Tcpdump - লিনাক্স কমান্ড - ইউনিক্স কমান্ড

NAME এর

tcpdump - একটি নেটওয়ার্কের উপর ট্রাফিক ডাম্প

সংক্ষিপ্তসার

tcpdump [ -adeflnNOpqRStuvxX ] [ -c গণনা ]

[ -সি ফাইল_সিইজ ] [ -ফ ফাইল ]

[ -i ইন্টারফেস ] [ -এম মডিউল ] [ -আর ফাইল ]

[ -s snaplen ] [ -T টাইপ ] [ -উ ব্যবহারকারী ] [ -w ফাইল ]

[ -E আলগো: গোপন ] [ অভিব্যক্তি ]

বর্ণনা

Tcpdump বুলেট এক্সপ্রেশনের সাথে মিলিত নেটওয়ার্কের ইন্টারফেসে প্যাকেটগুলির হেডারগুলি প্রিন্ট করে। এটি -w পতাকা দিয়েও চালানো যেতে পারে, যা পরবর্তীতে বিশ্লেষণের জন্য একটি ফাইলের প্যাকেট ডেটা সংরক্ষণ করে এবং / অথবা -r পতাকা দ্বারা এটি প্যাকগুলি পড়ার পরিবর্তে এটি সংরক্ষিত পকেট ফাইল থেকে পড়তে দেয়। একটি নেটওয়ার্ক ইন্টারফেস থেকে সব ক্ষেত্রে, শুধুমাত্র প্যাকগুলি যা প্রকাশের সাথে মিলিত হবে Tcpdump দ্বারা প্রক্রিয়া করা হবে।

Tcpdump , যদি -c ফ্ল্যাগের সাথে চালনা না করে, সেগুলিকে সিগিন্ট সংকেত দ্বারা বিরতি না দেওয়া পর্যন্ত আপনার প্যাকেটগুলি আটকানো চালিয়ে যেতে হবে (উদাহরণস্বরূপ, আপনার অন্তর্বর্তী অক্ষর টাইপ করে, সাধারণত নিয়ন্ত্রণ- C) বা SIGTERM সংকেত (1) কমান্ড); যদি -C ফ্ল্যাগের সাথে চালানো হয়, তবে এটি একটি SIGINT বা SIGTERM সংকেত বা নির্দিষ্ট প্যাকেটগুলি দ্বারা প্রসারিত করা না হওয়া পর্যন্ত প্যাকেটগুলিকে ক্যাপচার করবে।

যখন tcpdump ক্যাপচার প্যাকগুলি শেষ করে, তখন এর সংখ্যাগুলি প্রতিবেদন করবে:

প্যাকেটগুলি 'ফিল্টার দ্বারা প্রাপ্ত' (এটির অর্থটি OS উপর নির্ভর করে যা আপনি tcpdump চালাচ্ছেন, এবং সম্ভাব্যভাবে যেটি OS কনফিগার করা হয়েছে - যদি একটি কম্যান্ড লাইনের উপর একটি ফিল্টার নির্দিষ্ট করা হয়, তবে কিছু OS গুলি এটি গণনা করে প্যাকেটগুলি পরিশোধক অভিব্যক্তি দ্বারা মিলিত হয় কিনা তা বিবেচনা না করেই, এবং অন্য অপারেটিং সিস্টেমে এটি কেবল প্যাকেটগুলি গণনা করে যা ফিল্টার এক্সপ্রেশনের সাথে মিলে যায় এবং টিসিপিডিপ দ্বারা প্রক্রিয়া করা হয়);

প্যাকেটগুলি `কার্নেলের দ্বারা বাতিল '(OS এর মধ্যে প্যাকেট ক্যাপচার প্রক্রিয়া দ্বারা, যার ফলে tcpdump চলছে, যদি OS অ্যাপ্লিকেশনগুলিতে তথ্য সরবরাহ করে থাকে তবে এটির দ্বারা প্যাকেট ক্যাপচার করা হয়। যদি না হয়, এটি হিসাবে রিপোর্ট করা হবে 0)।

SIGINFO সিগন্যালকে সমর্থন করে এমন প্ল্যাটফর্মে, যেমন অধিকাংশ BSDs, এটি একটি SIGINFO সংকেত (যখন আপনার `` `স্থিতি 'অক্ষরটি টাইপ করে, সাধারণত- T- এ টাইপ করে) এবং এটি প্যাকেটগুলি ক্যাপচার করবে ।

একটি নেটওয়ার্ক ইন্টারফেস থেকে প্যাকেটগুলি পড়ার প্রয়োজন হতে পারে আপনার বিশেষ সুবিধা রয়েছে:

এনআইটি বা বি.পি.এফ. দিয়ে সানস 3.x বা 4.x এর অধীনে:

আপনি / dev / nit অথবা / dev / bpf * এ অ্যাক্সেস পড়া থাকতে হবে।

DLPI সহ সোলারিসের অধীনে:

আপনি নেটওয়ার্ক ছদ্ম ডিভাইসে পড়তে / লিখতে হবে, যেমন / dev / le সোলারিসের অন্তত কিছু সংস্করণগুলি, তবে, tcpdump মর্যাদার মোডে ক্যাপচার করার জন্য যথেষ্ট নয়; Solaris এর ঐ সংস্করণগুলির উপর, আপনি মূল হতে হবে, অথবা tcpdump root এ setuid ইনস্টল করা আবশ্যক, প্রবক্ত মোডে ক্যাপচার করার জন্য। লক্ষ্য করুন, অনেক (সম্ভবত সমস্ত) ইন্টারফেসে, যদি আপনি বহুবিধ মোডে ক্যাপচার না করেন, তবে আপনি কোনও বহির্গামী প্যাকেটগুলি দেখতে পাবেন না, তাই বড় হাতের অক্ষরে একটি ক্যাপচার করা নাও হতে পারে।

এইচপি-ইউএক্স এর অধীনে DLPI:

আপনার রুট হওয়া আবশ্যক বা tcpdump root- এ setuid ইনস্টল করা আবশ্যক।

আইআরআইক্সের অধীনে স্নাইপের মাধ্যমে:

আপনার রুট হওয়া আবশ্যক বা tcpdump root- এ setuid ইনস্টল করা আবশ্যক।

লিনাক্সের অধীনে:

আপনার রুট হওয়া আবশ্যক বা tcpdump root- এ setuid ইনস্টল করা আবশ্যক।

আলট্রিক্স এবং ডিজিটাল ইউনিক্স / ট্রু 64 ইউনিক্সের অধীনে:

কোন ব্যবহারকারী tcpdump সঙ্গে নেটওয়ার্ক ট্রাফিক ক্যাপচার করতে পারে। যাইহোক, কোনও ইউজার (সুপার-ইউজার নাও ) ইন্টারফেসে একাধিক মোডে ক্যাপচার করতে পারে না যতক্ষন না সুপার-ইউজার পফ কনফিগ (8) ব্যবহার করে যে ইন্টারফেসে মনিব -মোড অপারেশন সক্ষম করে, এবং কোনও ইউজার না (এমনকি সুপার- ইউজারও নয় ) একটি ইন্টারফেসে মেশিন দ্বারা প্রেরিত বা পাঠানো ইউনিচুট ট্র্যাফিকটি ক্যাপচার করতে পারে না যদি সুপার ইউজার দ্বারা যে ইন্টারফেসে pfconfig ব্যবহার করে অনুলিপি-সব-মোড অপারেশন সক্ষম করা হয়, তাই একটি ইন্টারফেসে কার্যকর প্যাকেট ক্যাপচার সম্ভবত এর জন্য প্রয়োজন হয় অনিয়মিত-মোড বা অনুলিপি - সব-মোড অপারেশন, বা অপারেশন উভয় মোড, যে ইন্টারফেস সক্রিয় করা।

বিএসডি অধীনে:

আপনি / dev / bpf * এ প্রবেশাধিকার পড়তে হবে।

একটি সংরক্ষিত প্যাকেট ফাইল পড়া বিশেষ বিশেষাধিকারের প্রয়োজন হয় না।

পছন্দসমূহ

-a

নেটওয়ার্ক এবং ব্রডকাস্ট অ্যাড্রেসকে নাম রূপান্তর করার চেষ্টা করুন।

-c

গণনা প্যাকেট প্রাপ্তির পরে প্রস্থান করুন।

-C

একটি savefile এ একটি কাঁচা প্যাকেট লেখার আগে, ফাইলটি বর্তমানে file_size এর চেয়ে বড় কিনা তা পরীক্ষা করুন এবং যদি তা হয় তবে বর্তমান Savefile বন্ধ করুন এবং একটি নতুন একটি খুলুন। প্রথম savefile এর পরে Savefiles- এর নাম উল্লিখিত -w ফ্ল্যাগের সাথে উল্লেখ করা হবে, এর পরে একটি সংখ্যা সহ, 2 এ শুরু এবং ঊর্ধ্বমুখী থাকবে। File_isize এর ইউনিটগুলি লক্ষ লক্ষ বাইট (1,000,000 বাইট, 1,048,576 বাইট নয়)।

-d

স্ট্যান্ডার্ড আউটপুট এবং স্টপ একটি মানব পাঠযোগ্য ফর্ম সংকলিত প্যাকেট-মিলিং কোড ডাম্প।

-dd

একটি সি প্রোগ্রাম টুকরা হিসাবে প্যাকেট-মেলা কোড ডাম্প।

-ddd

প্যাড-মেলিং কোডটি দশমিক সংখ্যা হিসাবে ডাম্প করুন (পূর্বে একটি গণনা সহ)।

-e

প্রতিটি ডাম্প লাইনের লিঙ্ক-স্তরের হেডার মুদ্রণ করুন।

-E

আলগো ব্যবহার করুন : ডিক্রিপ্টিংয়ের জন্য IPsec ESP প্যাকেটগুলি গোপন করুন। অ্যালগরিদমগুলি হতে পারে- cbc , 3des-cbc , blowfish-cbc , rc3-cbc , cast128-cbc , অথবা কেউ না । ডিফল্ট ডেস-সিবিসি প্যাকেটটি ডিক্রিপ্ট করার ক্ষমতা শুধুমাত্র উপস্থিত থাকলেই tcpdump ক্রিপ্টোগ্রাফি সক্ষম করে সংকলিত হয়েছে। ESP গোপন কী জন্য Ascii টেক্সট গোপন আমরা এই মুহূর্তে নির্বিচারে বাইনারি মান নিতে পারে না। বিকল্প RFC2406 ESP অনুমান, RFC 1827 ESP না। বিকল্প শুধুমাত্র ডিবাগ করার উদ্দেশ্যে, এবং সত্যিই 'গোপন' কী দিয়ে এই বিকল্প ব্যবহার নিরুৎসাহিত করা হয়। কমান্ড লাইনের উপর IPsec গোপন কী উপস্থাপন করে আপনি এটি অন্যদের কাছে দৃশ্যমান করে, পিএস (1) এবং অন্যান্য অনুষ্ঠানের মাধ্যমে।

-f

মুদ্রণ করুন 'বৈদেশিক' ইন্টারনেট সংখ্যা সাংখ্যিকভাবে নয় (এই বিকল্পটি সূর্যের yp সার্ভারে গুরুতর মস্তিষ্কের ক্ষতি ঘটাতে চাইছে --- সাধারণত এটি অ-স্থানীয় ইন্টারনেট সংখ্যা অনুবাদ করার জন্য চিরতরে হ্যাজ করে)।

-F

পরিশোধক অভিব্যক্তি জন্য ইনপুট হিসাবে ফাইল ব্যবহার করুন । কমান্ড লাইনের উপর দেওয়া একটি অতিরিক্ত অভিব্যক্তি উপেক্ষা করা হয়।

-i

ইন্টারফেস শুনুন অনির্দিষ্ট হলে, tcpdump সিস্টেম ইন্টারফেস তালিকাটি সর্বনিম্ন সংখ্যাযুক্ত, কনফিগার করা ইন্টারফেস (লুপব্যাক ছাড়া) অনুসন্ধান করে। প্রথম ম্যাচটি নির্বাচন করে টাইসস ভাঙা হয়।

2.2 বা পরবর্তী কার্নেলগুলির সাথে লিনাক্স সিস্টেমে, `কোনও 'এর একটি ইন্টারফেস আর্গুমেন্ট সমস্ত ইন্টারফেস থেকে প্যাকেট ক্যাপচার করতে ব্যবহার করা যেতে পারে। লক্ষ্য করুন যে `` কোনও '' ডিভাইসে ক্যাপচার করা বিবিধ শব্দে করা হবে না।

-l

স্টড আউট লাইন বানান এটি ক্যাপচার করার সময় আপনি যদি ডাটাটি দেখতে চান তবে এটি দরকারী। যেমন,
`` tcpdump -l | Tee dat '' বা `` tcpdump -l> dat & tail -f dat ''।

-m

ফাইল মডিউল থেকে SMI MIB মডিউল সংজ্ঞা লোড করুন এই অপশনটি অনেক বার ব্যবহার করতে পারে যাতে অনেক MIB মডিউলগুলি tcpdump তে লোড হয়।

-n

হোস্ট ঠিকানাগুলি নামগুলি রূপান্তর করবেন না। এই DNS সন্ধানগুলি এড়াতে ব্যবহার করা যেতে পারে।

-nn

নাম এবং প্রোটোকল এবং পোর্ট সংখ্যা ইত্যাদি রূপান্তর না।

-n

হোস্ট নামগুলির ডোমেন নাম যোগ্যতা মুদ্রণ করবেন না উদাহরণ, যদি আপনি এই পতাকাটি দেন তবে tcpdump `` nic.ddn.mil 'এর পরিবর্তে `` nic' 'মুদ্রণ করবে।

-O

প্যাকেট-মেলিং কোড অপটিমাইজার চালনা করবেন না। এটি কেবলমাত্র যদি আপনি অপ্টিমাইজারে একটি বাগ সন্দেহ করেন তবে এটি কার্যকর।

-p

ইন্টারফেসটি বিরামহীন মোডে না রাখুন। উল্লেখ্য যে ইন্টারফেস অন্য কোন কারণের জন্য বিরামহীন মোডে হতে পারে; অতএব, `-p '` এথার হোস্ট {স্থানীয়- hw-addr} বা অইটার ব্রডকাস্ট' এর সংক্ষেপে ব্যবহার করা যাবে না।

-q

দ্রুত (শান্ত?) আউটপুট কম প্রোটোকল তথ্য প্রিন্ট করুন তাই আউটপুট লাইনগুলি ছোট।

-R

পুরানো স্পেসিফিকেশন (RFC 1825 থেকে RFC 1829) উপর ভিত্তি করে ESP / AH প্যাকেটগুলি অনুমান করুন। নির্দিষ্ট হলে, tcpdump রিপ্লে প্রতিরোধের ক্ষেত্রটি মুদ্রণ করবে না। যেহেতু ESP / AH স্পেসিফিকেশনে কোনও প্রোটোকল সংস্করণ ক্ষেত্র নেই, tcpdump ESP / AH প্রোটোকলের সংস্করণকে ছাড় দিতে পারে না।

-r

ফাইল থেকে প্যাকেটগুলি পড়ুন (যা -w বিকল্প দিয়ে তৈরি করা হয়েছিল)। স্ট্যান্ডার্ড ইনপুট ব্যবহার করা হয় যদি ফাইল `` - '' হয়।

