Tcpdump: எடுத்துக்காட்டுகள், விருப்பங்கள் மற்றும் பல

Anonim

Tcpdump என்பது ஒரு லினக்ஸ் அடாப்டரை கடந்து செல்லும் TCP / IP பாக்கெட்டுகளை சேகரிக்கும் பல லினக்ஸ் இயக்க முறைமைகளில் (OS கள்) பயன்படுத்தப்படுகிறது. ஒரு பாக்கெட் ஸ்னிஃபர் கருவியைப் போலவே, tcpdump பிணைய போக்குவரத்தை மட்டும் பகுப்பாய்வு செய்ய முடியாது, ஆனால் அதை ஒரு கோப்பில் சேமிக்கும்.

இயங்குதளத்தால் இயங்கக்கூடிய சில கட்டளைகளை போலல்லாமல், நீங்கள் நிறுவப்படாததால், tcpdump ஐப் பயன்படுத்த முடியாது என்று நீங்கள் காணலாம். Tcpdump ஐ நிறுவ, இயக்கவும் apt-get install டீசீபிடம்பிற்கு அல்லது yum install tcpdump, உங்கள் OS பொறுத்து.

எப்படி Tcpdump படைப்புகள்

Tcpdump பூட்ஸுடன் பொருந்தும் ஒரு பிணைய இடைமுகத்தில் பாக்கெட்டுகளின் தலைப்புகளை அச்சிடுகிறது வெளிப்பாடு . இது இயங்கும்-w கொடி, இது பாக்கெட் தரவை பின்னர் பகுப்பாய்விற்காக ஒரு கோப்பில் சேமிக்கும், மற்றும் / அல்லது உடன்-r கொடி, பிணைய இடைமுகத்திலிருந்து பாக்கெட்டுகளை வாசிக்க விட சேமித்த பாக்கெட் கோப்பில் இருந்து படிக்கும். அனைத்து சந்தர்ப்பங்களிலும், பொருந்தும் ஒரே பாக்கெட்டுகள் வெளிப்பாடு மூலம் செயல்படுத்தப்படும் டீசீபிடம்பிற்கு .

டீசீபிடம்பிற்கு இல்லையென்றால், ரன் இல்லை-c ஒரு SIGINT சமிக்ஞையால் குறுக்கிடப்படும் வரை பாக்கெட்டுகளை கைப்பற்றுதல் தொடர்ந்து (உதாரணமாக உருவாக்கப்பட்ட, உங்கள் குறுக்கீடு பாத்திரம் தட்டச்சு செய்வதன் மூலம், பொதுவாக Ctrl + C ஐ) அல்லது ஒரு SIGTERM சமிக்ஞை (பொதுவாக உருவாக்கப்படும்கொல்ல(1) கட்டளை); ரன் என்றால்-c கொடி, அது SIGINT அல்லது SIGTERM சமிக்ஞையால் குறுக்கிடப்படும் வரை அல்லது பாக்கெட்டுகளின் குறிப்பிட்ட எண்ணிக்கையிலான செயல்களால் பாக்கெட்டுகளை கைப்பற்றும்.

மேலே குறிப்பிட்டுள்ள சுவிட்சுகள் பின்னர் இந்த கட்டுரையில் விவரிக்கப்பட்டுள்ளன.

எப்பொழுது டீசீபிடம்பிற்கு பாக்கெட்டுகளை கைப்பற்றுதல் முடிவடைகிறது, இது கணக்கில் அறிக்கையிடும்:

  • தொகுப்புகள் "வடிகட்டி மூலம் பெறப்பட்டது."
    • இதன் அர்த்தம் நீங்கள் இயங்கும் இயக்கத்தில் சார்ந்துள்ளது டீசீபிடம்பிற்கு , மற்றும் ஒருவேளை OS கட்டமைக்கப்பட்ட வழியில். கட்டளை வரியில் ஒரு வடிப்பான் குறிப்பிடப்பட்டிருந்தால், சில ஓஎஸ்ஸில் அவை வடிப்பான் வெளிப்பாடுடன் பொருந்துகிறதா என்பதைப் பொருட்படுத்தாமல் பாக்கெட்டுகளை கணக்கில் கொள்கின்றன, மேலும் மற்றவர்கள் மீது வடிப்பான் வெளிப்பாட்டால் பொருந்தக்கூடிய பாக்கெட்டுகளை மட்டுமே கணக்கிடுகிறது டீசீபிடம்பிற்கு.
  • தொகுப்புகள் "கர்னல் மூலம் கைவிடப்பட்டது."
    • இது பஃபர் ஸ்பேர் இல்லாததால் பாக்கெட்டுகளின் எண்ணிக்கை குறைந்து, OS இல் பாக்கெட் பிடிப்பு முறை மூலம் டீசீபிடம்பிற்கு பயன்பாடுகளுக்கு தகவலை OS அறிக்கையிடும் போது இயங்கும். இல்லையெனில், அது 0 என அறிக்கை செய்யப்படும்.

SIGINFO சமிக்ஞையை ஆதரிக்கும் தளங்களில், BSDs (பெர்க்லி மென்பொருள் விநியோகங்கள்) போன்ற, இது SIGINFO சமிக்ஞையை (உதாரணமாக உருவாக்கப்படும், உங்கள் "நிலை" பாத்திரம், Ctrl + டி) மற்றும் பாக்கெட்டுகளை கைப்பற்றி தொடரும்.

