz puede estar en el modo promiscuo por alguna otra razón, por lo tanto, - p no se puede utilizar como una abreviatura para el anfitrión de éter o de difusión éter. - Q Dirección --direction dirección Elija enviar / recibir dirección de dirección para la cual se deben capturar paquetes. Los valores posibles son adentro, hacia afuera e inout. No está disponible en todas las plataformas. - q salida rápida (tranquilo). Imprimir la información de protocolo por lo menos líneas de salida son más cortos. - r archivo Leer paquetes de archivo (que fue creado con la opción - w o por otras herramientas que escriben PCAP o archivos pcap-ng). La entrada estándar se utiliza si el archivo es -. - S --absolute-Tcp-sequence-Imprimir números absolutos, más que relativa, números de secuencia TCP. - s snaplen snaplen --snapshot bytes de longitud Snarf snaplen de datos de cada paquete en lugar de la opción predeterminada de 262144 bytes. Los paquetes truncados debido a una instantánea limitada se indican en la salida con proto, donde proto es el nombre del nivel de protocolo en el que se ha producido el truncamiento. Tenga en cuenta que tomar instantáneas más grandes tanto aumenta la cantidad de tiempo que tarda en procesar los paquetes y, efectivamente, disminuye la cantidad de almacenamiento en búfer de paquetes. Esto puede causar que los paquetes se pierden. Debe limitar snaplen al número más pequeño que capturará la información de protocolo usted está interesado en. Snaplen Ajuste a 0 establece que el valor predeterminado de 262144, para la compatibilidad hacia atrás con las últimas versiones más antiguas de tcpdump. Fuerza paquetes - t tipo seleccionados por quot quot expresión que deben ser interpretadas tipo especificado. tipos actualmente conocidos son AODV (Ad-hoc On-Demand protocolo de vector de distancia), la carpa (Común Dirección del protocolo de redundancia), CNFP (protocolo NetFlow de Cisco), LMP (Link Management Protocol), PGM (multidifusión general pragmática), pgmzmtp1 (ZMTP / 1.0 dentro de PGM / EPGM), respectivamente (Redis Protocolo de serialización), radio (RADIUS), RPC (Remote Procedure Call), RTP (protocolo de aplicaciones en tiempo real), RTCP (real-Time protocolo de control de aplicaciones), SNMP (simple Network Management Protocolo), TFTP (Trivial File Transfer Protocol), IVA (Herramienta de Audio Visual), WB (distribuido Tarjeta blanca), zmtp1 (protocolo de transporte de mensajes ZeroMQ 1,0) y VXLAN (Red de Área local virtual extensible). Tenga en cuenta que el tipo de PGM anterior afecta la interpretación UDP solamente, el PGM nativa siempre es reconocido como el protocolo IP 113 independientemente. encapsulado en UDP PGM es a menudo llamado quotEPGMquot o quotPGM / UDPquot. Tenga en cuenta que el tipo anterior pgmzmtp1 afecta la interpretación de ambos PGM nativa y UDP a la vez. Durante el PGM nativa decodificación de los datos de la aplicación de un oData / paquete RDATA se decodifica como un datagrama ZeroMQ con ZMTP / 1,0 fotogramas. Durante la decodificación UDP, además de que cualquier paquete UDP vaya a ser tratada como un paquete PGM encapsulado. - t Dont imprimir una marca de tiempo en cada línea de descarga. - tT imprimir la marca de tiempo, en segundos desde el 1 de enero de 1970, 00:00:00 UTC, y fracciones de segundo, desde ese momento, en cada línea de descarga. - ttt Imprimir un delta (resolución micro-segundo) entre la línea actual y el anterior en cada línea de descarga. - tttt Imprimir una marca de tiempo, en horas, minutos, segundos y fracciones de segundo desde la medianoche, precedidos de la fecha, en cada línea de descarga. - ttttt Imprimir un delta (resolución micro-segundo) entre la línea actual y por primera vez en cada línea de descarga. - u impresión no decodificados se encarga de NFS. - U---packet Tamponada Si no se especifica la opción - w, hacer que se imprima la salida de paquetes impresa de paquetes de búfer es decir, como la descripción del contenido de cada paquete, se escribe en la salida estándar, en lugar de, cuando no escribir en un terminal, que se escribe sólo cuando el buffer de salida llena. Si se especifica la opción - w, hacer que la salida de paquetes en bruto salvado de paquetes de búfer es decir, como cada paquete se guarda, se escribe en el archivo de salida, en lugar de ser escrito sólo cuando se llena el búfer de salida. La bandera - U no se admite si tcpdump fue construido con una versión