-S

স্বতন্ত্র মুদ্রণ করুন, আপেক্ষিকের পরিবর্তে, TCP ক্রম সংখ্যা

-s

Snarf 68 ডিফল্ট ডিফল্ট (বরং SunOS এর NIT, ন্যূনতম আসলে 96) সঙ্গে প্রতিটি প্যাকেট থেকে তথ্য স্ন্যাপ্লেন বাইট। 68 বাইট আইপি, ICMP, টিসিপি এবং ইউডিপি জন্য পর্যাপ্ত কিন্তু নাম সার্ভার এবং NFS প্যাকেটগুলি (নীচের দেখুন) থেকে প্রোটোকল তথ্য ছিন্ন করা হতে পারে। একটি সীমিত স্ন্যাপশটের কারণে পকেটগুলি ছাঁটাই করা হয়েছে যা `` [| প্রোটো ] '', যেখানে প্রোটো প্রোটোকল স্তরের নামটি হয় যেখানে কঙ্কালটি ঘটেছে। নোট করুন যে বড় স্ন্যাপশটগুলি গ্রহণ করে উভয় প্যাকেটগুলি প্রক্রিয়া করার জন্য সময় পরিমাণ বৃদ্ধি পায় এবং কার্যকরীভাবে, প্যাকেট বাফারের পরিমাণ হ্রাস করে। এটি প্যাকেটগুলি হারিয়ে যেতে পারে। আপনি স্ন্যাপ্লেনটি ছোট্ট সংখ্যায় সীমাবদ্ধ করতে পারেন যা আপনার আগ্রহের প্রোটোকল তথ্য ক্যাপচার করবে। স্ন্যাপ্লেন 0 সেট করার মানে পুরো প্যাকেটগুলি ধরা প্রয়োজন প্রয়োজনীয় দৈর্ঘ্য ব্যবহার করে।

-T

" এক্সপ্রেশন " দ্বারা নির্বাচিত ফোর্স প্যাকেট নির্দিষ্ট ধরনের ব্যাখ্যা করা বর্তমানে পরিচিত ধরনের সিএনএফপি (সিসকো নেটফ্লো প্রোটোকল), আরপিসি (রিমোট প্রসেসর কল), আরটিপি (রিয়েল-টাইম অ্যাপ্লিকেশন প্রোটোকল), আরটিসিপি (রিয়েল টাইম অ্যাপ্লিকেশন কন্ট্রোল প্রোটোকল), এসএনএমপি (সিম্পল নেটওয়ার্ক ম্যানেজমেন্ট প্রোটোকল), ভিট (ভিজুয়াল অডিও টুল) ), এবং wb (বিতরণ হোয়াইট বোর্ড)।

-t

প্রতিটি ডাম্প লাইনের উপর একটি টাইমস্ট্যাম্প মুদ্রণ করবেন না ।

-tt

প্রতিটি ডাম্প লাইনের একটি অননুমোদিত টাইমস্ট্যাম্প মুদ্রণ করুন।

-U

ব্যবহারকারীর প্রাথমিক গ্রুপ ব্যবহারকারী ব্যবহারকারী এবং গোষ্ঠী আইডি ব্যবহারকারীর আইডি থেকে রুট সুবিধাগুলি বাদ দেয় এবং পরিবর্তন করে।

বিঃদ্রঃ! Red Hat Linux স্বয়ংক্রিয়ভাবে ব্যবহারকারীর `` পিএপিপি '' -এর সুবিধাগুলি নষ্ট করে যদি অন্য কিছুই না থাকে

-ttt

প্রতিটি ডাম্প লাইনের বর্তমান এবং পূর্ববর্তী লাইনের মধ্যে একটি ডেল্টা (মাইক্রো-সেকেন্ডে) মুদ্রণ করুন।

-tttt

ডিফল্ট ফরম্যাটে প্রতিটি ডাম্প লাইনের তারিখ অনুসারে রক্ষিত একটি টাইমস্ট্যাম্প মুদ্রণ করুন।

-u

Undecoded NFS প্রিন্ট প্রিন্ট করুন

-v

(সামান্য আরো) verbose আউটপুট। উদাহরণস্বরূপ, বাস করার সময়, আইপি পকেটে সনাক্তকরণ, মোট দৈর্ঘ্য এবং বিকল্প মুদ্রিত হয়। এছাড়াও অতিরিক্ত প্যাক্ট অখণ্ডতা চেক যেমন আইপি এবং ICMP হেডার Checksum যাচাই হিসাবে

-vv

এমনকি আরো বেশি কার্যকরী আউটপুট। উদাহরণস্বরূপ, অতিরিক্ত ক্ষেত্র NFS উত্তর প্যাকেট থেকে মুদ্রিত হয়, এবং SMB প্যাকেট সম্পূর্ণরূপে decoded হয়।

-vvv -র ফলে অতিরিক্ত

এমনকি আরো বেশি কার্যকরী আউটপুট। উদাহরণস্বরূপ, টেলনেট SB ... SE বিকল্পগুলি পূর্ণভাবে মুদ্রিত হয়। সাথে- এক্স টেলনেট বিকল্পগুলি হেক্স এও ছাপা হয়।

-w

প্যারাসিং এবং মুদ্রণ করার পরিবর্তে ফাইলে ফাইলগুলি কাঁচা প্যাকেটগুলি লিখুন। পরে তারা -র বিকল্পটি দিয়ে মুদ্রিত হতে পারে। ফাইলটি `` - '' হলে স্ট্যান্ডার্ড আউটপুট ব্যবহার করা হয়।

-এক্স

হেক্স এ প্রতিটি প্যাকেটটি মুদ্রণ করুন (তার লিংক লেভেল হেডারটি বাদ দিন)। সম্পূর্ণ প্যাকেট বা স্ন্যাপ্লেন বাইট ছোট ছোট মুদ্রণ করা হবে। মনে রাখবেন যে এটি হল সম্পূর্ণ লিঙ্ক-লেয়ার প্যাকেট, তাই লিঙ্ক লেয়ারগুলির জন্য যে প্যাড (যেমন ইথারনেট), প্যাডিং বাইটও প্রিন্ট হবে যখন উচ্চতর স্তর প্যাকেটটি প্রয়োজনীয় প্যাডিংয়ের চেয়ে ছোট।

-এক্স

হেক্স মুদ্রণ করার সময়, ছাপানো অ্যাসসিও সুতরাং যদি -x ও সেট করা হয়, তাহলে প্যাকেটটি হেক্স / এসসিআই তে মুদ্রিত হয়। নতুন প্রোটোকল বিশ্লেষণের জন্য এটি খুব সহজ। এমনকি যদি -x ও সেট না করা হয়, তবে কিছু প্যাকেটগুলির কিছু অংশ হেক্স / এসসিআইতে মুদ্রিত হতে পারে।

অভিব্যক্তি

নির্বাচন করে কোন প্যাকগুলি ডাম্প করা হবে। যদি কোনও অভিব্যক্তি দেওয়া না হয় তবে নেটের সমস্ত প্যাকেটগুলি ডাম্প করা হবে। অন্যথায়, শুধুমাত্র প্যাকগুলি যার জন্য 'সত্য' শব্দটি ডাম্প করা হবে।

অভিব্যক্তি এক বা একাধিক primitives গঠিত । Primitives সাধারণত একটি আইডি (নাম বা নম্বর) এক বা একাধিক কুইলিফারার দ্বারা পূর্বে গঠিত। তিনটি ভিন্ন ধরনের কোয়ালিফাইং আছে:

আদর্শ

কোয়ালিফাইয়াররা কি ধরনের জিনিসটি আইডি নাম বা নম্বরকে বোঝায়? সম্ভাব্য ধরনের হোস্ট , নেট এবং পোর্ট হয় । উদাহরণ, 'হোস্ট ফু', 'নেট 128.3', 'পোর্ট ২0'। যদি কোনও ধরনের কোয়ালিফাইং না থাকে, হোস্টটি গ্রহন করা হয়।

Dir

যোগ্যতা একটি নির্দিষ্ট স্থানান্তর নির্দেশ করে এবং / অথবা আইডি থেকে। সম্ভাব্য দিকগুলি হল সূত্র , ডিস্ট , উৎস বা ডিএসটি এবং src এবং ডিএসটি । উদাহরণ, `src foo ',` dst নেট 128.3', `src বা dst পোর্ট ftp-data '। যদি কোন ডিআইএল কোয়ালিফাইং না থাকে, তবে উৎস বা ডি.এস.টি অনুমিত হয়। `নল 'লিংক স্তরগুলির জন্য (অর্থাৎ স্লিপের মতো বিন্দু প্রোটোকল নির্দেশ করে) ইনবাউন্ড এবং আউটবাউন্ড কুইকাইফায়ারগুলি একটি পছন্দসই দিক নির্দিষ্ট করার জন্য ব্যবহার করা যেতে পারে।