Tcpdump இணக்கம்

Tcpdump கட்டளையுடன் ஒரு நெட்வொர்க் இடைமுகத்திலிருந்து படித்தல் பத்திகள் உங்களுக்கு சிறப்பு சலுகைகளை தேவைப்படலாம் ( வாசிப்பு சேமித்த பாக்கெட் கோப்பு போன்ற சலுகைகள் தேவையில்லை):

  • NIT அல்லது BPF உடன் SunOS 3.x அல்லது 4.x: நீங்கள் படிக்க வேண்டும் / தேவ் / நிட் அல்லது தேவ் / பிபிஎஃப் * .
  • DLPI உடன் சோலாரிஸ்: நீங்கள் நெட்வொர்க் போலி சாதனம் படிக்க / எழுத அணுக வேண்டும், போன்ற / தேவ் / லெ . சோலாரிஸின் சில பதிப்புகளில், இது அனுமதிக்க போதுமானதாக இல்லை டீசீபிடம்பிற்கு வேகமான முறையில் கைப்பற்ற; Solaris அந்த பதிப்புகள், நீங்கள் ரூட், அல்லது இருக்க வேண்டும் டீசீபிடம்பிற்கு வேகமான அமைப்பில் கைப்பற்றுவதற்கு ரூட்டிற்கு அமைவு நிறுவப்பட வேண்டும். பல (ஒருவேளை அனைத்து) இடைமுகங்கள், நீங்கள் வேகமான முறையில் கைப்பற்றவில்லை எனில், வெளிச்செல்லும் பாக்கெட்டுகளை நீங்கள் பார்க்க மாட்டீர்கள், எனவே ப்ரெச்செச்சுவல் முறையில் செய்யப்படாத ஒரு பிடிப்பு மிகவும் பயனுள்ளதாக இருக்காது.
  • DLPI உடன் HP-UX: நீங்கள் ரூட் அல்லது இருக்க வேண்டும் டீசீபிடம்பிற்கு ரூட் அமைப்பதற்கு நிறுவப்பட்டிருக்க வேண்டும்.
  • IRIX ஸ்னூப் உடன்: நீங்கள் ரூட் அல்லது இருக்க வேண்டும் டீசீபிடம்பிற்கு ரூட் அமைப்பதற்கு நிறுவப்பட்டிருக்க வேண்டும்.
  • லினக்ஸ்: நீங்கள் ரூட் அல்லது இருக்க வேண்டும் டீசீபிடம்பிற்கு ரூட் அமைப்பதற்கு நிறுவப்பட்டிருக்க வேண்டும்.
  • Ultrix மற்றும் டிஜிட்டல் யுனிக்ஸ் / Tru64 UNIX: ஏதேனும் பயனர் நெட்வொர்க் ட்ராஃபியை கைப்பற்றலாம் டீசீபிடம்பிற்கு . இருப்பினும், சூப்பர் பயனர் பயனர் இடைமுகத்தை பயன்படுத்தி அந்த இடைமுகத்தில் செயல்திறன் மிக்க செயல்பாட்டை இயக்கியில்லாமல் ஒரு பயனருக்கு (சூப்பர்-பயனர் கூட கூட) ஒரு இடைமுகத்தில் உடனடியாக கைப்பற்ற முடியாது. pfconfig (8), மற்றும் சூப்பர் பயனர் பயனர் அந்த இடைமுகத்தில் நகலெடு-அனைத்து-பயன்முறை செயல்பாட்டை இயக்கும் வரை ஒரு இடைமுகத்தில் கணினியால் பெறப்பட்ட அல்லது அனுப்பப்பட்ட ஒற்றை டிராஃபிக்கைப் பயனர் (ஒரு சூப்பர்-பயனர் கூட கூட) பிடிக்க முடியாது. pfconfig , அதனால் பயனுள்ள ஒரு இடைமுகத்தில் பாக்கெட் கைப்பற்றுவது, இடைமுகமான முறையில் அல்லது நகலெடு-எல்லா-பயன் இயக்கத்தையோ அல்லது செயல்பாட்டின் இரண்டு முறைகளோ அந்த இடைமுகத்தில் செயல்படுத்தப்பட வேண்டும்.
  • பி.எஸ்.டி: நீங்கள் படிக்க வேண்டும் / தேவ் / பிபிஎஃப் * .

Tcpdump கட்டளை தொடரியல்

அனைத்து கணினி கட்டளைகளையும் போல, தொடரியல் சரியாக இருந்தால் மட்டுமே tcpdump கட்டளை சரியாக வேலை செய்கிறது:

டீசீபிடம்பிற்கு -adeflnNOpqRStuvxX -c எண்ண

-C கோப்பின் அளவு -F கோப்பு

-நான் இடைமுகம் -m தொகுதி -r கோப்பு

-s snaplen -T வகை -U பயனர் -w கோப்பு

-E Algo: இரகசிய வெளிப்பாடு

Tcpdump கட்டளை விருப்பங்கள்

நீங்கள் tcpdump கட்டளையுடன் பயன்படுத்தக்கூடிய அனைத்து விருப்பங்களும்:

