TCPDUMP中文手冊

←手機掃碼閱讀火星人 @ 2014-03-12 , reply:0

　　TCPDUMP
Section: Maintenance Commands (8)
Updated: 30 June 1997

-------------------------------------------------------

名稱 (NAME)
tcpdump - 轉儲網路上的數據流
總覽 (SYNOPSIS)
tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ]

[ -i interface ] [ -r file ] [ -s snaplen ]

[ -T type ] [ -w file ] [ expression ]

描述 (DESCRIPTION)
Tcpdump 列印出在某個網路界面上, 匹配布爾表達式 expression 的報頭.

對於 SunOS 的 nit 或 bpf 界面: 要運行 tcpdump , 你必須有 /dev/nit 或 /dev/bpf* 的讀訪問許可權.

對於 Solaris 的 dlpi: 你必須有網路模擬設備 (network pseudo device), 如 /dev/le 的讀訪問許可權.

對於 HP-UX 的 dlpi: 你必須是 root, 或者把它安裝成 root 的設置uid 程序. 對於 IRIX 的 snoop: 你必須是 root, 或者把它安裝成 root 的設置uid 程序. 對於 Linux: 你必須是 root, 或者把它安裝成 root 的設置uid 程序.

對於 Ultrix 和 Digital UNIX: 一旦超級用戶使用 pfconfig(8) 開放了 promiscuous 操作模式 (promiscuous-mode), 任何用戶都可以運行 tcpdump.

對於 BSD: 你必須有 /dev/bpf* 的讀訪問許可權.

選項 (OPTIONS)
-a
試著把網路和廣播地址轉換成名稱.
-c
當收到 count 報文后退出.
-d
把編譯好的報文匹配模板 (packet-matching code) 翻譯成可讀形式, 傳往標準輸出, 然後退出.
-dd
把報文匹配模板 (packet-matching code) 以 C 程序片斷的形式輸出.
-ddd
把報文匹配模板 (packet-matching code) 以十進位數形式輸出 (前面加上總數).
-e
每行都顯示鏈路層報頭.
-f
用數字形式顯示 '外部的' 互聯網地址, 而不是字元形式 (這個選項用來繞開腦殼壞光的 SUN 黃頁伺服器的問題 --- 一般說來它翻譯外部網路數字地址的時候會長期掛起).
-F
把 file 的內容用作過濾表達式. 忽略命令行上的表達式.
-i
監聽 interface. 如果不指定介面, tcpdump 在系統的介面清單中, 尋找號碼最小, 已經配置好的介面 (loopback 除外). 選中的時候會中斷連接.
-l
行緩衝標準輸出. 可用於捕捉數據的同時查看數據. 例如,
``tcpdump -l | tee dat'' or ``tcpdump -l > dat & tail -f dat''.
-n
別把地址轉換成名字 (就是說, 主機地址, 埠號等)
-N
不顯示主機名字中的域名部分. 例如, 如果使用這個選項, tcpdump 只顯示 ``nic'', 而不是 ``nic.ddn.mil''.
-O
禁止運行報文匹配模板的優化器. 只有當你懷疑優化器有 bug 時才有用.
-p
禁止把介面置成 promiscuous 模式. 注意, 介面有可能因其他原因而處於 promiscuous 模式; 因此, '-p' 不能作為 `ether host {local-hw-addr} 或 ether broadcast' 的簡寫.
-q
快速輸出. 顯示較少的協議信息, 輸出行會短一點點.
-r
從 file 中讀入數據報 (文件是用 -w 選項創建的). 如果 file 是 ``-'', 就讀標準輸入.
-s
從每個報文中截取 snaplen 位元組的數據, 而不是預設的 68 (如果是 SunOS 的 NIT, 最小值是 96). 68 個位元組適用於 IP, ICMP, TCP 和 UDP, 但是有可能截掉名字伺服器和 NFS 報文的協議信息 (見下面). 輸出時如果指定 ``[|proto]'', tcpdump 可以指出那些捕捉量過小的數據報, 這裡的 proto 是截斷髮生處的協議層名稱. 注意, 採用更大的捕捉範圍既增加了處理報文的時間, 又相應的減少了報文的緩衝數量, 可能導致報文的丟失. 你應該把 snaplen 設的盡量小, 只要能夠容納你需要的協議信息就可以了.