প্রোটো

কোয়ালিফাইয়ার একটি বিশেষ প্রোটোকল এ ম্যাচ সীমিত। সম্ভাব্য প্রোটো: ইথার , এফডিডিআই , ট্র্যাফ , আইপি , আইপি 6 , এআরপি , রারপ , ডিননেট , টিসিপি এবং ইউডপ । উদাহরণস্বরূপ, 'ether src foo', `arp net 128.3 ',` tcp port 21'। কোনও প্রোটো কোয়ালিফাইং না থাকলেও টাইপের সাথে সামঞ্জস্যপূর্ণ সমস্ত প্রোটোকলগুলি ধরে নেওয়া হয়। উদাহরণ, `src foo 'মানে` (আইপি বা অর্প বা রারপ) src foo' (পরেরটি ব্যতীত আইনগত সিনট্যাক্স নয়) `নেট বার 'অর্থ` (আইপি বা অর্প বা রায়ারপি) নেট বার' এবং 'পোর্ট 53' মানে `(টিসিপি বা udp) পোর্ট 53 '

[`fddi 'আসলে` ইথার' জন্য একটি উপনাম; পার্সার তাদের অভিন্নভাবে `` নির্দিষ্ট নেটওয়ার্ক ইন্টারফেসে ব্যবহৃত ডেটা লিংক লেভেল '' বলে মনে করে। '' এফডিডিআই হেডারগুলি ইথারনেট-মত উৎস এবং গন্তব্য ঠিকানাগুলি ধারণ করে এবং প্রায়ই ইথারনেট-মত প্যাকেট ধরনের থাকে, তাই আপনি এই FDDI ক্ষেত্রগুলি ফিল্টার করতে পারেন ঠিক যেমন অনুরূপ ইথারনেট ক্ষেত্রের সাথে। FDDI শিরোলেখগুলি অন্যান্য ক্ষেত্রগুলিও রয়েছে, কিন্তু আপনি একটি ফিল্টার এক্সপ্রেশনে স্পষ্টভাবে তাদের নাম দিতে পারেন না।

একইভাবে, 'ট্র' একটি 'এথের' জন্য উপনাম; পূর্ববর্তী অনুচ্ছেদ FDDI শিরোলেখ সম্পর্কে বিবৃতিগুলি টোকেন রিং শিরোনামগুলিতেও প্রযোজ্য।]

উপরে ছাড়াও, কিছু বিশেষ 'আদিম' কীওয়ার্ড রয়েছে যা প্যাটার্ন অনুসরণ করে না: গেটওয়ে , ব্রডকাস্ট , কম , বৃহত্তর এবং গাণিতিক এক্সপ্রেশন। এই সমস্ত নীচের বর্ণনা করা হয়।

আরও জটিল ফিল্টার এক্সপ্রেশনগুলি শব্দগুলি ব্যবহার করে তৈরি করা হয়েছে, এবং এবং প্রাচীনতমগুলি একত্রিত করা নয় । উদাহরণ, 'host foo এবং পোর্ট এফটিপি নয় এবং পোর্ট এফটিপি-ডেটা না' টাইপিং সংরক্ষণ করতে, একই ক্যুইটার তালিকা বাদ দেওয়া যেতে পারে। উদাহরণ, `tcp dst port ftp বা ftp- তথ্য বা ডোমেন '' tcp dst পোর্ট ftp বা tcp dst পোর্ট ftp- তথ্য বা tcp dst পোর্ট ডোমেন 'হিসাবে একই'।

অনুমোদিত primitives হয়:

ডিস্ট হোস্ট হোস্ট

সত্য যদি প্যাকেটটির IPv4 / v6 গন্তব্য ক্ষেত্রটি হোস্ট হয় , যা একটি ঠিকানা বা একটি নাম হতে পারে।

সূত্র হোস্ট হোস্ট

সত্য যদি প্যাকেটটির IPv4 / v6 উৎস ক্ষেত্র হোস্ট হয় ।

হোস্ট হোস্ট

সত্য যদি IPv4 / v6 উৎস বা প্যাকেটের গন্তব্য হোস্ট হয় । উপরোক্ত হোস্ট এক্সপ্রেশনগুলির কোনটি কীওয়ার্ড, আইপি , এআরপি , রারপ , বা আইপি 6 এর সাথে যুক্ত হতে পারে:

আইপি হোস্ট হোস্ট

যা সমতুল্য:

ইথার প্রোটো \ IP এবং হোস্ট হোস্ট

হোস্ট একাধিক IP ঠিকানাগুলির সাথে একটি নাম থাকলে, প্রতিটি ঠিকানা একটি ম্যাচ জন্য চেক করা হবে।

ইথার ডিস্ট এহস্ট

সত্য যদি ইথারনেট গন্তব্য ঠিকানা ehost হয় । Ehost / etc / ethers বা একটি নম্বর থেকে একটি নাম হতে পারে (সংখ্যাসূচক বিন্যাসের জন্য ethers (3N) দেখুন)।

ইথার সনক ehost

সত্য যদি ইথারনেট উৎস ঠিকানা ehost হয় ।

ইথার হোস্ট হোস্ট

সত্য যদি ইথারনেট উৎস বা গন্তব্য ঠিকানা ehost হয় ।

গেটওয়ে হোস্ট

প্যাকেটটি একটি গেটওয়ের হিসাবে হোস্ট হিসাবে ব্যবহৃত হলে এটি সত্য। ইইই, ইথারনেট সোর্স বা গন্তব্য ঠিকানা হোস্ট ছিল কিন্তু আইপি উৎস বা আইপি গন্তব্য ছিল না হোস্ট । হোস্ট একটি নাম হতে হবে এবং মেশিনের হোস্ট-নাম-টু-আইপি-অ্যাড্রেস রেজোলিউশন প্রক্রিয়া (হোস্ট নাম ফাইল, DNS, NIS, ইত্যাদি) এবং মেশিনের হোস্ট-নাম-টু-ইথারনেট-অ্যাড্রেস রেজোলিউশন প্রক্রিয়া (/ etc / ethers, ইত্যাদি)। (একটি সমতুল্য অভিব্যক্তি হল

ইস্ট হোস্ট হোস্ট এবং হোস্ট হোস্ট না

যা হোস্ট / এহস্টের জন্য নাম বা সংখ্যার সাথে ব্যবহার করা যেতে পারে।) এই সিনট্যাক্স এই মুহুর্তে IPv6- সক্ষম কনফিগারেশনে কাজ করে না।

ডিস্ট নেট নেট

সত্য যদি প্যাকেটটির IPv4 / v6 এর স্থিতি ঠিকানা নেট নেটওয়ার্কে থাকে। নেট / etc / নেটওয়ার্ক বা নেটওয়ার্ক নম্বর থেকে একটি নাম হতে পারে (বিস্তারিত জানার জন্য নেটওয়ার্ক (4) )।

সূত্র নেট নেট

সত্য যদি পকেটের IPv4 / v6 উৎস ঠিকানা নেটের একটি নেটওয়ার্ক সংখ্যা থাকে।

নেট নেট

সত্য যদি IPv4 / v6 উত্স অথবা প্যাকেটটির গন্তব্য ঠিকানাতে নেটওয়ার্কের একটি নেটওয়ার্ক সংখ্যা থাকে।

নেট নেট মাস্ক নেটমাস্ক

সত্য যদি আইপি অ্যাড্রেস নির্দিষ্ট নেটমাস্কের সাথে নেটের সাথে মেলে। Src বা dst সঙ্গে যোগ্যতাসম্পন্ন হতে পারে লক্ষ্য করুন যে এই সিনট্যাক্স IPv6 নেটের জন্য বৈধ নয়।

নেট নেট / লেন

সত্য যদি IPv4 / v6 ঠিকানা একটি নেটমাস্ক লেন বিট চওড়া সঙ্গে নেট মেলে। Src বা dst সঙ্গে যোগ্যতাসম্পন্ন হতে পারে