  • -a: நெட்வொர்க் மற்றும் ஒளிபரப்பு முகவரிகள் பெயர்களை மாற்றுவதற்கான முயற்சி.
  • -c: பெறும் பிறகு வெளியேறு எண்ண பாக்கெட்டுகள்.
  • -C: ஒரு சேப்பல் பாக்கெட் ஒரு சேப்பல்ஃபைல் எழுதுவதற்கு முன், கோப்பு தற்போது பெரியதாக இருக்கிறதா என்று சோதிக்கவும் கோப்பின் அளவு மற்றும், அப்படியானால், தற்போதைய savefile ஐ மூடிவிட்டு புதிய ஒன்றைத் திறக்கவும்.முதல் சேமிப்பகத்திற்குப் பிறகு Savefiles பெயர் குறிப்பிடப்பட்டுள்ளது-w கொடி, அதன் பிறகு பல, 2 தொடங்கி தொடர்கிறது. அலகுகள் கோப்பின் அளவு மில்லியன் கணக்கான பைட்டுகள் (1,000,000 பைட்டுகள், 1,048,576 பைட்டுகள் அல்ல).
  • -d: தொகுக்கப்பட்ட பாக்கெட்-பொருந்தும் குறியீட்டை ஒரு மனித படிக்கக்கூடிய படிவத்தில் தரநிலை வெளியீட்டிற்கு அனுப்பவும் நிறுத்தவும்.
  • -DD: ஒரு பாக்கெட்-பொருந்தும் குறியீட்டை நிரப்பவும்சி நிரல் துண்டு.
  • -ddd: பாக்கெட்-பொருந்தும் குறியீட்டை டிஜிட்டல் எண்கள் (ஒரு கணக்கோடு ஒப்பிட).
  • -e: ஒவ்வொரு டம்ப் வரிசையிலும் இணைப்பை நிலை தலைப்பு அச்சிட.
  • -E: பயன்படுத்தவும் Algo: இரகசிய IPsec ESP பாக்கெட்டுகளை டிக்ரிப்ட்டிங் செய்ய. அல்காரிதம் இருக்கலாம்டெஸ்-CBC, 3DES-CBC, பலூன் மீன்-CBC, rc3-CBC, cast128-CBC, அல்லதுயாரும். முன்னிருப்புடெஸ்-CBC. பாக்கெட்டுகளை டிக்ரிப்ட் செய்யக்கூடிய திறன் மட்டுமே உள்ளது டீசீபிடம்பிற்கு கிரிப்டோகிராஃபி செயல்படுத்தப்பட்டவுடன் தொகுக்கப்பட்டது. இரகசிய ESP இரகசிய விசைக்கான AScii உரை. இந்த நேரத்தில் எவ்வளவேனும் பைனரி மதிப்பை எடுக்க முடியாது. விருப்பம் RFC2406 ESP, RFC1827 ESP அல்ல. விருப்பத்தை பிழைத்திருத்தங்களுக்கான மட்டுமே, மற்றும் இந்த விருப்பத்தை உண்மையிலேயே 'இரகசிய' முக்கிய பயன்படுத்தி ஊக்கம். IPsec இரகசிய விசையை கட்டளை வரியில் காண்பிப்பதன் மூலம் நீங்கள் அதை மற்றவர்களிடம் காண்பிக்கலாம் பிஎஸ் (1) மற்றும் பிற சந்தர்ப்பங்கள்.
  • -f: அச்சிட 'வெளிநாட்டு' இணைய முகவரிகள் குறியீட்டு ரீதியில் குறியீட்டு ரீதியாக (இந்த விருப்பமானது, சூரியனின் yp சேவையகத்தில் தீவிர மூளைச் சேதத்தை அடைய திட்டமிடப்பட்டுள்ளது - வழக்கமாக அது அல்லாத இணைய எண்களை மொழிபெயர்ப்பது தடைசெய்கிறது).
  • -F: பயன்படுத்தவும் கோப்பு வடிப்பான் வெளிப்பாடு உள்ளீடு. கட்டளை வரியில் கொடுக்கப்பட்ட கூடுதல் வெளிப்பாடு புறக்கணிக்கப்படுகிறது.
  • -நான்: கேளுங்கள் இடைமுகம் . குறிப்பிடப்படவில்லை என்றால், டீசீபிடம்பிற்கு குறைந்த எண்ணிக்கையிலான, கட்டமைக்கப்பட்ட அப் இடைமுகத்திற்கான (லூப்பேக் தவிர்த்து) கணினி இடைமுகப் பட்டியலைத் தேடுகிறது. முந்தைய போட்டியை தேர்வு செய்வதன் மூலம் உறவுகள் முறிந்துபோகும். 2.2 அல்லது அதற்கு மேற்பட்ட கர்னல்களுடன் லினக்ஸ் கணினிகளில், a இடைமுகம் "ஏதாவதொரு" விவாதத்தை அனைத்து இடைமுகங்களிலிருந்தும் பாக்கெட்டுகளை கைப்பற்ற பயன்படுத்தலாம். "ஏதேனும் ஒரு சாதனத்தில் கைப்பற்றுவது உறுதிசெய்யப்படாத முறையில் செய்யப்படாது என்பதை நினைவில் கொள்க.
  • -l: ஸ்டௌட் வரி முடிந்தது. தரவு கைப்பற்றும் போது நீங்கள் அதை பார்க்க விரும்பினால் பயனுள்ள. எடுத்துக்காட்டாக, "tcpdump -l | tee dat" அல்லது "tcpdump -l> dat & tail -f dat".
  • -m: கோப்பு இருந்து SMI MIB தொகுதி வரையறைகள் ஏற்ற தொகுதி . இந்த விருப்பத்தை பல MIB தொகுதிகளை ஏற்ற பல முறை பயன்படுத்தலாம் டீசீபிடம்பிற்கு .
  • -n: புரவலன் முகவரிகளை பெயர்களுக்கு மாற்ற வேண்டாம். DNS lookups ஐ தவிர்க்க இதை பயன்படுத்தலாம்.
  • -nn: நெறிமுறை மற்றும் போர்ட் எண்களை முதலியன பெயர்களுக்கு மாற்றாதீர்கள்.
  • -N: புரவலன் பெயர்கள் டொமைன் பெயர் தகுதி அச்சிட வேண்டாம். உதாரணமாக, இந்த கொடியை நீங்கள் கொடுத்தால் டீசீபிடம்பிற்கு "nic.ddn.mil" க்கு பதிலாக "nic" ஐ அச்சிடுவீர்கள்.
  • -O: பாக்கெட்-பொருந்தும் குறியீட்டு ஒருங்கிணைப்பாளரை இயக்க வேண்டாம். Optimizer இல் ஒரு பிழை இருப்பதை நீங்கள் சந்தேகித்தால் மட்டுமே இது பயனுள்ளதாக இருக்கும்.
