tcpdump命令的使用方法(10)

tcpdump命令的使用方法

　　subrulenum num

　　與 srnr 含義一致.

　　action act

　　如果包被記錄時PF會執(zhí)行act指定的動作, 則與此對應的條件表達式為真. 有效的動作有: pass, block.

　　(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))

　　ip, ip6, arp, rarp, atalk, aarp, decnet, iso, stp, ipx, netbeui

　　與以下表達元含義一致:

　　ether proto p

　　p是以上協(xié)議中的一個.

　　lat, moprc, mopdl

　　與以下表達元含義一致:

　　ether proto p

　　p是以上協(xié)議中的一個. 必須要注意的是tcpdump目前還不能分析這些協(xié)議.

　　vlan [vlan_id]

　　如果數(shù)據(jù)包為IEEE802.1Q VLAN 數(shù)據(jù)包, 則與此對應的條件表達式為真.

　　(nt: IEEE802.1Q VLAN, 即IEEE802.1Q 虛擬網(wǎng)絡協(xié)議, 此協(xié)議用于不同網(wǎng)絡的之間的互聯(lián)).

　　如果[vlan_id] 被指定, 則只有數(shù)據(jù)包含有指定的虛擬網(wǎng)絡id(vlan_id), 則與此對應的條件表達式為真.

　　要注意的是, 對于VLAN數(shù)據(jù)包, 在表達式中遇到的第一個vlan關鍵字會改變表達式中接下來關鍵字所對應數(shù)據(jù)包中數(shù)據(jù)的

　　開始位置(即解碼偏移). 在VLAN網(wǎng)絡體系中過濾數(shù)據(jù)包時, vlan [vlan_id]表達式可以被多次使用. 關鍵字vlan每出現(xiàn)一次都會增加

　　4字節(jié)過濾偏移(nt: 過濾偏移, 可理解為上面的解碼偏移).

　　例如:

　　vlan 100 && vlan 200

　　表示: 過濾封裝在VLAN100中的VLAN200網(wǎng)絡上的數(shù)據(jù)包

　　再例如:

　　vlan && vlan 300 && ip

　　表示: 過濾封裝在VLAN300 網(wǎng)絡中的IPv4數(shù)據(jù)包, 而VLAN300網(wǎng)絡又被更外層的VLAN封裝

　　mpls [label_num]

　　如果數(shù)據(jù)包為MPLS數(shù)據(jù)包, 則與此對應的條件表達式為真.

　　(nt: MPLS, Multi-Protocol Label Switch, 多協(xié)議標簽交換, 一種在開放的通信網(wǎng)上利用標簽引導數(shù)據(jù)傳輸?shù)募夹g).

　　如果[label_num] 被指定, 則只有數(shù)據(jù)包含有指定的標簽id(label_num), 則與此對應的條件表達式為真.

　　要注意的是, 對于內(nèi)含MPLS信息的IP數(shù)據(jù)包(即MPLS數(shù)據(jù)包), 在表達式中遇到的第一個MPLS關鍵字會改變表達式中接下來關鍵字所對應數(shù)據(jù)包中數(shù)據(jù)的

　　開始位置(即解碼偏移). 在MPLS網(wǎng)絡體系中過濾數(shù)據(jù)包時, mpls [label_num]表達式可以被多次使用. 關鍵字mpls每出現(xiàn)一次都會增加

　　4字節(jié)過濾偏移(nt: 過濾偏移, 可理解為上面的解碼偏移).

　　例如:

　　mpls 100000 && mpls 1024

　　表示: 過濾外層標簽為100000 而層標簽為1024的數(shù)據(jù)包

　　再如:

　　mpls && mpls 1024 && host 192.9.200.1

　　表示: 過濾發(fā)往或來自192.9.200.1的數(shù)據(jù)包, 該數(shù)據(jù)包的內(nèi)層標簽為1024, 且擁有一個外層標簽.

　　pppoed

　　如果數(shù)據(jù)包為PPP-over-Ethernet的服務器探尋數(shù)據(jù)包(nt: Discovery packet,

　　其ethernet type 為0x8863),則與此對應的條件表達式為真.

　　(nt: PPP-over-Ethernet, 點對點以太網(wǎng)承載協(xié)議, 其點對點的連接建立分為Discovery階段(地址發(fā)現(xiàn)) 和

　　PPPoE 會話建立階段 , discovery 數(shù)據(jù)包就是第一階段發(fā)出來的包. ethernet type

　　是以太幀里的一個字段，用來指明應用于幀數(shù)據(jù)字段的協(xié)議)

　　pppoes

　　如果數(shù)據(jù)包為PPP-over-Ethernet會話數(shù)據(jù)包(nt: ethernet type 為0x8864, PPP-over-Ethernet在上文已有說明, 可搜索

　　關鍵字'PPP-over-Ethernet'找到其描述), 則與此對應的條件表達式為真.