ডিস্ট পোর্ট পোর্ট

প্যাকেটটি ip / tcp, ip / udp, ip6 / tcp বা ip6 / udp এবং পোর্টের গন্তব্য পোর্ট মানটি সত্য কিনা। পোর্ট / etc / পরিষেবাদিতে ব্যবহৃত একটি সংখ্যা বা একটি নাম হতে পারে ( tcp (4P) এবং udp (4P) দেখুন)। নাম ব্যবহার করা হলে, পোর্ট নম্বর এবং প্রোটোকল উভয়ই চেক করা হয়। যদি কোন সংখ্যা বা অস্পষ্ট নাম ব্যবহার করা হয় তবে শুধুমাত্র পোর্ট নাম্বার চেক করা হয় (যেমন, ডিস্ট পোর্ট 513 টিসিপি / লগইন ট্র্যাফিক এবং উডপ / ট্র্যাফিক উভয়ই মুদ্রিত হবে, এবং পোর্ট ডোমেন টিসিপি / ডোমেন এবং udp / domain ট্র্যাফিক উভয় মুদ্রণ করবে)।

সনক পোর্ট পোর্ট

সত্য যদি পকেটের পোর্টের একটি সোর্স পোর্ট মান থাকে।

পোর্ট পোর্ট

সত্য যদি প্যাকেটটির উৎস বা গন্তব্য পোর্ট পোর্ট হয় উপরোক্ত পোর্ট এক্সপ্রেশনগুলির কোনও কীওয়ার্ড, টিসিপি বা udp এর সাথে যুক্ত হতে পারে, যেমন:

tcp src পোর্ট পোর্ট

যা কেবলমাত্র টিসিপি প্যাকেটগুলির সাথে মিলিত হয় যার উৎস পোর্ট পোর্ট

কম দৈর্ঘ্য

সত্য যদি প্যাকেটটির দৈর্ঘ্য কম বা তার সমান হয় এটি সমতুল্য:

লেন <= দৈর্ঘ্য

বৃহত্তর দৈর্ঘ্য

সত্য যদি প্যাকেটটির দৈর্ঘ্য বা দৈর্ঘ্যের সমান হয়। এটি সমতুল্য:

len> = দৈর্ঘ্য ।

আইপি প্রোটোকো প্রোটোকল

সত্য যদি প্যাকেটটি আইপি পকেট ( আইপি (4P) দেখুন) প্রোটোকল প্রকারের প্রোটোকল । প্রোটোকল একটি নম্বর বা icmp , icmp6 , igmp , igrp , পিম , আহ , esp , vrrp , udp , বা tcp নাম হতে পারে । উল্লেখ্য যে টিসিপি , udp , এবং icmp সনাক্তকারীরাই কীওয়ার্ড এবং ব্যাকস্ল্যাশ (\) দ্বারা অব্যাহতিপ্রাপ্ত হতে হবে, যা সি-শেলে \\ উল্লেখ্য যে এই আদিম প্রোটোকল হেডারের চেইনকে অনুসরণ করে না।

আইপি 6 প্রোটোকো প্রোটোকল

সত্য যদি প্যাকেট প্রোটোকল প্রোটোকলের একটি IPv6 প্যাকেট হয়। উল্লেখ্য যে এই আদিম প্রোটোকল হেডারের চেইনকে অনুসরণ করে না।

ip6 protochain প্রোটোকল

সত্য যদি প্যাকেট IPv6 প্যাকেট হয়, এবং প্রোটোকল শিরোনাম চেইন টাইপ প্রোটোকল সহ প্রোটোকল হেডার ধারণ করে। উদাহরণ স্বরূপ,

আইপি 6 প্রোটোকাঙ্ক 6

প্রোটোকল শিরোনাম চেনের মধ্যে TCP প্রোটোকল হেডারের সাথে কোন IPv6 প্যাকেট মেলে। প্যাকেটটিতে IPv6 হেডার এবং TCP হেডারের মধ্যে, উদাহরণস্বরূপ, প্রমাণীকরণ শিরোলেখ, রাউটিং হেডার, বা হপ-অফ-হপ বিকল্প শিরোনাম থাকতে পারে। এই আদিম দ্বারা নির্গত BPF কোড জটিল এবং tcpdump মধ্যে BPF অপ্টিমাইজার কোড দ্বারা অপ্টিমাইজ করা যাবে না, তাই এটি কিছুটা ধীর হতে পারে।

আইপি প্রোটোকেন প্রোটোকল

আইপি 6 প্রোটোকেন প্রোটোকলের সমতুল্য, কিন্তু এটি আইপিভি 4 এর জন্য।

ইশার সম্প্রচার

সত্য যদি পকেট একটি ইথারনেট ব্রডকাস্ট প্যাকেট হয়। ইথার কীওয়ার্ডটি ঐচ্ছিক।

আইপি সম্প্রচার

সত্য যদি প্যাকেটটি আইপি ব্রডকাস্ট প্যাকেট হয়। এটা সমস্ত zeroes এবং সমস্ত-সমস্ত ব্রডকাস্টিং কনভেনশনগুলির জন্য পরীক্ষা করে এবং স্থানীয় সাবনেট মাস্কটি দেখায়।

ইথার মাল্টিকাস্ট

সত্য যদি প্যাকেট একটি ইথারনেট মাল্টিকাস্ট প্যাকেট হয়। ইথার কীওয়ার্ডটি ঐচ্ছিক। এটি ` ইথার [0] ও 1! = 0 'এর জন্য লিনআউট

আইপি মাল্টিকাস্ট

সত্য যদি পকেট একটি IP মাল্টিকাস্ট প্যাকেট।

আইপি 6 মাল্টিকাস্ট

সত্য যদি প্যাকেটটি IPv6 মাল্টিকাস্ট প্যাকেট হয়।

ইথার প্রোটো প্রোটোকল

সত্য যদি প্যাকেটটি ইথার টাইপ প্রোটোকল এর । প্রোটোকল একটি নাম বা আইপি , আইপি 6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , বা netbeui নামে একটি নাম হতে পারে । উল্লেখ্য এই সনাক্তকারীগুলি কীওয়ার্ডগুলিও রয়েছে এবং ব্যাকস্ল্যাশ (\) এর মাধ্যমে অব্যাহতিপ্রাপ্ত হওয়া আবশ্যক।

[এফডিডিআই (যেমন, ` FDEI প্রোটোকল arp ') এবং টোকেন রিং (যেমন,` ট্রু প্রোটোকল অ্যার্প ') -এর ক্ষেত্রে, বেশিরভাগ প্রোটোকলের জন্য, প্রোটোকল সনাক্তকরণটি 80২.2 লজিক্যাল লিংক কন্ট্রোল (এলএলসি) হেডার থেকে আসে, যা সাধারণত FDDI বা টোকেন রিং হেডারের উপরে স্তরযুক্ত।

যখন FDDI বা টোকেন রিংতে বেশিরভাগ প্রোটোকল শনাক্তকারীর জন্য ফিল্টার করা হয়, তখন tcpdump শুধুমাত্র ইঙ্কারনেট ইথারনেটের জন্য 0x000000 এর একটি সাংগঠনিক ইউনিট আইডেন্টিফায়ার (ওউআই) সহ তথাকথিত SNAP ফরম্যাটের একটি এলএলসি শিরোলেখের প্রোটোকল আইডি ক্ষেত্রটি পরীক্ষা করে; এটি 0x000000 এর একটি OUI সঙ্গে প্যাকেটটি SNAP বিন্যাসে কিনা তা পরীক্ষা করে না।

ব্যতিক্রমটি আইএসও , যার জন্য এটি এলএলসি হেডার, স্টপ এবং নেটবিউইয়ের DSAP (ডেসটিনিশন সার্ভিস অ্যাক্সেস পয়েন্ট) এবং এসএসএপি (সোর্স সার্ভিস অ্যাক্সেস পয়েন্ট) ক্ষেত্রগুলি পরীক্ষা করে যেখানে এটি এলএলসি শিরোলেখের ডিএসএপি পরীক্ষা করে, এবং এটিকল যেখানে এটি 0x080007 এর একটি OUI এবং Appletalk etype এর সঙ্গে একটি SNAP- বিন্যাস প্যাকেট জন্য চেক