  • -p: வேண்டாம் இடைமுகத்தை சீரான முறையில் மாற்றவும். வேறு சில காரணங்களுக்காக இடைமுகமானது வேகமான முறையில் இருக்கலாம் என்பதை நினைவில் கொள்ளவும்; எனவே, '-p' என்பது ஈத்தர் புரவலன் {local-hw-addr} அல்லது ஈத்தர் ஒளிபரப்புக்கான சுருக்கமாக பயன்படுத்தப்பட முடியாது.
  • -q: விரைவு (அமைதியான) வெளியீடு. குறைவான நெறிமுறை தகவலை அச்சிடுதல் வரிகளை குறைவாக இருக்கும்.
  • -R: ESP / AH பாக்கெட்டுகளை பழைய விவரக்குறிப்பு அடிப்படையில் பெற வேண்டும்: RFC1825 க்கு RFC1829. குறிப்பிட்டால், டீசீபிடம்பிற்கு மறுபடியும் தடுப்பு புலம் அச்சிட முடியாது. ESP / AH விவரக்குறிப்பில் நெறிமுறை பதிப்பு புலம் இல்லை என்பதால், டீசீபிடம்பிற்கு ESP / AH நெறிமுறையின் பதிப்பைத் தர முடியாது.
  • -r: பாக்கெட்டுகள் படிக்கவும் கோப்பு (இது -w விருப்பத்துடன் உருவாக்கப்பட்டது). நிலையான உள்ளீடு பயன்படுத்தப்படுகிறது கோப்பு இருக்கிறது "-''.
  • -S: முழுமையான, ஒப்பீட்டளவில், TCP வரிசை எண்களைக் காட்டிலும் முழுமையான அச்சு.
  • -s: Snarf snaplen ஒவ்வொரு பாக்கெட்டிலிருந்து தரவுகளின் பைட்டுகள் 68 இன் இயல்புநிலைக்கு மாறாக உள்ளன; SunOS இன் NIT உடன் குறைந்தபட்சம் 96 ஆகும். ஐபி, ஐசிஎம்பி, TCP மற்றும் UDP க்கு அறுதியிட்ட எட்டு பைட்டுகள் போதுமானதாக இருக்கின்றன, ஆனால் பெயர் சேவையகம் மற்றும் NFS பாக்கெட்டுகளிலிருந்து நெறிமுறை தகவலை (கீழே காண்க) துண்டிக்கக்கூடும். ஒரு குறிப்பிட்ட ஸ்னாப்ஷாட்டின் காரணமாக பாக்கெட்டுகள் சுருக்கப்பட்டன, வெளியீட்டில் "| புரோட்டோ '', எங்கே புரோட்டோ துண்டிக்கப்பட்டிருக்கும் நெறிமுறை மட்டத்தின் பெயர். பெரிய ஸ்னாப்ஷாட்களை எடுத்துக்கொள்வது பாக்கெட்டுகளைச் செயல்படுத்த எடுக்கும் நேரத்தை அதிகரிக்கிறது மற்றும் திறம்பட, பாக்கெட் பற்றாக்குறையின் அளவு குறைகிறது என்பதை நினைவில் கொள்க. இது பாக்கெட்டுகளை இழக்க நேரிடும். நீங்கள் குறைக்க வேண்டும் snaplen நீங்கள் ஆர்வமாக உள்ள நெறிமுறை தகவலை கைப்பற்றும் மிகச் சிறிய எண்ணிக்கையில். அமைத்தல் snaplen மொத்த பாக்கெட்டுகளை பிடிக்க தேவையான நீளத்தைப் பயன்படுத்து 0 என்பது.
  • -T: படை பாக்கெட்டுகள் " வெளிப்பாடு "குறிப்பிடப்பட்ட விளக்கம் வகை . தற்போது அறியப்பட்ட வகைகள் உள்ளனcnfp (சிஸ்கோ நெட்ஃப்லொ நெறிமுறை),RPC (தொலை செயல்முறை அழைப்பு),RTP (நிகழ்நேர பயன்பாடுகள் நெறிமுறை),RTCP (நிகழ்நேர பயன்பாடுகள் கட்டுப்பாடு நெறிமுறை),SNMP (எளிய பிணைய மேலாண்மை நெறிமுறை),குழாயில் (விஷுவல் ஆடியோ கருவி), மற்றும்WB (வெள்ளை வாரியம் விநியோகிக்கப்பட்டது).
  • -t: வேண்டாம் ஒவ்வொரு டம்ப் வரியில் ஒரு நேர முத்திரையை அச்சிட.
  • -tt: ஒவ்வொரு டம்ப் வரிசையிலும் ஒரு வடிவமைக்கப்படாத நேர முத்திரை அச்சிட.
  • -U: ரூட் சலுகைகள் மற்றும் பயனர் ஐடி மாற்றங்களை சொட்டு பயனர் மற்றும் குழு ஐடி முதன்மை குழு பயனர் .
  • குறிப்புவேறு எதுவும் குறிப்பிடப்படவில்லை என்றால் Red Hat லினக்ஸ் தானாகவே பயனர் "pcap" க்கான சலுகைகளை குறைக்கிறது.
  • -ttt: ஒவ்வொரு கழிப்பறை வரி தற்போதைய மற்றும் முந்தைய வரி இடையே ஒரு டெல்டா (மைக்ரோ செகண்ட்ஸ்) அச்சிட.
  • -tttt: ஒவ்வொரு டம்ப் வரிசையிலும் தேதியிட்ட தேதி முன்னிருப்பு வடிவமைப்பில் ஒரு நேர முத்திரை அச்சிட.
  • -u: Undecoded NFS கைப்பிடிகள் அச்சிடு.
  • -v: (சற்றே அதிகமான) வினைச்சொல் வெளியீடு. எடுத்துக்காட்டாக, வாழ நேர, அடையாளம் காணல், மொத்த நீளம், மற்றும் ஐபி பாக்கெட்டில் உள்ள விருப்பங்கள் அச்சிடப்படுகின்றன. ஐபி மற்றும் ICMP தலைப்பு சரிபார்ப்புகளை சரிபார்க்கும் கூடுதல் பாக்கெட் ஒருங்கிணைந்த காசோலைகளை செயல்படுத்துகிறது.
  • -வி வி: இன்னும் விர்பாஸ் வெளியீடு. எடுத்துக்காட்டாக, கூடுதல் புலங்கள் NFS பதில் தொகுப்புகளிலிருந்து அச்சிடப்படுகின்றன, SMB பாக்கெட்டுகள் முழுமையாக நீக்கப்படும்.
  • -vvv: இன்னும் விர்பாஸ் வெளியீடு. உதாரணமாக, டெல்நெட்எஸ்.பி.அர்ஜென்டினா விருப்பங்கள் முழுமையாக அச்சிடப்படுகின்றன. உடன் -எக்ஸ் டெல்நெட் விருப்பங்கள் ஹெக்சிலும் அச்சிடப்படுகின்றன.