anterior de libpcap que carece de la función pcapdumpflush (). - v Al analizar e impresión, producir (un poco más) salida detallada. Por ejemplo, el tiempo de vida, la identificación, la longitud total y opciones en un paquete IP se imprimen. También permite a controles adicionales de integridad de paquetes, tales como la verificación de la suma de comprobación de cabecera IP e ICMP. Cuando se escribe en un archivo con la opción - w, informe, cada 10 segundos, el número de paquetes capturados. Incluso - VV salida con más información. Por ejemplo, los campos adicionales se imprimen desde los paquetes de respuesta de NFS, y los paquetes SMB están completamente decodificados. Incluso - vvv salida con más información. Por ejemplo, telnet SB. SE opciones se imprimen en su totalidad. Con opciones - X Telnet se imprimen en hexadecimal también. - V archivo de leer una lista de nombres de ficheros de archivo. La entrada estándar se utiliza si el archivo es -. - w fichero Escribir el flujo de paquetes de presentar en lugar de analizar y imprimirlos. Más tarde se pueden imprimir con la opción - r. la salida estándar se utiliza si el archivo es -. Esta salida será amortiguada si está escrita en un archivo o una tubería, por lo que un programa de lectura del archivo o la tubería no puede ver los paquetes de una cantidad arbitraria de tiempo después de que se reciban. Utilice el indicador - U para hacer que los paquetes sean escritos tan pronto como se reciban. La aplicación / vnd. tcpdump. pcap tipo MIME se ha registrado en la IANA para los archivos pcap. La extensión del nombre. pcap parece ser el más utilizado junto con. ivs y. dmp. sí Tcpdump duerma comprobar la extensión cuando la lectura de archivos de captura y no añade una extensión al escribirlas (que utiliza números mágicos en el encabezado del archivo en su lugar). Sin embargo, muchos sistemas operativos y aplicaciones utilizan la extensión si está presente y se recomienda la adición de uno (por ejemplo PCAP). Ver pcap-archivo de salvar (5) para una descripción de formato de archivo. - W Utilizado conjuntamente con la opción - C, esto limitará el número de archivos creados al número especificado, y comenzar a sobrescribir los archivos desde el principio, creando así un amortiguador rotativo. Además, será nombrar los archivos con suficientes 0s principales para soportar el número máximo de archivos, lo que les permite ordenar correctamente. Se utiliza junto con la opción - G, esto limitará el número de archivos de volcado de rotados que se crean, que salen con el estado 0 al alcanzar el límite. Si se utiliza con - C así, el comportamiento resultará en archivos cíclicos por porción de tiempo. - x Al analizar e impresión, además de la impresión de las cabeceras de cada paquete, imprimir los datos de cada paquete (menos su cabecera del nivel de enlace) en hexadecimal. El más pequeño de todo el paquete o bytes snaplen se imprimirá. Tenga en cuenta que esto es todo el paquete de nivel de enlace, por lo que para capas de enlace de esa almohadilla (por ejemplo, Ethernet), los bytes de relleno también se imprimirá cuando el paquete de la capa superior es más corto que el relleno sea necesario. - XX Al analizar e impresión, además de la impresión de las cabeceras de cada paquete, imprimir los datos de cada paquete, incluyendo la cabecera del nivel de enlace, en hexadecimal. - X Al analizar e impresión, además de la impresión de las cabeceras de cada paquete, imprimir los datos de cada paquete (menos su cabecera del nivel de enlace) en hexadecimal y ASCII. Esto es muy útil para el análisis de nuevos protocolos. - XX Al analizar e impresión, además de la impresión de las cabeceras de cada paquete, imprimir los datos de cada paquete, incluyendo la cabecera del nivel de enlace, en hexadecimal y ASCII. - y datalinktype --linktype datalinktype Establecer el tipo de enlace de datos que desea utilizar durante la captura de paquetes a datalinktype. - z postrotate mando Utilizado conjuntamente con la o las opciones - C - G, esto hará que tcpdump plazo quot postrotate mando quot archivo donde archivo es el archivo de salvar de ser cerrado después de cada rotación. Por ejemplo, especificar - Z gzip o bzip2 comprimirá - z cada archivo de salvar usando gzip o bzip2. Tenga en cuenta que tcpdump se ejecutará el comando en paralelo a la captura, utilizando la prioridad más baja de modo que ésto no perturben el proceso de