tcpdump命令的使用方法(9)

tcpdump命令的使用方法

　　Protocol 可以是一個數字也可以是名字, 比如:icmp6, igmp, igrp(nt: Interior Gateway Routing Protocol,內部網關路由協議), pim(Protocol Independent Multicast, 獨立組播協議, 應用于組播路由器),ah, esp(nt: ah, 認證頭, esp 安全負載封裝, 這兩者會用在IP包的安全傳輸機制中 ), vrrp(Virtual Router Redundancy Protocol, 虛擬路由器冗余協議), udp, or tcp. 由于tcp , udp 以及icmp是tcpdump 的關鍵字,所以在這些協議名字之前必須要用\來進行轉義(如果在C-shell 中需要用\來進行轉義). 注意此表達元不會把數據包中協議頭鏈中所有協議頭內容全部打印出來(nt: 實際上只會打印指定協議的一些頭部信息, 比如可以用tcpdump -i eth0 'ip proto \tcp and host 192.168.3.144', 則只打印主機192.168.3.144 發出或接收的數據包中tcp 協議頭所包含的信息)

　　ip6 proto protocol

　　如果數據包為ipv6數據包并且其協議類型為protocol, 則與此對應的條件表達式為真.

　　注意此表達元不會把數據包中協議頭鏈中所有協議頭內容全部打印出來

　　ip6 protochain protocol

　　如果數據包為ipv6數據包并且其協議鏈中包含類型為protocol協議頭, 則與此對應的條件表達式為真. 比如,

　　ip6 protochain 6

　　將匹配其協議頭鏈中擁有TCP 協議頭的IPv6數據包.此數據包的IPv6頭和TCP頭之間可能還會包含驗證頭, 路由頭, 或者逐跳尋徑選項頭.

　　由此所觸發的相應BPF(Berkeley Packets Filter, 可理解為, 在數據鏈路層提供數據包過濾的一種機制)代碼比較繁瑣,

　　并且BPF優化代碼也未能照顧到此部分, 從而此選項所觸發的包匹配可能會比較慢.

　　ip protochain protocol

　　與ip6 protochain protocol 含義相同, 但這用在IPv4數據包.

　　ether broadcast

　　如果數據包是以太網廣播數據包, 則與此對應的條件表達式為真. ether 關鍵字是可選的.

　　ip broadcast

　　如果數據包是IPv4廣播數據包, 則與此對應的條件表達式為真. 這將使tcpdump 檢查廣播地址是否符合全0和全1的一些約定,并查找網絡接口的網絡掩碼(網絡接口為當時在其上抓包的網絡接口).

　　如果抓包所在網絡接口的網絡掩碼不合法, 或者此接口根本就沒有設置相應網絡地址和網絡， 亦或是在linux下的'any'網絡接口上抓包(此'any'接口可以收到系統中不止一個接口的數據包(nt: 實際上, 可理解為系統中所有可用的接口)),網絡掩碼的檢查不能正常進行.

　　ether multicast

　　如果數據包是一個以太網多點廣播數據包(nt: 多點廣播, 可理解為把消息同時傳遞給一組目的地址, 而不是網絡中所有地址,后者為可稱為廣播(broadcast)), 則與此對應的條件表達式為真. 關鍵字ether 可以省略. 此選項的含義與以下條件表達式含義一致:`ether[0] & 1!= 0'(nt: 可理解為, 以太網數據包中第0個字節的最低位是1, 這意味這是一個多點廣播數據包).

　　ip multicast

　　如果數據包是ipv4多點廣播數據包, 則與此對應的條件表達式為真.

　　ip6 multicast

　　如果數據包是ipv6多點廣播數據包, 則與此對應的條件表達式為真.

　　ether proto protocol

　　如果數據包屬于以下以太協議類型, 則與此對應的條件表達式為真.

　　協議(protocol)字段, 可以是數字或以下所列出了名字: ip, ip6, arp, rarp, atalk(AppleTalk網絡協議),

　　aarp(nt: AppleTalk Address Resolution Protocol, AppleTalk網絡的地址解析協議),

　　decnet(nt: 一個由DEC公司所提供的網絡協議棧), sca(nt: 未知, 需補充),

　　lat(Local Area Transport, 區域傳輸協議, 由DEC公司開發的以太網主機互聯協議),

　　mopdl, moprc, iso(nt: 未知, 需補充), stp(Spanning tree protocol, 生成樹協議, 可用于防止網絡中產生鏈接循環),

　　ipx(nt: Internetwork Packet Exchange, Novell 網絡中使用的網絡層協議), 或者

　　netbeui(nt: NetBIOS Extended User Interface，可理解為, 網絡基本輸入輸出系統接口擴展).

　　protocol字段可以是一個數字或以下協議名之一:ip, ip6, arp, rarp, atalk, aarp, decnet, sca, lat,

　　mopdl, moprc, iso, stp, ipx, 或者netbeui.

　　必須要注意的是標識符也是關鍵字, 從而必須通過'\'來進行轉義.