  • -w: மூல பாக்கெட்டுகளை எழுதவும் கோப்பு அவற்றை பாகுபடுத்தி, அவற்றை அச்சிடுவதை விடவும். அவர்கள் பின்னர் -r விருப்பத்துடன் அச்சிடப்படலாம். நிலையான வெளியீடு பயன்படுத்தப்படுகிறது கோப்பு இருக்கிறது "-''.
  • -எக்ஸ்: ஒவ்வொரு பாக்கெட்டுக்கும் (அதன் இணைப்பு நிலை தலைப்புக்கு கழித்தல்) ஹெக்சில் அச்சிடுக. முழு பாக்கெட் அல்லது சிறியது snaplen பைட்டுகள் அச்சிடப்படும். இது முழு இணைப்பு லேயர் பாக்கெட் என்பதையும் கவனியுங்கள், அதனால் இணைப்பு அடுக்குகள் (எ.கா., ஈத்தர்நெட்), உயர் லேயர் பாக்கெட் தேவையான திணிப்புக்கு குறைவாக இருக்கும் போது திணிப்பு பைட்டுகள் அச்சிடப்படும்.
  • -எக்ஸ்: ஹெக்ஸ் அச்சிடும் போது, ​​கூட ascii அச்சு. இவ்வாறு இருந்தால்-எக்ஸ் அமைக்கப்பட்டுள்ளது, பாக்கெட் ஹெக்ஸ் / அசோகியில் அச்சிடப்படுகிறது. புதிய நெறிமுறைகளை பகுப்பாய்வு செய்ய இது மிகவும் எளிது. இருந்தபோதிலும்-எக்ஸ் கூட அமைக்கப்படவில்லை, சில பாக்கெட்டுகளின் சில பகுதிகளை ஹெக்ஸ் / அசோகியில் அச்சிடலாம்.
  • வெளிப்பாடு : பாக்கெட்டுகள் எரிக்கப்படுவதைத் தேர்ந்தெடுக்கிறது. இல்லையென்றால் வெளிப்பாடு கொடுக்கப்பட்டால், நிகர அனைத்து பாக்கெட்டுகள் டம்ப் செய்யப்படும். இல்லையெனில், இது மட்டுமே பாக்கெட்டுகள் வெளிப்பாடு 'உண்மை' திணிக்கப்படும். தி வெளிப்பாடு ஒன்று அல்லது அதற்கு மேற்பட்டது மூலங்கள். பிரமிடுகள் பொதுவாக ஒரு கொண்டிருக்கின்றன ஐடி (பெயர் அல்லது எண்) ஒன்று அல்லது அதற்கு மேற்பட்ட தகுதிகள் முன். மூன்று வேறுபட்ட தகுதிகள் உள்ளன:
  • வகை : தகுதிகள் ஐடி பெயர் அல்லது எண் குறிப்பிடும் விஷயம் என்னவென்றால். சாத்தியமான வகைகள்தொகுப்பாளர், நிகர, மற்றும்துறைமுகஎடுத்துக்காட்டாக, 'ஹோஸ்ட் ஃபூ', 'நிகர 128.3', 'போர்ட் 20'. எந்த வகை தகுதியும் இல்லை என்றால்,தொகுப்பாளர் கருதப்படுகிறது.
  • இய : தகுதிகள் ஒரு குறிப்பிட்ட பரிமாற்ற திசையை மற்றும் / அல்லது இருந்து குறிப்பிட வேண்டும் ஐடி . சாத்தியமான திசைகள்மூல, DST, src அல்லது dst மற்றும்src மற்றும் DST (எ.கா., 'src foo', 'dst net 128.3', 'src அல்லது dst port ftp-data'). எந்தவொரு தகுதியும் இல்லை என்றால்,src அல்லது dst கருதப்படுகிறது. 'பூஜ்ய' இணைப்பு அடுக்குகளுக்கு (அதாவது, ஸ்லிப் போன்ற புள்ளி-க்குப் புள்ளி நெறிமுறைகள்) பிணைப்பிலுள்ள மற்றும் வெளியில் செல்லும் தகுதியான திசையை குறிப்பிடுவதற்கு தகுதிபெற முடியும்.
  • புரோட்டோ : போட்டியாளர்கள் குறிப்பிட்ட நெறிமுறைக்கு போட்டியை கட்டுப்படுத்துகின்றனர். சாத்தியமான புரோட்டோக்கள்: ஆகாசம், FDDI, tr, ஐபி, ip6, Arp, rarp, DECnet, டிசிபி, மற்றும்UDPஉதாரணமாக, 'ஈதர் src foo', 'arp net 128.3', 'tcp port 21'. எந்த முன்மாதிரி தகுதியும் இல்லை என்றால், வகையுடன் பொருந்தும் எல்லா நெறிமுறைகளும் ஏற்றுக்கொள்ளப்படுகின்றன. உதாரணமாக, 'src foo' என்றால் 'ip அல்லது arp அல்லது rarp src foo' (பிந்தையது சட்ட வாக்கியம் அல்ல), 'net bar' என்றால் 'ip அல்லது arp அல்லது rarp net net' மற்றும் 'port 53' பொருள் '(tcp அல்லது udp) துறைமுகம் 53'.
    • 'fddi' உண்மையில் 'ஈத்தர்' க்கான ஒரு மாற்று ஆகும்; "குறிப்பிட்ட நெட்வொர்க் இடைமுகத்தில் பயன்படுத்தப்படும் தரவு இணைப்பு நிலை" எனும் அர்த்தம் என பாகுபடுத்திப் பயன்படுத்துகிறது. FDDI தலைப்புகள் ஈதர்நெட் போன்ற மூல மற்றும் இலக்கு முகவரிகளை கொண்டிருக்கின்றன, மேலும் பெரும்பாலும் ஈத்தர்நெட் போன்ற பாக்கெட் வகைகளைக் கொண்டிருக்கின்றன, எனவே நீங்கள் இந்த FDDI புலங்களில் வடிகட்டலாம் இதேபோல் ஈத்தர்நெட் துறைகள் போலவே FDDI தலைப்புகள் மற்ற துறைகளையும் கொண்டிருக்கின்றன, ஆனால் அவற்றை வடிப்பான் வெளிப்பாட்டில் வெளிப்படையாக நீங்கள் பெயரிட முடியாது.
    • இதேபோல், 'ஆல்' என்பது 'ஈத்தர்' க்கு ஒரு மாற்று ஆகும்; FDDI தலைப்புகள் பற்றிய முந்தைய பத்தியின் அறிக்கைகள் டோக்கென் ரிங் தலைப்புகளுக்கு பொருந்தும்.