captura. Y en caso de que desee utilizar un comando que en sí lleva banderas o diferentes argumentos, siempre se puede escribir un script de shell que llevará el nombre de archivo de salvar como el único argumento, que las banderas arreglos argumentos de amplificador y ejecutar el comando que desee. - Z-usuario --relinquish privilegios de usuario Si tcpdump se está ejecutando como root, después de abrir el dispositivo de captura o archivo de salvar de entrada, pero antes de abrir archivos de salvar para la salida, cambie el ID de usuario a usuario y el ID de grupo para el grupo principal del usuario. Este comportamiento también puede ser activado de forma predeterminada en tiempo de compilación. EXPRESIÓN, selecciona los paquetes que serán objeto de dumping. Si no se da ninguna expresión, se volcarán todos los paquetes en la red. De lo contrario, sólo los paquetes para los que la expresión es verdadera será objeto de dumping. El argumento de expresión se puede pasar a tcpdump ya sea como un solo argumento de Shell, o como múltiples argumentos Shell, lo que sea más conveniente. En general, si la expresión contiene metacaracteres de shell, tales como barra invertida usada para escapar de nombres de protocolo, es más fácil hacerlo pasar como un solo argumento, citado en lugar de escapar de los metacaracteres de shell. Múltiples argumentos se concatenan con espacios antes de ser analizada. Ejemplos Para imprimir todos los paquetes que llegan al salgan de la puesta del sol. Para imprimir el tráfico entre Helios y ya sea caliente o un as. Para imprimir todos los paquetes IP entre as y cualquier host excepto Helios. Para imprimir todo el tráfico entre los hosts y las máquinas locales en Berkeley: Para imprimir todo el tráfico FTP a través de la puerta de enlace a Internet snup. (Tenga en cuenta que la expresión es citado para prevenir que el shell (mal) la interpretación de los paréntesis): Para imprimir el tráfico ni tampoco proviene de destinado para las máquinas locales (si una puerta de entrada a otra red, esto nunca debe ser incluida en su localidad red). Para imprimir los paquetes de inicio y fin (los paquetes SYN y FIN) de cada conversación TCP que implica un huésped no local. Para imprimir todos los paquetes HTTP IPv4 desde y hacia el puerto 80, es decir, imprimir sólo los paquetes que contienen datos, no, por ejemplo, SYN y paquetes FIN y ACK-solamente. (IPv6 se deja como ejercicio para el lector.) Para imprimir los paquetes IP más de 576 bytes enviados a través de la puerta de enlace snup. Para imprimir difusión IP o paquetes de multidifusión que no fueron enviadas a través de Ethernet o de difusión de multidifusión: Para imprimir todos los paquetes ICMP que no se hacen eco de las peticiones / respuestas (es decir, no paquetes ping): formato de salida La salida de tcpdump depende del protocolo. A continuación se presenta una breve descripción y ejemplos de la mayoría de los formatos. Nivel de enlace encabezados Si se da la opción - e, la cabecera del nivel de enlace se imprime. En las redes Ethernet, las direcciones de origen y de destino, el protocolo y la longitud del paquete se imprimen. En las redes FDDI, la opción - e causa tcpdump para imprimir el campo de control de trama, las direcciones de origen y de destino, y la longitud del paquete. (El campo de control de trama rige la interpretación del resto del paquete. Paquetes normales (tales como los que contienen datagramas IP) son paquetes asincrónicos, con un valor de prioridad entre 0 y 7 por ejemplo, se supone async4. Tales paquetes para contener un 802,2 control de enlace lógico (LLC) paquete se imprime la cabecera LLC si no es un datagrama ISO o un denominado paquete de SNAP. En redes Token Ring, la opción - e causa tcpdump para imprimir los campos de control de acceso y control de la trama, la fuente y direcciones de destino, y la longitud del paquete. Como en las redes FDDI, se asumen los paquetes para contener un paquete LLC. Independientemente de si se especifica la opción - e o no, la información de enrutamiento de origen está impreso para paquetes fuente enrutado. en las redes 802.11 , la opción - e causa tcpdump para imprimir los campos de control de trama, todas las direcciones en el encabezado de 802,11, y la longitud del paquete. Como en las redes FDDI, los paquetes se supone que contiene un paquete de LLC. (NB la siguiente descripción supone familiaridad con el algoritmo de