ইথারনেটের ক্ষেত্রে, বেশিরভাগ প্রোটোকলের জন্য tcpdump ইথারনেট প্রকারের ক্ষেত্র পরীক্ষা করে; ব্যতিক্রমটি আইও , স্যাপ এবং নেটবুই , যার জন্য এটি একটি 802.3 ফ্রেমের জন্য পরীক্ষা করে এবং তারপর এলডিএকে হেডার হিসাবে পরীক্ষা করে যেমন FDDI এবং টোকেন রিং, এটক্কের জন্য এটি করে, যেখানে এটি ইথারনেট ফ্রেমে অ্যাপটক্লিক এটাইপের জন্য এবং একটি এফডিডিআই এবং টোকেন রিং এর জন্য এসএনএপি-ফরম্যাট প্যাকেটটি এটির জন্য কাজ করে, যেখানে এটি ইথারনেট ফ্রেমে অথবা 0x000000 এর একটি ওআইআইএইচ 802.2 এসএনএপি ফ্রেম এবং আইপিএক্স , যেখানে এটি IPX etype এর জন্য পরীক্ষা করে। একটি ইথারনেট ফ্রেম, এলএলসি হেডারের আইপিএক্স ডিএসএপি, আইপিএক্সের কোন এলএলসি হেডার এনক্যাপসুলেশন এবং এসএনএপি ফ্রেমে আইপিএক্স এটাইপের 802.3।]

ডিকনেট শংস হোস্ট

সত্য যদি DECNET উত্স ঠিকানাটি হোস্ট হয় , যা ফর্ম `` 10.123 '', অথবা DECNET হোস্টের নাম হতে পারে। [DECNET হোস্টের নাম সাপোর্টটি শুধুমাত্র আল্ট্রিক্স সিস্টেমে পাওয়া যায় যা DECNET চালানোর জন্য কনফিগার করা আছে।]

ডেননেট ডিস্ট হোস্ট

সত্য যদি DECNET গন্তব্য ঠিকানা হোস্ট হয় ।

ডিকনেট হোস্ট হোস্ট

সত্য যদি DECNET উৎস বা গন্তব্য ঠিকানা হোস্ট হয় ।

আইপি , আইপি 6 , এআরপি , পিএইচপি , এটাক , এআরপি , ডিকনেট , আইসো , স্টপ , আইপিএক্স , নেটবুই

জন্য সংক্ষিপ্ত করা:

ইথার প্রোটো পি

যেখানে পি উপরে প্রোটোকল এক।

lat , moprc , mopdl

জন্য সংক্ষিপ্ত করা:

ইথার প্রোটো পি

যেখানে পি উপরে প্রোটোকল এক। উল্লেখ্য, এই প্রোটোকলগুলি কীভাবে বিশ্লেষণ করা যায় তা বর্তমানে tcpdump না জানা যায়।

vlan [vlan_id]

সত্য যদি প্যাকেটটির IEEE 802.1Q VLAN প্যাকেট থাকে। যদি [vlan_id] নির্দিষ্ট করা হয় তবে শুধুমাত্র সত্যই প্যাকেটটির নির্দিষ্ট vlan_id রয়েছে । লক্ষ্য করুন যে প্রথম এলএলএক্স অভিব্যক্তির মুখোমুখি হচ্ছে ডিজেডিং অফসেটগুলি বাক্যালাপের বাকী অংশের জন্য অনুধাবন করে যে প্যাকেটটি একটি ভিএলএএন প্যাকেট।

tcp , udp , icmp

জন্য সংক্ষিপ্ত করা:

আইপি প্রোটো পি বা আইপি 6 প্রোটো পি

যেখানে পি উপরে প্রোটোকল এক।

আইএসও প্রোটোকো প্রোটোকল

সত্য যদি প্যাকেটটি প্রোটোকল প্রকারের একটি OSI প্যাকেট প্রোটোকল হয় । প্রোটোকল একটি সংখ্যা বা এক নাম হতে পারে clnp , এসিস , বা isis ।

ক্লিনপ , এসিস , ইসিস

জন্য সংক্ষিপ্ত করা:

আই এস প্রোট পি

যেখানে পি উপরে প্রোটোকল এক। উল্লেখ্য, এই প্রোটোকলগুলি প্যাড করার Tcpdump একটি অসম্পূর্ণ কাজ করে।

প্রস্থান করুন

সত্য যদি সম্পর্কটি ধারণ করে, যেখানে relop এক>, <,> =, <=, =,! =, এবং expr একটি অনুভূমিক এক্সপ্রেশন যা পূর্ণসংখ্যা স্থির (মান সি সিন্টেক্স প্রকাশ), সাধারণ বাইনারি অপারেটরগুলি [ , -, *, /, এবং, |], একটি দৈর্ঘ্য অপারেটর এবং বিশেষ প্যাকেট ডেটা অ্যাক্সেসর। প্যাকেটটির ভিতরে ডেটা অ্যাক্সেস করতে, নিম্নলিখিত সিনট্যাক্স ব্যবহার করুন:

প্রোটো [ এক্সপ্রঃ সাইজ ]

প্রোটো ইথার, এফডিডি, ট্রেন্ড, পিপিপি, স্লিপ, লিংক, আইপি, এআরপি, রারপ, টিসিপি, উডপ, আইসিএমপি বা আইপি 6 এর একটি এবং ইন্ডেক্স অপারেশনের জন্য প্রোটোকল লেয়ার নির্দেশ করে। ( ইথার, Fddi, tr, ppp, স্লিপ এবং লিঙ্কটি লিঙ্ক লেয়ারটি পড়ুন।) উল্লেখ্য যে TCP, UDP এবং অন্যান্য উপরের-প্রান্তিক প্রোটোকলগুলি শুধুমাত্র IPv4- তে প্রয়োগ করা হয় না, IPv6 না (এটি ভবিষ্যতে ঠিক করা হবে)। বিট অফসেট, নির্দেশিত প্রোটোকল স্তর সমেত, expr দ্বারা দেওয়া হয়। আকার ঐচ্ছিক এবং আগ্রহের ক্ষেত্রে বাইট সংখ্যা নির্দেশ করে; এটি এক, দুই, বা চার হতে পারে, এবং এক থেকে ডিফল্ট হতে পারে। দৈর্ঘ্য অপারেটর, ল্যানের দ্বারা নির্দেশিত, প্যাকেট দৈর্ঘ্য দেয়।

উদাহরণস্বরূপ, ` ইথার [0] ও 1! = 0 'সমস্ত মাল্টিকাস্ট ট্র্যাফেক্ট ক্যাচ করেছে। অভিব্যক্তি ` আইপি [0] এবং 0xf! = 5 'বিকল্পগুলির সাথে সমস্ত আইপি প্যাকেটগুলি ক্যাচ করে। অভিব্যক্তি ` আইপি [6: 2] এবং 0x1fff = 0 'শুধুমাত্র অসংলগ্ন ড্যাটাগ্রামস এবং বিভক্ত খন্ডগ্রুপের ভুগ শূন্য। এই চেক টিসিপি এবং udp সূচক অপারেশনগুলিতে নিখুঁতভাবে প্রয়োগ করা হয়। উদাহরণস্বরূপ, টিসিপি [0] সর্বদা TCP হেডারের প্রথম বাইট মানে, এবং কোনও মধ্যবর্তী টুকরাটির প্রথম বাইট মানে না।

কিছু অফসেট এবং ক্ষেত্রের মানগুলি সাংখ্যিক মানগুলির পরিবর্তে নাম হিসাবে প্রকাশ করা যেতে পারে। নিম্নোক্ত প্রোটোকল হেডার ফিল্ড অফসেটগুলি পাওয়া যায়: ইসিস্টাইপ (ICMP টাইপ ক্ষেত্র), আইকম্পক কোড (ICMP কোড ক্ষেত্র), এবং টিসিপি্ল্লগস (TCP ফ্ল্যাগ ক্ষেত্র)।