-T
把通過 "expression" 挑選出來的報文解釋成指定的 type. 目前已知的類型有: rpc (遠程過程調用 Remote Procedure Call), rtp (實時應用協議 Real-Time Applications protocol), rtcp (實時應用控制協議 Real-Time Applications control protocol), vat (可視音頻工具 Visual Audio Tool), 和 wb (分散式白板 distributed White Board).
-S
顯示絕對的, 而不是相對的 TCP 序列號.
-t
禁止顯示時戳標誌.
-tt
顯示未格式化的時戳標誌.
-v
(稍微多一點) 繁瑣的輸出. 例如, 顯示 IP 數據報中的生存周期和服務類型.
-vv
更繁瑣的輸出. 例如, 顯示 NFS 應答報文的附加域.
-w
把原始報文存進 file, 而不是分析和顯示. 它們可以以後用 -r 選項顯示. 如果 file 是 ``-'', 就寫往標準輸出.
-x
以 16 進位數形式顯示每一個報文 (去掉鏈路層報頭后) . 可以顯示較小的完整報文, 否則只顯示 snaplen 個位元組 .
expression
用來選擇要轉儲的數據報. 如果沒有指定 expression , 就轉儲網路的全部報文. 否則, 只轉儲相對 expression 為 `true' 的數據報.
expression 一個或多個原語 (primitive) 組成. 原語通常由一個標識 (id, 名稱或數字), 和標識前面的一個或多個修飾子(qualifier) 組成. 修飾子有三種不同的類型:

type
類型修飾子指出標識名稱或標識數字代表什麼類型的東西. 可以使用的類型有 host, net 和 port. 例如, `host foo', `net 128.3', `port 20'. 如果不指定類型修飾子, 就使用預設的 host .

dir
方向修飾子指出相對於標識的傳輸方向 (數據是傳入還是傳出標識). 可以使用的方向有 src, dst, src or dst 和 src and dst. 例如, `src foo', `dst net 128.3', `src or dst port ftp-data'. 如果不指定方向修飾子, 就使用預設的 src or dst . 對於 `null' 鏈路層 (就是說象 slip 之類的點到點協議), 用 inbound 和 outbound 修飾子指定所需的傳輸方向.
proto
協議修飾子要求匹配指定的協議. 可以使用的協議有: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp 和 udp. 例如, `ether src foo', `arp net 128.3', `tcp port 21'. 如果不指定協議修飾子, 就使用所有符合類型的協議. 例如, `src foo' 指 `(ip 或 arp 或 rarp) src foo' (注意後者不符合語法), `net bar' 指 `(ip 或 arp 或 rarp) net bar', `port 53' 指 `(tcp 或 udp) port 53'.
[`fddi' 實際上是 `ether' 的別名; 分析器把它們視為 ``用在指定網路介面上的數據鏈路層.'' FDDI 報頭包含類似於以太協議的源目地址, 而且通常包含類似於以太協議的報文類型, 因此你可以過濾 FDDI 域, 就象分析以太協議一樣. FDDI 報頭也包含其他域, 但是你不能在過濾器表達式里顯式描述.]

作為上述的補充, 有一些特殊的 `原語' 關鍵字, 它們不同於上面的模式: gateway, broadcast, less, greater 和數學表達式. 這些在後面有敘述.

更複雜的過濾器表達式可以通過 and, or 和 not 連接原語來組建. 例如, `host foo and not port ftp and not port ftp-data'. 為了少敲點鍵, 可以忽略相同的修飾子. 例如, `tcp dst port ftp or ftp-data or domain' 實際上就是 `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.