　　(SNAP：子網接入協議 (SubNetwork Access Protocol))

　　在光纖分布式數據網絡接口(其表達元形式可以是'fddi protocol arp'), 令牌環網(其表達元形式可以是'tr protocol arp'),

　　以及IEEE 802.11 無線局域網(其表達元形式可以是'wlan protocol arp')中, protocol

　　標識符來自802.2 邏輯鏈路控制層頭,

　　在FDDI, Token Ring 或 802.1頭中會包含此邏輯鏈路控制層頭.

　　當以這些網絡上的相應的協議標識為過濾條件時, tcpdump只是檢查LLC頭部中以0x000000為組成單元標識符(OUI, 0x000000

　　標識一個內部以太網)的一段'SNAP格式結構'中的protocol ID 域, 而不會管包中是否有一段OUI為0x000000的'SNAP格式

　　結構'(nt: SNAP, SubNetwork Access Protocol,子網接入協議 ). 以下例外:

　　iso tcpdump 會檢查LLC頭部中的DSAP域(Destination service Access Point, 目標服務接入點)和

　　SSAP域(源服務接入點).(nt: iso 協議未知, 需補充)

　　stp 以及 netbeui

　　tcpdump 將會檢查LLC 頭部中的目標服務接入點(Destination service Access Point);

　　atalk

　　tcpdump 將會檢查LLC 頭部中以0x080007 為OUI標識的'SNAP格式結構', 并會檢查AppleTalk etype域.

　　(nt: AppleTalk etype 是否位于SNAP格式結構中, 未知, 需補充).

　　此外, 在以太網中, 對于ether proto protocol 選項, tcpdump 會為 protocol 所指定的協議檢查

　　以太網類型域(the Ethernet type field), 但以下這些協議除外:

　　iso, stp, and netbeui

　　tcpdump 將會檢查802.3 物理幀以及LLC 頭(這兩種檢查與FDDI, TR, 802.11網絡中的相應檢查一致);

　　(nt: 802.3, 理解為IEEE 802.3, 其為一系列IEEE 標準的集合. 此集合定義了有線以太網絡中的物理層以及數據

　　鏈路層的媒體接入控制子層. stp 在上文已有描述)

　　atalk

　　tcpdump 將會檢查以太網物理幀中的AppleTalk etype 域 ,　同時也會檢查數據包中LLC頭部中的'SNAP格式結構'

　　(這兩種檢查與FDDI, TR, 802.11網絡中的相應檢查一致)

　　aarp tcpdump 將會檢查AppleTalk ARP etype 域, 此域或存在于以太網物理幀中, 或存在于LLC(由802.2 所定義)的

　　'SNAP格式結構'中, 當為后者時, 該'SNAP格式結構'的OUI標識為0x000000;

　　(nt: 802.2, 可理解為, IEEE802.2, 其中定義了邏輯鏈路控制層(LLC), 該層對應于OSI 網絡模型中數據鏈路層的上層部分.

　　LLC 層為使用數據鏈路層的用戶提供了一個統一的接口(通常用戶是網絡層). LLC層以下是媒體接入控制層(nt: MAC層,

　　對應于數據鏈路層的下層部分).該層的實現以及工作方式會根據不同物理傳輸媒介的不同而有所區別(比如, 以太網, 令牌環網,

　　光纖分布數據接口(nt: 實際可理解為一種光纖網絡), 無線局域網(802.11), 等等.)

　　ipx tcpdump 將會檢查物理以太幀中的IPX etype域, LLC頭中的IPX DSAP域，無LLC頭并對IPX的進行了封裝的802.3幀,

　　以及LLC 頭部'SNAP格式結構'中的IPX etype 域(nt | rt: SNAP frame, 可理解為, LLC 頭中的'SNAP格式結構'.

　　該含義屬初步理解階段, 需補充).

　　decnet src host

　　如果數據包中DECNET源地址為host, 則與此對應的條件表達式為真.

　　(nt:decnet, 由Digital Equipment Corporation 開發, 最早用于PDP-11 機器互聯的網絡協議)

　　decnet dst host

　　如果數據包中DECNET目的地址為host, 則與此對應的條件表達式為真.

　　(nt: decnet 在上文已有說明)

　　decnet host host

　　如果數據包中DECNET目的地址或DECNET源地址為host, 則與此對應的條件表達式為真.

　　(nt: decnet 在上文已有說明)

　　ifname interface

　　如果數據包已被標記為從指定的網絡接口中接收的, 則與此對應的條件表達式為真.

　　(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))

　　on interface

　　與 ifname interface 含義一致.

　　rnr num

　　如果數據包已被標記為匹配PF的規則, 則與此對應的條件表達式為真.

　　(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))

　　rulenum num

　　與 rulenum num 含義一致.

　　reason code

　　如果數據包已被標記為包含PF的匹配結果代碼, 則與此對應的條件表達式為真.有效的結果代碼有: match, bad-offset,

　　fragment, short, normalize, 以及memory.

　　(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))

　　rset name

　　如果數據包已被標記為匹配指定的規則集, 則與此對應的條件表達式為真.

　　(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))

　　ruleset name

　　與 rset name 含義一致.

　　srnr num

　　如果數據包已被標記為匹配指定的規則集中的特定規則(nt: specified PF rule number, 特定規則編號, 即特定規則),

　　則與此對應的條件表達式為真.(此選項只適用于被OpenBSD中pf程序做過標記的包(nt: pf, packet filter, 可理解為

　　OpenBSD中的防火墻程序))