নিম্নলিখিত ICMP ধরন ক্ষেত্রের মান উপলব্ধ রয়েছে: icmp- echoreply , icmp-unreach , icmp-sourcequench , icmp- পুনর্চালনা , icmp-echo , icmp-routeradvert , icmp- routersolicit , icmp- টাইমবক্স , icmp-paramprob , icmp-tstamp , icmp -tstampreply , icmp- ireq , icmp- ireqreply , icmp - maskreq , icmp - maskreply ।

নিম্নলিখিত টিসিপি ফ্ল্যাগ ক্ষেত্রের মান উপলব্ধ: টিসিপি-ফিন , টিসিপি-সিক , টিসিপি-রস্ট , টিসিপি-ধাক্কা , টিসিপি-ধাক্কা , টিসিপি-এ্যাক , টিসিপি-টিপ ।

Primitives ব্যবহার করে মিলিত হতে পারে:

প্রিমিটিভ এবং অপারেটরের একটি প্যারেন্টাসাইজড গ্রুপ (বন্ধনীগুলি শেলের জন্য বিশেষ এবং অবশ্যই অব্যাহতিপ্রাপ্ত হতে হবে)।

নেগেটিস (` ! 'বা` না ')

সমন্বয় (` && 'বা` এবং ')

বিকল্প (` || 'বা` বা ')।

নোগ্রেশন সর্বোচ্চ অগ্রাধিকার আছে। রূপান্তর এবং সংকলন সমান অগ্রাধিকার এবং সংযুক্ত বাম থেকে ডানে উল্লেখ্য যে স্পষ্ট এবং টোকেন, সংযোজন নয়, এখন সংযোগ বিচ্ছিন্নকরণের জন্য প্রয়োজন।

যদি একটি শংসাপত্র একটি কীওয়ার্ড ছাড়া দেওয়া হয়, সবচেয়ে সাম্প্রতিক শব্দ অভিমান করা হয়। উদাহরণ স্বরূপ,

হোস্ট বনাম এবং এস

জন্য সংক্ষিপ্ত

হোস্ট বনাম এবং হোস্ট এস্কেশন নয়

যা দিয়ে বিভ্রান্ত করা উচিত নয়

না (হোস্ট বনাম বা এসি)

এক্সপ্রেশন আর্গুমেন্ট tcpdump হিসাবে একক যুক্তি হিসাবে বা একাধিক আর্গুমেন্ট হিসেবে প্রেরণ করা যেতে পারে, যা বেশি সুবিধাজনক। সাধারনত, যদি অভিব্যক্তি শেল metacharacters ধারণ করে, তবে এটি একটি একক, উদ্ধৃত যুক্তি হিসাবে পাস করা সহজ। একাধিক আর্গুমেন্ট স্পেসের আগে স্পেস সঙ্গে concatenated হয়।

উদাহরণ

সূর্যোদয় থেকে বা প্রস্থান করা সমস্ত প্যাকেটগুলি মুদ্রণ করতে:

tcpdump হোস্ট সূর্যোদয়

হেলিয়াসের মধ্যে ট্র্যাফিক মুদ্রণ করতে এবং গরম বা আকাঙ্ক্ষা :

tcpdump হোস্ট হেলিয়স এবং \ (গরম বা আকাঙ্ক্ষা)

হেলিয়াস ব্যতীত সমস্ত আইপি পকেট প্রিন্ট এবং কোনও হোস্টের মধ্যে মুদ্রণ করতে:

tcpdump IP হোস্ট Ace এবং না হেলিওস

বার্কলে স্থানীয় হোস্ট এবং হোস্টগুলির মধ্যে সমস্ত ট্র্যাফিক মুদ্রণ করতে:

tcpdump net ucb-ether

ইন্টারনেট গেটওয়ে snup এর মাধ্যমে সমস্ত FTP ট্র্যাফ্ট মুদ্রণ করতে: (মনে রাখবেন যে অভিব্যক্তিটি শেলটি (ভুল-) বন্ধনকে ব্যাখ্যা করার জন্য উদ্ধৃত করা হয়েছে):

tcpdump 'গেটওয়ে স্নুপ এবং (পোর্ট এফটিপি বা এফটিপি-ডেটা)'

স্থানীয় হোস্ট (যদি আপনি অন্য নেটের গেটওয়ে, এই জিনিসগুলি আপনার স্থানীয় নেটের দিকে না ঘোরাবে) এর জন্য সীমাবদ্ধ না ট্রাফিক মুদ্রণ করতে হবে।

tcpdump ip এবং নেট নেটনেটনেট না

প্রত্যেকটি TCP কথোপকথনের শুরু এবং শেষ প্যাকেটগুলি (SYN এবং FIN প্যাকেটগুলি) মুদ্রণ করতে একটি অ-স্থানীয় হোস্ট জড়িত থাকে।

tcpdump 'tcp [tcpflags] এবং (tcp-syn | tcp-fin)! = 0 এবং src এবং dst নেট স্থানীয়নেট না '

গেটওয়ে স্ন্যাপের মাধ্যমে পাঠানো 576 বাইটের চেয়ে বেশি আইপি প্যাকেট প্রিন্ট করতে:

tcpdump 'গেটওয়ে snup এবং আইপি [2: 2]> 576'

আইপি ব্রডকাস্ট বা মাল্টিকাস্ট প্যাকেটগুলি প্রিন্ট করতে যেগুলি ইথারনেট ব্রডকাস্ট বা মাল্টিকাস্টের মাধ্যমে পাঠানো হয়নি :

tcpdump 'এথার [0] এবং 1 = 0 এবং আইপি [16]> = 224'

সমস্ত ICMP প্যাকেটগুলি মুদ্রণ করতে যেগুলি অনুরোধ / উত্তরগুলি (যেমন পিং প্যাকগুলি নয়) প্রতিধ্বনি করে না:

tcpdump 'icmp [icmptype]! = icmp-echo এবং icmp [icmptype]! = icmp-echoreply'

আউটপুট ফরমেট

Tcpdump এর আউটপুট প্রোটোকল নির্ভরশীল। নিম্নোক্ত ফরম্যাটগুলির বেশিরভাগ সংক্ষিপ্ত বিবরণ এবং উদাহরণ দেয়।

লিংক স্তর শিরোনাম

যদি '-e' বিকল্পটি দেওয়া হয় তবে লিংক স্তরের হেডারটি মুদ্রিত হয়। ইথারনেটগুলিতে, উৎস এবং গন্তব্য ঠিকানা, প্রোটোকল, এবং প্যাকেট দৈর্ঘ্য মুদ্রিত হয়।

এফডিডিআই নেটওয়ার্কে, '-e' বিকল্পটি টিসিপিডামকে 'ফ্রেম কন্ট্রোল' ক্ষেত্র, উৎস এবং গন্তব্য ঠিকানা, এবং প্যাকেট দৈর্ঘ্য মুদ্রণ করার কারণ হয়ে দাঁড়ায়। ('ফ্রেম কন্ট্রোল' ক্ষেত্রটি বাকি প্যাকেটগুলির ব্যাখ্যা করে। সাধারণ প্যাকেটগুলি (যেমন আইপি ডেটাগ্রাম ধারণকারী) হল 'এসিন্ক' প্যাকেটগুলি, 0 এবং 7 এর মধ্যে একটি অগ্রাধিকার মানের সাথে, উদাহরণস্বরূপ, ` async4 '। প্যাকেটগুলির একটি 802.2 লজিকাল লিংক কন্ট্রোল (এলএলসি) প্যাকেট ধারণ করা হয়; এলএলসি হেডার মুদ্রিত হয় যদি এটি একটি আইএসও ডাটাগ্রাম বা তথাকথিত SNAP প্যাকেট না থাকে।

টোকেন রিং নেটওয়ার্কগুলিতে, '-e' বিকল্পটি tcpdump 'অ্যাক্সেস কন্ট্রোল' এবং 'ফ্রেম কন্ট্রোল' ক্ষেত্র, উৎস এবং গন্তব্য ঠিকানা, এবং প্যাকেট দৈর্ঘ্য মুদ্রণ করার জন্য কারণ। FDDI নেটওয়ার্কে হিসাবে, প্যাকগুলি একটি এলএলসি প্যাকেট ধারণ করতে অনুমিত হয়। তদ্ব্যতীত '-e' বিকল্প নির্দিষ্ট করা আছে কি না, সোর্স-রুটযুক্ত প্যাকেটগুলির জন্য উৎস রাউটিং তথ্য মুদ্রিত হয়