允許的原語有:

dst host host
如果報文中 IP 的目的地址域是 host, 則邏輯為真. host 既可以是地址, 也可以是主機名.
src host host
如果報文中 IP 的源地址域是 host, 則邏輯為真.
host host
如果報文中 IP 的源地址域或者目的地址域是 host, 則邏輯為真. 上面所有的 host 表達式都可以加上 ip, arp, 或 rarp 關鍵字做前綴, 就象:
ip host host

它等價於:
ether proto \ip and host host

如果 host 是擁有多個 IP 地址的主機名, 它的每個地址都會被查驗.

ether dst ehost
如果報文的以太目的地址是 ehost, 則邏輯為真. Ehost 既可以是名字 (/etc/ethers 里有), 也可以是數字 (有關數字格式另見 ethers(3N) ).
ether src ehost
如果報文的以太源地址是 ehost, 則邏輯為真.
ether host ehost
如果報文的以太源地址或以太目的地址是 ehost, 則邏輯為真.
gateway host
如果報文把 host 當做網關, 則邏輯為真. 也就是說, 報文的以太源或目的地址是 host, 但是 IP 的源目地址都不是 host. host 必須是個主機名, 而且必須存在 /etc/hosts 和 /etc/ethers 中. (一個等價的表達式是
ether host ehost and not host host

對於 host / ehost, 它既可以是名字, 也可以是數字.)
dst net net
如果報文的 IP 目的地址屬於網路號 net, 則邏輯為真. net 既可以是名字 (存在 /etc/networks 中), 也可以是網路號. (詳見 networks(4)).
src net net
如果報文的 IP 源地址屬於網路號 net, 則邏輯為真.
net net
如果報文的 IP 源地址或目的地址屬於網路號 net, 則邏輯為真.
net net mask mask
如果 IP 地址匹配指定網路掩碼(netmask) 的 net, 則邏輯為真. 本原語可以用 src 或 dst 修飾.
net net/len
如果 IP 地址匹配指定網路掩碼的 net, 則邏輯為真, 掩碼的有效位寬為 len. 本原語可以用 src 或 dst 修飾.
dst port port
如果報文是 ip/tcp 或 ip/udp, 並且目的埠是 port, 則邏輯為真. port 是一個數字, 也可以是 /etc/services 中說明過的名字 (參看 tcp(4P) 和 udp(4P)). 如果使用名字, 則檢查埠號和協議. 如果使用數字, 或者有二義的名字, 則只檢查埠號 (例如, dst port 513 將顯示 tcp/login 的數據和 udp/who 的數據, 而 port domain 將顯示 tcp/domain 和 udp/domain 的數據).
src port port
如果報文的源埠號是 port, 則邏輯為真.
port port
如果報文的源埠或目的埠是 port, 則邏輯為真. 上述的任意一個埠表達式都可以用關鍵字 tcp 或 udp 做前綴, 就象:
tcp src port port

它只匹配源埠是 port 的 TCP 報文.
less length
如果報文的長度小於等於 length, 則邏輯為真. 它等同於:
len <= length.

greater length
如果報文的長度大於等於 length, 則邏輯為真. 它等同於:
len >= length.

ip proto protocol
如果報文是 IP 數據報(參見 ip(4P)), 其內容的協議類型是 protocol, 則邏輯為真. Protocol 可以是數字, 也可以是下列名稱中的一個: icmp, igrp, udp, nd, 或 tcp. 注意這些標識符 tcp, udp, 和 icmp 也同樣是關鍵字, 所以必須用反斜杠(\) 轉義, 在 C-shell 中應該是 \\ .
ether broadcast
如果報文是以太廣播報文, 則邏輯為真. 關鍵字 ether 是可選的.
ip broadcast
如果報文是 IP廣播報文, 則邏輯為真. Tcpdump 檢查全0 和全1 廣播約定, 並且檢查本地的子網掩碼.
ether multicast
如果報文是以太多目傳送報文(multicast), 則邏輯為真. 關鍵字 ether 是可選的. 這實際上是 `ether[0] & 1 != 0' 的簡寫.
ip multicast
如果報文是 IP多目傳送報文, 則邏輯為真.
ether proto protocol
如果報文協議屬於以太類型的 protocol, 則邏輯為真. Protocol 可以是數字, 也可以是名字, 如 ip, arp, 或 rarp. 注意這些標識符也是關鍵字, 所以必須用反斜杠(\) 轉義. [如果是 FDDI (例如, `fddi protocol arp'), 協議標識來自 802.2 邏輯鏈路控制(LLC)報頭, 它通常位於 FDDI 報頭的頂層. 當根據協議標識過濾報文時, Tcpdump 假設所有的 FDDI 報文含有 LLC 報頭, 而且 LLC 報頭用的是 SNAP 格式.]