　　要注意的是, 對于PPP-over-Ethernet會話數(shù)據(jù)包, 在表達式中遇到的第一個pppoes關鍵字會改變表達式中接下來關鍵字所對應數(shù)據(jù)包中數(shù)據(jù)的

　　開始位置(即解碼偏移).

　　例如:

　　pppoes && ip

　　表示: 過濾嵌入在PPPoE數(shù)據(jù)包中的ipv4數(shù)據(jù)包

　　tcp, udp, icmp

　　與以下表達元含義一致:

　　ip proto p or ip6 proto p

　　其中p 是以上協(xié)議之一(含義分別為: 如果數(shù)據(jù)包為ipv4或ipv6數(shù)據(jù)包并且其協(xié)議類型為 tcp,udp, 或icmp則與此對

　　應的條件表達式為真)

　　iso proto protocol

　　如果數(shù)據(jù)包的協(xié)議類型為iso-osi協(xié)議棧中protocol協(xié)議, 則與此對應的條件表達式為真.(nt: [初解]iso-osi 網(wǎng)絡模型中每

　　層的具體協(xié)議與tcp/ip相應層采用的協(xié)議不同. iso-osi各層中的具體協(xié)議另需補充 )

　　protocol 可以是一個數(shù)字編號, 或以下名字中之一:

　　clnp, esis, or isis.

　　(nt: clnp, Connectionless Network Protocol, 這是OSI網(wǎng)絡模型中網(wǎng)絡層協(xié)議 , esis, isis 未知, 需補充)

　　clnp, esis, isis

　　是以下表達的縮寫

　　iso proto p

　　其中p 是以上協(xié)議之一

　　l1, l2, iih, lsp, snp, csnp, psnp

　　為IS-IS PDU 類型 的縮寫.

　　(nt: IS-IS PDU, Intermediate system to intermediate system Protocol Data Unit, 中間系統(tǒng)到

　　中間系統(tǒng)的協(xié)議數(shù)據(jù)單元. OSI(Open Systems Interconnection)網(wǎng)絡由終端系統(tǒng), 中間系統(tǒng)構成.

　　終端系統(tǒng)指路由器, 而終端系統(tǒng)指用戶設備. 路由器形成的本地組稱之為'區(qū)域'(Area)和多個區(qū)域組成一個'域'(Domain).

　　IS-IS 提供域內(nèi)或區(qū)域內(nèi)的路由. l1, l2, iih, lsp, snp, csnp, psnp 表示PDU的類型, 具體含義另需補充)

　　vpi n

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 ,

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 并且其虛擬路徑標識為n, 則與此對應的條件表達式為真.

　　(nt: ATM, Asychronous Transfer Mode, 實際上可理解為由ITU-T(國際電信聯(lián)盟電信標準化部門)提出的一個與

　　TCP/IP中IP層功能等同的一系列協(xié)議, 具體協(xié)議層次另需補充)

　　vci n

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 ,

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 并且其虛擬通道標識為n, 則與此對應的條件表達式為真.

　　(nt: ATM, 在上文已有描述)

　　lane

　　如果數(shù)據(jù)包為ATM LANE 數(shù)據(jù)包, 則與此對應的條件表達式為真. 要注意的是, 如果是模擬以太網(wǎng)的LANE數(shù)據(jù)包或者

　　LANE邏輯單元控制包, 表達式中第一個lane關鍵字會改變表達式中隨后條件的測試. 如果沒有

　　指定lane關鍵字, 條件測試將按照數(shù)據(jù)包中內(nèi)含LLC(邏輯鏈路層)的ATM包來進行.

　　llc

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 ,

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包,　并且內(nèi)含LLC則與此對應的條件表達式為真

　　oamf4s

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包

　　并且是Segment OAM F4 信元(VPI=0 并且 VCI=3), 則與此對應的條件表達式為真.

　　(nt: OAM, Operation Administration and Maintenance, 操作管理和維護,可理解為:ATM網(wǎng)絡中用于網(wǎng)絡

　　管理所產(chǎn)生的ATM信元的分類方式.

　　ATM網(wǎng)絡中傳輸單位為信元, 要傳輸?shù)臄?shù)據(jù)終究會被分割成固定長度(53字節(jié))的信元,

　　(初理解: 一條物理線路可被復用, 形成虛擬路徑(virtual path). 而一條虛擬路徑再次被復用, 形成虛擬信道(virtual channel)).

　　通信雙方的編址方式為:虛擬路徑編號(VPI)/虛擬信道編號(VCI)).

　　OAM F4 flow 信元又可分為segment 類和end-to-end 類, 其區(qū)別未知, 需補充.)

　　oamf4e

　　如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包

　　并且是 end-to-end OAM F4 信元(VPI=0 并且 VCI=4), 則與此對應的條件表達式為真.

　　(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)