மேலே கூடுதலாக, மாதிரி பின்பற்ற வேண்டாம் என்று சில சிறப்பு "பழமையான" முக்கிய வார்த்தைகள் உள்ளன:நுழைவாயில், ஒளிபரப்பு, குறைவான, அதிக, மற்றும் கணித வெளிப்பாடுகள். இவை அனைத்தும் கீழே விவரிக்கப்பட்டுள்ளன.

மிகவும் சிக்கலான வடிகட்டி வெளிப்பாடுகள் சொற்களைப் பயன்படுத்தி உருவாக்கப்படுகின்றனமற்றும், அல்லது, மற்றும்இல்லை உதாரணமாக, "ஹோஸ்ட் ஃபூ மற்றும் துறைமுக ftp மற்றும் not port ftp-data" இணைக்க. தட்டச்சுகளை சேமிக்க, ஒரே மாதிரியான தகுதி பட்டியல்கள் நீக்கப்படலாம் (எ.கா., "tcp dst போர்ட் ftp அல்லது ftp-data அல்லது டொமைன்" என்பது "tcp dst port ftp அல்லது tcp dst port ftp-data அல்லது tcp dst port கள"

இவை tcpdump கட்டளையுடன் அனுமதிக்கப்பட்ட primitives ஆகும்:

  • dst host தொகுப்பாளர்
    • பாக்கெட் இன் IPv4 / v6 இலக்கு புலம் என்றால் உண்மை தொகுப்பாளர் , இது ஒரு முகவரி அல்லது ஒரு பெயர்.
  • src புரவலன் தொகுப்பாளர்
    • பாக்கெட்டின் IPv4 / V6 ஆதார புலம் என்றால் உண்மை தொகுப்பாளர் .
  • தொகுப்பாளர் தொகுப்பாளர்
    • IPv4 / V6 ஆதாரம் அல்லது பாக்கெட்டின் இலக்கு என்றால் உண்மை தொகுப்பாளர் . மேலே உள்ள ஹோஸ்ட் வெளிப்பாடுகள் எந்தவொரு முக்கிய வார்த்தைகளுடனும் முன்வைக்கப்படலாம்,ஐபி, Arp, rarp, அல்லதுip6, உள்ளே ip புரவலன் தொகுப்பாளர் (இது சமமானதாகும் ஈத்தர் புரோட்டோ ஐபி மற்றும் புரவலன் தொகுப்பாளர்).
    • என்றால் தொகுப்பாளர் பல ஐபி முகவரிகள் கொண்ட ஒரு பெயர், ஒவ்வொரு முகவரியும் ஒரு போட்டிக்காக சோதிக்கப்படும்.
  • ஈத்தர் டிஎஸ்டி ehost
    • ஈத்தர்நெட் இலக்கு முகவரி என்றால் உண்மை ehost . Ehost / etc / ethers அல்லது ஒரு எண் இருந்து ஒரு பெயர் இருக்கலாம் (பார்க்க ஈதர்கள் (3N) எண் வடிவத்திற்கு).
  • ஈதர் src ehost
    • ஈத்தர்நெட் மூல முகவரி என்றால் உண்மை ehost .
  • ஈத்தர் ஹோஸ்ட் ehost
    • ஈத்தர்நெட் மூல அல்லது இலக்கு முகவரி ஒன்று இருந்தால் உண்மை ehost .
  • நுழைவாயில் தொகுப்பாளர்
    • பாக்கெட் பயன்படுத்தப்படும் என்றால் உண்மை தொகுப்பாளர் ஒரு நுழைவாயில் (அதாவது, ஈத்தர்நெட் மூல அல்லது இலக்கு முகவரி தொகுப்பாளர் ஆனால் ஐபி ஆதாரம் அல்லது IP இலக்கு எதுவும் இல்லை தொகுப்பாளர் ).
    • தொகுப்பாளர் ஒரு பெயராக இருக்க வேண்டும் மற்றும் கணினியின் புரவலன்-பெயர்-க்கு-ஐபி-முகவரி தீர்மான வழிமுறைகள் (புரவலன் பெயர் கோப்பை, DNS, NIS, முதலியன) மற்றும் இயந்திரத்தின் ஹோஸ்ட்-பெயர்-ஈ-ஈடர்நெட்-முகவரி தீர்வுமுறை (/ etc / ethers, முதலியன).
    • ஒரு சமமான வெளிப்பாடு ஈத்தர் ஹோஸ்ட் ehost இப்போது புரவலன் தொகுப்பாளர் , இது பெயர்கள் அல்லது எண்களைப் பயன்படுத்தலாம் புரவலன் / ஈ .) இந்த இலக்கணத்தில் இந்த நேரத்தில் IPv6 செயல்படுத்தப்பட்ட உள்ளமைவில் வேலை செய்யாது.
  • dst net நிகர
    • பாக்கட்டின் IPv4 / V6 இலக்கு முகவரியின் பிணைய எண் இருந்தால் உண்மை நிகர . நிகர / etc / networks அல்லது ஒரு பிணைய எண் (name நெட்வொர்க்குகள் (4) விவரங்களுக்கு).
  • src net நிகர
    • பாக்கட்டின் IPv4 / V6 மூல முகவரி பிணைய எண் இருந்தால் உண்மை நிகர .
  • நிகர நிகர
    • பாக்கட்டின் IPv4 / V6 மூல அல்லது இலக்கு முகவரி ஒன்று பிணைய எண் இருந்தால் உண்மை நிகர .
  • நிகர நிகர மாஸ்க் முன்பொருத்தம்
    • IP முகவரி பொருந்தும் என்றால் உண்மை நிகர குறிப்பிட்ட உடன் முன்பொருத்தம் . தகுதிபெறலாம்மூல அல்லதுDST. இந்த தொடரியல் IPv6 க்கு செல்லுபடியாகாது என்பதை நினைவில் கொள்க நிகர .
  • நிகர நிகர / லென்
    • IPv4 / v6 முகவரி பொருந்தும் என்றால் உண்மை நிகர ஒரு நெட்மாஸ்க் உடன் லென் பிட்கள் பரந்த. தகுதிபெறலாம்மூல அல்லதுDST.
  • dst துறைமுகம் துறைமுக
    • பாக்கெட் ip / tcp, ip / udp, ip6 / tcp, அல்லது ip6 / udp, மற்றும் இலக்கு துறைமுக மதிப்பு துறைமுக . தி துறைமுக / etc / services இல் பயன்படுத்தப்படும் எண் அல்லது ஒரு பெயராக இருக்கலாம் (பார்க்கவும் டிசிபி (4P) மற்றும் UDP (4P)). ஒரு பெயர் பயன்படுத்தப்பட்டால், போர்ட் எண் மற்றும் நெறிமுறை இரண்டும் சோதிக்கப்படும். எண் அல்லது தெளிவற்ற பெயரைப் பயன்படுத்தினால், போர்ட் எண் மட்டுமே சோதிக்கப்படும் (எ.கா.,dst port 513 tcp / உள்நுழைவு போக்குவரத்து மற்றும் udp / யார் போக்குவரத்து, மற்றும் இரண்டு அச்சிடும்போர்ட் டொமைன் tcp / domain மற்றும் udp / domain போக்குவரத்து இரண்டும் அச்சிடும்).
  • src துறைமுகம் துறைமுக
    • பாக்கெட் ஒரு மூல துறைமுக மதிப்பு இருந்தால் உண்மை துறைமுக .
  • துறைமுக துறைமுக
    • பாக்கட்டின் மூல அல்லது இலக்கு துறை ஒன்று இருந்தால் உண்மை துறைமுக . மேற்கூறிய துறைமுக வெளிப்பாடுகள் எந்தவொரு முக்கிய வார்த்தைகளாலும் முன்வைக்கப்படலாம்,டிசிபி அல்லதுUDP, உள்ளே tcp src துறைமுகம் துறைமுக , இது மூலக் துறைமுகமான Tcp packets உடன் மட்டுமே பொருந்துகிறது துறைமுக .
  • குறைவான நீளம்
    • பாக்கெட் ஒரு நீளம் குறைவாக அல்லது சமமாக இருந்தால் உண்மை நீளம் . இது சமமானதாகும் லென் <= நீளம் .
  • அதிக நீளம்
    • பாக்கெட் ஒரு நீளத்தை விட அதிகமாக அல்லது சமமாக இருந்தால் உண்மை நீளம் . இது சமமானதாகும் len> = நீளம் .
  • ip proto நெறிமுறை