decnet src host
如果 DECNET 的源地址是 host, 則邏輯為真, 該主機地址的形式可能是 ``10.123'', 或者是 DECNET 主機名. [只有配置成運行 DECNET 的 Ultrix 系統支持 DECNET 主機名.]
decnet dst host
如果 DECNET 的目的地址是 host, 則邏輯為真.
decnet host host
如果 DECNET 的源地址或目的地址是 host, 則邏輯為真.
ip, arp, rarp, decnet
是:
ether proto p

的簡寫形式, 其中 p 為上述協議的一種.
lat, moprc, mopdl
是:
ether proto p

的簡寫形式, 其中 p 為上述協議的一種. 注意 tcpdump 目前不知道如何分析這些協議.
tcp, udp, icmp
是:
ip proto p

的簡寫形式, 其中 p 為上述協議的一種.
expr relop expr
如果這個關係成立, 則邏輯為真, 其中 relop 是 >, <, >=, <=, =, != 之一, expr 是數學表達式, 由常整數(標準C語法形式), 普通的二進位運算符 [+, -, *, /, &, |], 一個長度運算符, 和指定的報文數據訪問算符組成. 要訪問報文內的數據, 使用下面的語法:
proto [ expr : size ]

Proto 是 ether, fddi, ip, arp, rarp, tcp, udp, or icmp 之一, 同時也指出了下標操作的協議層. expr 給出位元組單位的偏移量, 該偏移量相對於指定的協議層. Size 是可選項, 指出感興趣的位元組數; 它可以是 1, 2, 4, 預設為 1 位元組. 由關鍵字 len 給出的長度運算符指明報文的長度.
例如, `ether[0] & 1 != 0' 捕捉所有的多目傳送報文. 表達式 `ip[0] & 0xf != 5' 捕捉所有帶可選域的 IP 報文. 表達式 `ip[6:2] & 0x1fff = 0' 只捕捉未分片和片偏移為0 的數據報. 這種檢查隱含在 tcp 和 udp 下標操作中. 例如, tcp[0] 一定是 TCP 報頭的第一個位元組, 而不是其中某個 IP片的第一個位元組.

原語可以用下述方法結合使用:

園括弧括起來的原語和操作符 (園括弧在 Shell 中有專用, 所以必須轉義).
取反操作 (`!' or `not').
連結操作 (`&&' or `and').
或操作 (`||' or `or').
取反操作有最高優先順序. 或操作和連結操作有相同的優先順序, 運算時從左到右結合. 注意連結操作需要顯式的 and 算符, 而不是並列放置.

如果給出標識符, 但沒給關鍵字, 那麼暗指最近使用的關鍵字. 例如,

not host vs and ace

作為
not host vs and host ace

的簡寫形式, 不應該和
not ( host vs or ace )

混淆.
表達式參數可以作為單個參數傳給 tcpdump, 也可以作為複合參數, 後者更方便一些. 一般說來, 如果表達式包含 Shell 元字元(metacharacter), 傳遞單個括起來的參數要容易一些. 複合參數在被解析前用空格聯接一起.