compresión SLIP se describe en el RFC-1144.) en los enlaces SLIP, un indicador de dirección (I para mensajes entrantes y salientes para O), tipo de paquete, y la información de compresión se imprimen. El tipo de paquete se imprimió por primera vez. Los tres tipos son ip. UTCP. y ctcp. No existen más datos enlace se imprime para los paquetes IP. Para los paquetes TCP, el identificador de conexión se imprime dependiendo del tipo. Si se comprime el paquete, su cabecera codificada se imprime. Los casos especiales se imprimen como S n n y SA. donde n es la cantidad en que el número de secuencia (o número de secuencia y ack) ha cambiado. Si no es un caso especial, se imprimen cero o más cambios. Un cambio se indica con U (puntero de urgencia), W (ventana), A (ack), S (número de secuencia), y I (paquete de ID), seguido por un delta (n o - N), o un nuevo valor ( norte). Por último, se imprime la cantidad de datos en el paquete y la longitud de la cabecera comprimido. Por ejemplo, la siguiente línea muestra un paquete TCP saliente comprimido, con un identificador implícita respecto, el acuse de recibo ha cambiado por 6, el número de secuencia de 49, y el ID de paquete por 6 hay 3 bytes de datos y 6 bytes de cabecera comprimida: Arp salida / RARP muestra el tipo de solicitud y sus argumentos. El formato está destinado a ser explica por sí mismo. He aquí una breve muestra tomada del inicio de un rlogin desde el host rtsg de acoger la MECA. La primera línea dice que rtsg envía un paquete ARP preguntando por la dirección Ethernet de la MECA host de Internet. MECA responde con su dirección Ethernet (en este ejemplo, las direcciones Ethernet están en casquillos y direcciones de Internet en minúsculas). Esto parecería menos redundantes si hubiéramos hecho - n tcpdump. Si hubiéramos hecho - e tcpdump. el hecho de que el primer paquete se transmite y el segundo es el punto-a-punto sería visible: Para el primer paquete que esto dice la dirección de origen Ethernet es RTSG, el destino es la dirección de difusión Ethernet, el campo de tipo hexagonal contenía 0806 (Tipo ETHERARP) y la longitud total fue de 64 bytes. (Nota: La siguiente descripción supone familiaridad con el protocolo TCP se describe en el RFC-793 Si no está familiarizado con el protocolo, ni esta descripción ni tcpdump será de mucha utilidad para usted..) El formato general de una línea de protocolo TCP es : Src y el horario de verano son las direcciones y puertos IP de origen y destino. Las banderas son una combinación de S (SYN), F (FIN), P (PUSH), R (RST), T (URG), W (ECN CWR), E (ECN-Echo) o. (ACK), o ninguno si no se establece ningún banderas. Data-seqno describe la parte del espacio de secuencias que abarcan los datos en este paquete (véase el ejemplo siguiente). Ack es el número de secuencia del siguiente datos espera la otra dirección en esta conexión. Ventana es el número de bytes de espacio de memoria intermedia disponible recibir la otra dirección en esta conexión. URG indica que hay datos urgente en el paquete. Las opciones son opciones TCP encerrados entre paréntesis angulares (por ejemplo ltmss 1024gt). Src, dst y banderas están siempre presentes. Los otros campos dependen de los contenidos de la cabecera del protocolo TCP y los paquetes se emiten solamente si es apropiado. Aquí está la parte de abertura de un rlogin desde rtsg un huésped a la MECA. La primera línea dice que el puerto TCP 1023 en rtsg envía un paquete de entrada de puerto en la MECA. La S indica que se establece el indicador SYN. El número de secuencia del paquete era 768.512 y que no contenía datos. (La notación es primero: último (nbytes) lo que significa que los números de secuencia en primer lugar hasta, pero no incluyendo la última, que es nbytes bytes de datos de usuario.) No hubo ACK alcancía con respaldo, la ventana de recepción disponible era de 4096 bytes y había un máximo opción de tamaño - segment solicitar una mss de 1024 bytes. MECA responde con un paquete similar, excepto que incluye un ACK alcancía respaldado por rtsgs SYN. Rtsg entonces acks csams SYN. Los . significa marcada con el indicador ACK. El paquete no contenía datos así que no hay número de secuencia de datos. Tenga en cuenta que el número de secuencia ack es un entero pequeño (1). La primera vez tcpdump ve una conversación TCP, se imprime el número de secuencia del paquete. En posteriores paquetes de la conversación, se imprime la diferencia