    • பாக்கெட் ஒரு IP பாக்கெட் என்றால் உண்மை (பார்க்க ஐபி (4P)) நெறிமுறை வகை நெறிமுறை . நெறிமுறை பெயர்களில் ஒன்று அல்லது ஒன்று இருக்கலாம் ICMP , icmp6 , IGMP , IGRP , PIM , ஹா , குறிப்பாக , vrrp , UDP , அல்லது டிசிபி . அடையாளங்காட்டிகள் டிசிபி , UDP , மற்றும் ICMP முக்கிய வார்த்தைகள் மற்றும் சி-ஷெல் உள்ள இது backslash (), வழியாக தப்பி வேண்டும். இந்த பழமையான நெறிமுறை தலைப்பு சங்கிலியை துரத்துவதில்லை என்பதை நினைவில் கொள்க.
  • ip6 proto நெறிமுறை
    • பாக்கெட் நெறிமுறை வகையின் IPv6 பாக்கெட் என்றால் உண்மை நெறிமுறை . இந்த பழமையான நெறிமுறை தலைப்பு சங்கிலியை துரத்துவதில்லை என்பதை நினைவில் கொள்க.
  • ip6 protochain நெறிமுறை
    • பாக்கெட் IPv6 பாக்கெட் என்றால் உண்மை, வகை மற்றும் புரோட்டோகால் தலைப்பு உள்ளது நெறிமுறை அதன் நெறிமுறை தலைப்பு சங்கிலியில். உதாரணத்திற்கு, ipv6 protochain 6 நெறிமுறை தலைப்பு சங்கிலியில் TCP நெறிமுறை தலைப்புடன் எந்த IPv6 பாக்கெட்டுடன் பொருந்துகிறது. பாக்கெட், எடுத்துக்காட்டாக, அங்கீகார தலைப்பு, ரூட்டிங் தலைப்பு, அல்லது ஹாப்- by- ஹாப் விருப்பத்தை தலைப்பு, IPv6 தலைப்பு மற்றும் TCP தலைப்பு இடையே இருக்கலாம். இந்த பழங்காலத்தினால் வெளியிடப்படும் BPF குறியீடு சிக்கலானது மற்றும் BPF இன் Optimizer குறியீட்டில் உகந்ததாக இருக்காது டீசீபிடம்பிற்கு எனவே இது சற்றே மெதுவாக இருக்கலாம்.
  • ஐ.பி. புரோட்டான் நெறிமுறை
    • நிகரானip6 protochain நெறிமுறை , ஆனால் இது IPv4 க்காக உள்ளது.
  • ஈத்தர் ஒளிபரப்பு
    • பாக்கெட் ஒரு ஈத்தர்நெட் ஒளிபரப்பு பாக்கெட் என்றால் உண்மை. தி ஆகாசம் முக்கிய விருப்பமானது.
  • ஐபி ஒளிபரப்பு
    • பாக்கெட் ஒரு ஐபி ஒளிபரப்பு பாக்கெட் என்றால் உண்மை. இது அனைத்து சுழற்சிகளையும் மற்றும் அனைத்து ஒளிபரப்பு மாநாடுகளையும் சரிபார்க்கிறது, மேலும் உள்ளூர் சப்நெட் முகமூடியைப் பார்க்கிறது.
  • ஈத்தர் மல்டிக்ட்
    • பாக்கெட் ஒரு ஈத்தர்நெட் மல்டிகிக் பாக்கெட் என்றால் உண்மை. தி ஆகாசம் முக்கிய விருப்பமானது. இது 'ஈத்தர் 0 & 1! = 0'.
  • IP மல்டிக்ட்
    • பாக்கெட் என்பது ஒரு IP பல்ப் பாக்கெட் என்றால் உண்மை.
  • ip6 மல்டிக்ட்
    • பாக்கெட் ஒரு IPv6 மல்டிகாஸ்ட் பாக்கெட் என்றால் உண்மை.
  • ஈத்தர் புரோட்டோ நெறிமுறை
    • பாக்கெட் ஏதர் வகை என்றால் உண்மை நெறிமுறை . நெறிமுறை பெயர்களில் ஒன்று அல்லது ஒன்று இருக்கலாம் ஐபி , ip6 , Arp , rarp , ஒரு பேச்சு , AARP , DECnet , SCA , லத்தீன் , mopdl , moprc , ஐசோ , STP , IPX , அல்லது NetBEUI . இந்த அடையாளங்காட்டிகளும் குறிச்சொற்கள் மற்றும் பின்சாய்வு () வழியாக தப்பித்துக்கொள்ள வேண்டும் என்பதை நினைவில் கொள்க.
    • FDDI (எ.கா., 'fddi நெறிமுறை arp') மற்றும் டோக்கன் ரிங் (எ.கா.,'TR நெறிமுறை arp'), அந்த நெறிமுறைகளின் பெரும்பகுதிக்கு, நெறிமுறை அடையாளம் 802.2 தருக்க இணைப்பு கட்டுப்பாடு (எல்எல்சி) தலைப்பில் இருந்து வருகிறது, இது வழக்கமாக FDDI அல்லது டோக்கன் ரிங் தலைப்புக்கு மேல் அடுக்குகிறது.
    • FDDI அல்லது டோக்கன் ரிங் மீது பெரும்பாலான நெறிமுறை அடையாளங்களுக்கான வடிகட்டி போது, டீசீபிடம்பிற்கு SNAP வடிவமைப்பில் ஒரு எல்.எல்.டி. தலைவரின் நெறிமுறை ஐடி களம் மட்டும் 0x000000 இன் ஒருங்கிணைந்த யூனிட் அடையாளங்காட்டி (OUI), ஈதர்நெட் ஈத்தர்நெட் க்கு சரிபார்க்கிறது; அது பாக்கெட் 0x000000 ஒரு OUI உடன் SNAP வடிவமைப்பில் உள்ளதா எனச் சரிபார்க்கவில்லை.
    • விதிவிலக்குகள் ஐசோ , இது எல்.எல்.டி. தலைப்பின் DSAP (இலக்கு சேவை அணுகல் புள்ளி) மற்றும் SSAP (ஆதார சேவை அணுகல் புள்ளி) துறைகளை சரிபார்க்கிறது, STP மற்றும் NetBEUI , இது எல்.எல்.சி. தலைப்பின் DSAP ஐ சரிபார்க்கிறது ஒரு பேச்சு , இது 0x080007 மற்றும் Appletalk எடிபாயின் ஒரு OUI உடன் SNAP- வடிவமைப்பு பாக்கெட்டுக்காக சோதிக்கிறது.
    • ஈத்தர்நெட் வழக்கில், டீசீபிடம்பிற்கு அந்த நெறிமுறைகளின் பெரும்பகுதிக்கு ஈத்தர்நெட் வகை புலத்தை சரிபார்க்கிறது; விதிவிலக்குகள் ஐசோ , சத்துதான் , மற்றும் NetBEUI , இது ஒரு 802.3 சட்டத்திற்கான சரிபார்க்கிறது மற்றும் எல்.டீ.டி.டி. மற்றும் டோக்கன் ரிங் போன்ற எல்.எல்.டி. ஒரு பேச்சு , இது ஈத்தர்நெட் சட்டத்தில் Appletalk etype மற்றும் FDDI மற்றும் டோக்கன் ரிங் போன்ற ஒரு SNAP- வடிவமைப்பு பாக்கெட்டிற்காக இருவரும் சரிபார்க்கிறது; AARP , இது ஒரு ஏதர்நெட் ஃப்ரேம் அல்லது 0x000000 ஒரு OUI உடன் ஒரு 802.2 SNAP சட்டத்தில் Appletalk ARP எடிட்டரை சோதிக்கிறது; மற்றும் IPX , இது ஒரு ஈத்தர்நெட் சட்டகத்தில் ஐபிஎக்ஸ் எடைப் பிரிவுக்கு சரிபார்க்கிறது, எல்.எல்.சீட்டரில் IPX DSAP, 802.3 எல்.எல்.எல் தலைசிற்பான ஐபிஎக்ஸின் குறியாக்கம் மற்றும் ஒரு எஸ்என்ஏபி சட்டகத்தில் ஐபிஎக்ஸ் எடைப் பிரிவைக் க

ஆசிரியர் தேர்வு