示例 (EXAMPLES)
顯示所有進出 sundown 的報文:

tcpdump host sundown

顯示 helios 和主機 hot, ace 之間的報文傳送:

tcpdump host helios and \( hot or ace \)

顯示 ace 和除了 helios 以外的所有主機的 IP報文:

tcpdump ip host ace and not helios

顯示本地的主機和 Berkeley的主機之間的網路數據:

tcpdump net ucb-ether

顯示所有通過網關 snup 的 ftp 報文 (注意這個表達式被單引號括起, 防止 shell 解釋園括弧):

tcpdump 'gateway snup and (port ftp or ftp-data)'

顯示既不是來自本地主機, 也不是傳往本地主機的網路數據 (如果你把網關通往某個其他網路, 這個做法將不會把數據發往你的本地網路).

tcpdump ip and not net localnet

顯示每個 TCP會話的起始和結束報文 (SYN 和 FIN 報文), 而且會話方中有一個遠程主機.

tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'

顯示經過網關 snup 中大於 576 位元組的 IP 數據報:

tcpdump 'gateway snup and ip[2:2] > 576'

顯示 IP 廣播或多目傳送的數據報, 這些報文不是通過乙太網的廣播或多目傳送形式傳送的:

tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

顯示所有不是迴響請求/應答的 ICMP 報文 (也就是說, 不是 ping 報文):

tcpdump 'icmp[0] != 8 and icmp[0] != 0"

輸出格式 (OUTPUT FORMAT)
tcpdump 的輸出格式取決於協議. 下面的描述給出大多數格式的簡要說明和範例.

鏈路層報頭 (Link Level Headers)

如果給出 '-e' 選項就顯示鏈路層報頭. 在乙太網上, 顯示報文的源目地址, 協議和報文長度.

在 FDDI 網路上, '-e' 選項導致 tcpdump 顯示出 `幀控制(frame control)' 域, 源目地址和報文長度. (`幀控制' 域負責解釋其餘的報文. 普通報文 (比如說載有 IP數據報) 是 `非同步' 報文, 優先順序介於 0 到 7; 例如, `async4'. 這些被認為載有 802.2 邏輯鏈路控制(LLC) 報文; 如果它們不是 ISO 數據報或者所謂的 SNAP 報文, 就顯示出 LLC 報頭.

(注意: 以下描述中假設你熟悉 RFC-1144 中說明的 SLIP 壓縮演算法.)

在 SLIP 鏈路上, tcpdump 顯示出方向指示 (``I'' 指 inbound, ``O'' 指 outbound), 報文類型和壓縮信息. 首先顯示的是報文類型. 有三種類型 ip, utcp 和 ctcp. 對於 ip 報文不再顯示更多的鏈路信息. 對於 TCP 報文, 在類型後面顯示連接標識. 如果報文是壓縮過的, 就顯示出編碼的報頭. 特殊情形以 *S+n 和 *SA+n 的形式顯示, 這裡的 n 是順序號 (或順序號及其確認) 發生的改變總和. 如果不是特殊情形, 就顯示 0 或多少個改變. 改變由 U (urgent pointer), W (window), A (ack), S (sequence number) 和 I (packet ID) 指明, 後跟一個變化量(+n or -n), 或另一個值(=n). 最後顯示報文中的數據總和, 以及壓縮報頭的長度.

例如, 下面一行顯示了一個傳出的壓縮的 TCP 報文, 有一個隱含的連接標識; 確認(ack)的變化量是 6, 順序號是 49, 報文ID 是 6; 有三個位元組的數據和六個位元組的壓縮報頭:

O ctcp * A+6 S+49 I+6 3 (6)

ARP/RARP 報文

Arp/rarp 報文的輸出顯示請求類型及其參數. 輸出格式傾向於能夠自我解釋. 這裡是一個簡單的例子, 來自主機 rtsg 到主機 csam 的 'rlogin' 開始部分:

arp who-has csam tell rtsg
arp reply csam is-at CSAM

第一行說明 rtsg 發出一個 arp 報文詢問 internet 主機 csam 的乙太網地址. Csam 用它的以太地址作應答 (這個例子中, 以太地址是大寫的, internet 地址為小寫).
如果用 tcpdump -n 看上去要清楚一些:

arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4

如果用 tcpdump -e, 可以看到實際上第一個報文是廣播, 第二個報文是點到點的:

RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM

這裡第一個報文指出乙太網源地址是 RTSG, 目的地址是乙太網廣播地址, 類型域為 16進位數 0806 (類型 ETHER_ARP), 報文全長 64 位元組.
TCP 報文