entre la corriente de número de secuencia de paquetes y este número de secuencia inicial. Esto significa que los números de secuencia después de la primera pueden ser interpretados como posiciones de bytes relativos en el flujo de datos de conversaciones (con el primer byte de datos de cada dirección que es 1). - S Cancela esta característica, causando la secuencia de números originales se impriman. En la sexta línea, rtsg envía la MECA 19 bytes de datos (bytes 2 a 20 en el lado de la MECA rtsg rarr de la conversación). El indicador PUSH se encuentra en el paquete. En la línea 7, la MECA dice que sus datos recibidos enviados por rtsg hasta, pero sin incluir el byte 21. La mayor parte de estos datos es al parecer en el búfer de socket desde csams reciben ventana ha conseguido 19 bytes más pequeña. MECA también envía un byte de datos a rtsg en este paquete. En las líneas 8 y 9, la MECA envía dos bytes de urgencia, empujaron a los datos rtsg. Si la instantánea era lo suficientemente pequeño que aún no ha tcpdump capturar la cabecera TCP llena, se interpreta como gran parte de la cabecera, tal como se puede y luego informa tcp para indicar el resto no podía interpretarse. Si el encabezado contiene una opción falsa (una con una longitud eso es demasiado pequeño o más allá del final de la cabecera), tcpdump informa que tan malo opt y no interpreta las opciones adicionales (desde su imposible decir dónde empiezan). Si la longitud de la cabecera indica opciones están presentes, pero la longitud del datagrama IP no es tiempo suficiente para que las opciones sean realmente allí, tcpdump informa que tan malo longitud HDR. La captura de paquetes TCP con combinaciones particulares de bandera (SYN-ACK, URG-ACK, etc.) hay 8 bits en la sección de bits de control de la cabecera TCP: CWR ECE URG ACK PSH RST SYN FIN supongamos que queremos ver los paquetes utilizados en el establecimiento de una conexión TCP. Recordemos que el TCP utiliza un protocolo de enlace de 3 vías cuando se inicia una nueva conexión de la secuencia de conexión con respecto a los bits de control TCP es 1) de llamadas envía SYN 2) destinatario responde con SYN, ACK 3) de llamadas envía ACK Ahora estaban interesados en la captura paquetes que tienen sólo el bit SYN (Paso 1). Tenga en cuenta que no queremos que los paquetes procedentes de la etapa 2 (SYN-ACK), sólo un SYN inicial normal. Lo que necesitamos es una expresión de filtro correcto para tcpdump. Recordemos la estructura de una cabecera TCP y sin opciones: Una cabecera TCP por lo general tiene 20 octetos de datos, a menos que las opciones están presentes. La primera línea de la gráfica contiene octetos 0 - 3, la segunda línea muestra octetos 4 - 7 etc. empezando a contar con 0, los bits de control TCP pertinentes están contenidas en el octeto 13: Vamos a echar un vistazo más de cerca en el octeto no. 13: Estos son los bits de control de TCP nos interesa Hemos numerado los bits en este octeto de 0 a 7, de derecha a izquierda, por lo que el bit es el bit PSH número 3, mientras que el bit URG es el número 5. Recordemos que. desee capturar paquetes con SYN único conjunto. Vamos a ver lo que ocurre con octeto 13 si un datagrama TCP llega con el bit SYN en su cabecera: En cuanto a la sección de bits de control vemos que solo bit número 1 (SYN) se establece. Deze jongeman weet onze Productos de al een zeer tijdje succesvol en Te Zetten en último equipo Binnen complementos perfectos. Wij Wensen dobladillo éxito alvast veel en U ZAL er zeker en gran viga de madera veel van Horen Ga hier naar pagina zijn Leer más raquo directa na vakantie mijn era Het zover De sessie WAAR Michiel en ik al zolang naar uitkeken. Weken van tevoren fantaseerden que sobre Deze sessie súper op Het dio más tarde ese que Gingen bevissen. Omdat Michiel er al enkele Keren geweest se wisten que Wat voor bestand er aanwezig era. Dit soort wateren vind je bijna nergens, dus je je wel kan voorstellen hoeveel zin ik tenían en sessie Deze Toen ik thuis kwam van vakantie Bégon ik meteen Met plataformas Knopen, alles inladen en natuurlijk ook de noten koken. Tijdens Het koken van de tijgernootjes escritura ik nog wat er chile bij om de vis Nog Meer aan te trekken op de stek. Na dat alles klaar era kon ik Eindelijk gaan slapen. Ik heb echter niet veel geslapen desee ik tenido te veel zin om te gaan vissen Vroeg en ochtend de reden het water naar que es.
No comments:
Post a Comment