(注意: 以下的描述中假設你熟悉 RFC-793 中說明的 TCP 協議, 如果你不了解這個協議, 無論是本文還是 tcpdump 都對你用處不大)

一般說來 tcp 協議的輸出格式是:

src > dst: flags data-seqno ack window urgent options

Src 和 dst 是源目IP地址和埠. Flags 是 S (SYN), F (FIN), P (PUSH) 或 R (RST) 或單獨的 `.'(無標誌), 或者是它們的組合. Data-seqno 說明了本報文中的數據在流序號中的位置 (見下例). Ack 是在這條連接上信源機希望下一個接收的位元組的流序號 (sequence number). Window 是在這條連接上信源機接收緩衝區的位元組大小. Urg 表明報文內是 `緊急(urgent)' 數據. Options 是 tcp 可選報頭, 用尖括弧括起 (例如, ).
Src, dst 和 flags 肯定存在. 其他域依據報文的 tcp 報頭內容, 只輸出有必要的部分.

下面是從主機 rtsg rlogin 到主機 csam 的開始部分.

rtsg.1023 > csam.login: S 768512:768512(0) win 4096
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

第一行是說從 rtsg 的 tcp 埠 1023 向 csam 的 login 埠發送報文. S 標誌表明設置了 SYN 標誌. 報文的流序號是 768512, 沒有數據. (這個寫成 `first:last(nbytes)', 意思是 `從流序號 first 到 last, 不包括 last, 有 nbytes 位元組的用戶數據'.) 此時沒有捎帶確認(piggy-backed ack), 有效的接收窗口是 4096 位元組, 有一個最大段大小(max-segment-size) 的選項, 請求設置 mss 為 1024 位元組.
Csam 用類似的形式應答, 只是增加了一個對 rtsg SYN 的捎帶確認. 然後 Rtsg 確認 csam 的 SYN. `.' 意味著沒有設置標誌. 這個報文不包含數據, 因此也就沒有數據的流序號. 注意這個確認流序號是一個小整數(1). 當 tcpdump 第一次發現一個 tcp 會話時, 它顯示報文攜帶的流序號. 在隨後收到的報文里, 它顯示當前報文和最初那個報文的流序號之差. 這意味著從第一個報文開始, 以後的流序號可以理解成數據流中的相對位移 as relative byte positions in the conversation's data stream (with the first data byte each direction being `1'). `-S' 選項能夠改變這個特性, 直接顯示原始的流序號.

在第六行, rtsg 傳給 csam 19 個位元組的數據 (位元組 2 到 20). 報文中設置了 PUSH 標誌. 第七行 csam 表明它收到了 rtsg 的數據, 位元組序號是 21, 但不包括第21個位元組. 顯然大多數數據在 socket 的緩衝區內, 因為 csam 的接收窗口收到的數據小於 19 個位元組. 同時 csam 向 rtsg 發送了一個位元組的數據. 第八和第九行顯示 csam 發送了兩個位元組的緊急數據到 rtsg.

如果捕捉區設置的過小, 以至於 tcpdump 不能捕捉到完整的 TCP 報頭, tcpdump 會儘可能的翻譯已捕獲的部分, 然後顯示 ``[|tcp]'', 表明無法翻譯其餘部分. 如果報頭包含一個偽造的選項 (one with a length that's either too small or beyond the end of the header), tcpdump 顯示 ``[bad opt]'' 並且不再翻譯其他選項部分 (因為它不可能判斷出從哪兒開始). 如果報頭長度表明存在選項, 但是 IP 數據報長度不夠, 不可能真的保存選項, tcpdump 就顯示 ``[bad hdr length]''.

UDP 報文

UDP 格式就象這個 rwho 報文顯示的:

actinide.who > broadcast.who: udp 84

就是說把一個 udp 數據報從主機 actinide 的 who 埠發送到 broadcast, Internet 廣播地址的 who 埠. 報文包含 84位元組的用戶數據.
某些 UDP 服務能夠識別出來(從源目埠號上), 因而顯示出更高層的協議信息. 特別是域名服務請求(RFC-1034/1035) 和 NFS 的 RPC 調用(RFC-1050).

UDP 域名服務請求 (Name Server Requests)

(注意: 以下的描述中假設你熟悉 RFC-1035 說明的域名服務協議. 如果你不熟悉這個協議, 下面的內容就象是天書.)

域名服務請求的格式是

src > dst: id op? flags qtype qclass name (len)

h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

主機 h2opolo 訪問 helios 上的域名服務, 詢問和 ucbvax.berkeley.edu. 關聯的地址記錄(qtype=A). 查詢號是 `3'. `+' 表明設置了遞歸請求標誌. 查詢長度是 37 位元組, 不包括 UDP 和 IP 頭. 查詢操作是普通的 Query 操作, 因此 op 域可以忽略. 如果 op 設置成其他什麼東西, 它應該顯示在 `3' 和 `+' 之間. 類似的, qclass 是普通的 C_IN 類型, 也被忽略了. 其他類型的 qclass 應該在 `A' 後面顯示.
Tcpdump 會檢查一些不規則情況, 相應的結果作為補充域放在方括弧內: 如果某個查詢包含回答, 名字服務或管理機構部分, 就把 ancount, nscount, 或 arcount 顯示成 `[na]', `[nn]' 或 `[nau]', 這裡的 n 代表相應的數量. 如果在第二和第三位元組中, 任何一個回答位(AA, RA 或 rcode) 或任何一個 `必須為零' 的位被置位, 就顯示 `[b2&3=x]', 這裡的 x 是報頭第二和第三位元組的 16進位數.

UDP 名字服務回答

名字服務回答的格式是

src > dst: id op rcode flags a/n/au type class data (len)

helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)

第一個例子里, helios 回答了 h2opolo 發出的標識為3 的詢問, 一共是 3 個回答記錄, 3 個名字服務記錄和 7 個管理結構記錄. 第一個回答紀錄的類型是 A (地址), 數據是 internet 地址 128.32.137.3. 回答的全長為 273 位元組, 不包括 UDP 和 IP 報頭. 作為 A 記錄的 class(C_IN) 可以忽略 op (詢問) 和 rcode (NoError).
在第二個例子里, helios 對標識為2 的詢問作出域名不存在 (NXDomain) 的回答, 沒有回答記錄, 一個名字服務記錄, 而且沒有管理結構.
`*' 表明設置了權威回答(authoritative answer). 由於沒有回答記錄, 這裡就不顯示 type, class 和 data.

其他標誌字元可以顯示為 `-' (沒有設置遞歸有效(RA)) 和 `|' (設置消息截短(TC)). 如果 `問題' 部分沒有有效的內容, 就顯示 `[nq]'.

注意名字服務的詢問和回答一般說來比較大, 68 位元組的 snaplen 可能無法捕捉到足夠的報文內容. 如果你的確在研究名字服務的情況, 可以使用 -s 選項增大捕捉緩衝區. `-s 128' 應該效果不錯了.

NFS 請求和響應

Sun NFS (網路文件系統) 的請求和響應顯示格式是:

src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results

sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150

在第一行, 主機 sushi 向 wrl 發送號碼為 6709 的交易會話 (注意源主機後面的數字是交易號, 不是埠). 這項請求長 112 位元組, 不包括 UDP 和 IP 報頭. 在文件句柄 (fh) 21,24/10.731657119 上執行 readlink (讀取符號連接) 操作. (如果運氣不錯, 就象這種情況, 文件句柄可以依次翻譯成主次設備號, i 節點號, 和事件號(generation number). ) Wrl 回答 `ok' 和連接的內容.
在第三行, sushi 請求 wrl 在目錄文件 9,74/4096.6878 中查找 `xcolors'. 注意數據的列印格式取決於操作類型. 格式應該是可以自我說明的.

給出 -v (verbose) 選項可以顯示附加信息. 例如:

sushi.1372a > wrl.nfs:
148 read fh 21,11/12.195 8192 bytes @ 24576
wrl.nfs > sushi.1372a:
reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v 同時使它顯示 IP 報頭的 TTL, ID, 和分片域, 在這個例子里把它們省略了.) 在第一行, sushi 請求 wrl 從文件 21,11/12.195 的偏移位置 24576 開始, 讀取 8192 位元組. Wrl 回答 `ok'; 第二行顯示的報文是應答的第一個分片, 因此只有 1472 位元組 (其餘數據在後續的分片中傳過來, 但由於這些分片里沒有 NFS 甚至 UDP 報頭, 因此根據所使用的過濾器表達式, 有可能不顯示). -v 選項還會顯示一些文件屬性 (它們作為文件數據的附帶部分傳回來): 文件類型 (普通文件 ``REG''), 存取模式 (八進位數), uid 和 gid, 以及文件大小.
如果再給一個 -v 選項 (-vv), 還能顯示更多的細節.

注意 NFS 請求的數據量非常大, 除非增加 snaplen, 否則很多細節無法顯示. 試一試 `-s 192' 選項.

NFS 應答報文沒有明確標明 RPC 操作. 因此 tcpdump 保留有 ``近來的'' 請求記錄, 根據交易號匹配應答報文. 如果應答報文沒有相應的請求報文, 它就無法分析.

KIP Appletalk (UDP 上的 DDP)

Appletalk DDP 報文封裝在 UDP 數據報中, 解包后按 DDP 報文轉儲 (也就是說, 忽略所有的 UDP 報頭信息). 文件 /etc/atalk.names 用來把 appletalk 網路和節點號翻譯成名字. 這個文件的行格式是

number name

1.254 ether
16.1 icsd-net
1.254.110 ace

前兩行給出了 appletalk 的網路名稱. 第三行給出某個主機的名字 (主機和網路依據第三組數字區分 - 網路號一定是兩組數字, 主機號一定是三組數字.) 號碼和名字用空白符(空格或tab) 隔開. /etc/atalk.names 文件可以包含空行或註釋行(以`#'開始的行).
Appletalk 地址按這個格式顯示

net.host.port

144.1.209.2 > icsd-net.112.220
office.2 > icsd-net.112.220
jssmag.149.235 > icsd-net.2

(如果不存在 /etc/atalk.names , 或者裡面缺少有效項目, 就以數字形式顯示地址.) 第一個例子里, 網路 144.1 的 209 節點的 NBP (DDP 埠 2) 向網路 icsd 的 112 節點的 220 埠發送數據. 第二行和上面一樣, 只是知道了源節點的全稱 (`office'). 第三行是從網路 jssmag 的 149 節點的 235 埠向 icsd-net 的 NBP 埠廣播 (注意廣播地址 (255) 隱含在無主機號的網路名字中 - 所以在 /etc/atalk.names 中區分節點名和網路名是個好主意).
Tcpdump 可以翻譯 NBP (名字聯結協議) 和 ATP (Appletalk 交互協議) 的報文內容. 其他協議只轉儲協議名稱 (或號碼, 如果還沒給這個協議註冊名稱) 和報文大小.

NBP 報文的輸出格式就象下面的例子:

icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186

第一行是網路 icsd 的 112 主機在網路 jssmag 上的廣播, 對名字 laserwriter 做名字查詢請求. 名字查詢請求的 nbp 標識號是 190. 第二行顯示的是對這個請求的回答 (注意它們有同樣的標識號), 主機 jssmag.209 表示在它的 250 埠註冊了一個 laserwriter 的資源, 名字是 "RM1140". 第三行是這個請求的其他回答, 主機 techpit 的 186 埠有 laserwriter 註冊的 "techpit".
ATP 報文格式如下例所示:

jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002

Jssmag.209 向主機 helios 發起 12266 號交易, 請求 8 個報文(`<0-7>'). 行尾的十六進位數是請求中 `userdata' 域的值.
Helios 用 8 個 512位元組的報文應答. 跟在交易號後面的 `:digit' 給籌

責任編輯：徐明

Tags:

[火星人 ] TCPDUMP中文手冊已經有715次圍觀

本文地址：http://coctec.com/docs/program/show-post-72124.html

TCPDUMP中文手冊

熱門文章

最新文章