(NB: নিম্নলিখিত বর্ণনা RFC-1144 বর্ণিত SLIP কম্প্রেশন অ্যালগরিদম সঙ্গে পরিচিতি অনুমান।)

স্লিপ লিঙ্কগুলিতে, একটি নির্দেশিকার নির্দেশক (ইনবোর্ডের জন্য `` আমি '', বহির্গামী জন্য `ও '), প্যাকেট প্রকার, এবং কম্প্রেশন তথ্য প্রিন্ট করা হয়। প্যাকেট প্রকারটি প্রথমে মুদ্রিত হয়। তিনটি ধরন হল ip , utcp , এবং ctcp । আইপি পকেটের জন্য আর কোন লিংক তথ্য মুদ্রিত হয় না। TCP প্যাকেটগুলির জন্য, সংযোগ সনাক্তকারী টাইপ অনুসরণ করে মুদ্রিত হয়। প্যাকেটটি সংকুচিত হলে তার এনকোডেড হেডারটি মুদ্রিত হয়। বিশেষ ক্ষেত্রে * S + n এবং * SA + n হিসাবে মুদ্রিত হয়, যেখানে n হলো পরিমাণ যার দ্বারা ক্রম সংখ্যা (বা ক্রম সংখ্যা এবং ack) পরিবর্তিত হয়েছে। যদি এটি একটি বিশেষ কেস না হয়, শূন্য বা আরও পরিবর্তন মুদ্রিত হয়। একটি পরিবর্তন U (তাত্ক্ষণিক পয়েন্টার), ডাব্লু (উইন্ডো), এ (ack), S (ক্রম সংখ্যা), এবং I (প্যাকেট আইডি) দ্বারা চিহ্নিত করা হয়, একটি ডেল্টা (+ n বা -n), অথবা একটি নতুন মান (= ঢ)। অবশেষে, প্যাকেট এবং সংকুচিত হ্যান্ডেলের দৈর্ঘ্যের তথ্য পরিমাণ মুদ্রিত হয়।

উদাহরণস্বরূপ, নিম্নোক্ত লাইনটি একটি অন্তর্নিহিত কম্প্রেসড TCP পকেট দেখায়, একটি নিখুঁত সংযোগ সনাক্তকারী; Ack 6 দ্বারা পরিবর্তিত হয়েছে, 49 দ্বারা ক্রম সংখ্যা, এবং 6 দ্বারা প্যাকেট আইডি; কম্প্রেসেড হেডারের 3 টি বাইট এবং 6 বাইট রয়েছে:

ও সিটিসিপি * A + 6 S + 49 I + 6 3 (6)

ARP / RARP প্যাকেটগুলি

Arp / rarp আউটপুট অনুরোধ এবং তার আর্গুমেন্ট ধরনের দেখায়। বিন্যাসটি স্ব ব্যাখ্যামূলক করার উদ্দেশ্যে করা হয়। হোস্ট rtsg থেকে csam হোস্ট করার জন্য 'rlogin' এর শুরু থেকে নেওয়া একটি সংক্ষিপ্ত নমুনা এখানে রয়েছে:

এআরপি কে সিএসএম বলছে rtsg arp উত্তর সিএসএম- এ CSAM- হয়

প্রথম লাইনটি বলে যে rtsg ইন্টারনেট হোস্ট সিএসএম এর ইথারনেট ঠিকানা জানতে একটি arp প্যাকেট পাঠানো। Csam তার ইথারনেট ঠিকানা দিয়ে উত্তর দেয় (এই উদাহরণে, ইথারনেট ঠিকানা ক্যাপ এবং নিম্নতর ক্ষেত্রে ইন্টারনেট ঠিকানা)।

যদি আমরা tcpdump -n কাজ করতাম তবে এটি কম অপ্রয়োজনীয় দেখতে পেতো:

arp যার 128.3.254.6 128.3.254.68 arp উত্তর 128.3.254.6 হয় 02: 07: 01: 00: 01: c4

যদি আমরা tcpdump -e করে ফেলেছি , তবে প্রথম পকেটটি সম্প্রচারিত হবে এবং দ্বিতীয়টি পয়েন্ট-টু-পয়েন্ট দৃশ্যমান হবে:

RTSG ব্রডকাস্ট 0806 64: আরপ কে সিএসএম RTSG CSAM বলুন RTSG 0806 64: ARP উত্তর সিএসএম- এ CSAM হয়

প্রথম প্যাক্টের জন্য এটি ইথারনেট সোর্স অ্যাড্রেসটি RTSG বলছে, গন্তব্য হচ্ছে ইথারনেট ব্রডকাস্ট অ্যাড্রেস, টাইপ ক্ষেত্রটি হেক্স 0806 (টাইপ ETHER_ARP) এবং মোট দৈর্ঘ্য 64 বাইট ছিল।

টিসিপি প্যাকগুলি

(NB: নিম্নলিখিত বর্ণনা RFC-793 বর্ণিত টিসিপি প্রোটোকল সঙ্গে পরিচিতি অনুমান করে। যদি আপনি প্রোটোকলের সঙ্গে পরিচিত না হয়, এই বিবরণ না বা tcpdump আপনার অনেক ব্যবহার হবে।)

একটি TCP প্রোটোকল লাইনের সাধারণ বিন্যাস হল:

src> dst: পতাকা তথ্য- seqno ack উইন্ডো জরুরী বিকল্পগুলি

Src এবং dst উৎস এবং গন্তব্য আইপি ঠিকানা এবং পোর্ট হয়। পতাকাগুলি S (SYN), F (FIN), P (PUSH) অথবা R (RST) বা একক 'একক' সংমিশ্রণ। (কোন পতাকা)। ডাটা-সিকোনি এই পকেটে ডাটা দ্বারা আচ্ছাদিত ক্রম স্পেসের অংশটি বর্ণনা করে (নীচের উদাহরণটি দেখুন)। Ack এই সংযোগে অন্য দিক প্রত্যাশিত পরবর্তী তথ্য অনুক্রম সংখ্যা। উইন্ডোটি এই সংযোগে অন্য দিকটি উপলব্ধ বাফার স্পেস উপলব্ধ বাইট সংখ্যা। উব নির্দেশ করে যে প্যাকেটটিতে 'জরুরি' ডেটা আছে। বিকল্প টিসিপি অপশন কোণ বন্ধনী (যেমন, ) এ অবস্থিত।

Src, dst এবং পতাকা সবসময় উপস্থিত। অন্য ক্ষেত্রগুলি প্যাকেটটির TCP প্রোটোকল হেডারের বিষয়বস্তুগুলির উপর নির্ভর করে এবং যদি যথাযথ হয় তবে শুধুমাত্র আউটপুট হয়।

এখানে হোস্ট rtsg থেকে rlogin এর খোলার অংশ csam হোস্ট করার জন্য ।

rtsg.1023> csam.login: S 768512: 768512 (0) জয় 4096 csam.login> rtsg.1023: S 947648: 947648 (0) ack 768513 win 4096 rtsg.1023> সিএসএম লগইন:। Ack 1 win 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:। এ্যাক 2 জয় 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: P 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: পি 2: 3 (1) এ্যাক 21 জয় 4077 জরুরী 1 csam.login> rtsg.1023: পি 3: 4 (1) ack 21 win 4077 urg 1

প্রথম লাইনটি বলে যে rtsg এ tcp পোর্ট 1023 সিএসএম পোর্ট লগইন করার জন্য একটি প্যাকেট পাঠিয়েছে। এস নির্দেশ করে যে SYN পতাকাটি সেট করা হয়েছিল। প্যাকেট ক্রম সংখ্যা 768512 ছিল এবং এটি কোন তথ্য অন্তর্ভুক্ত। (নোটটি হল 'প্রথম: শেষ (nbytes)' যার অর্থ 'ক্রম সংখ্যাগুলি প্রথম কিন্তু ব্যবহারকারী ডেবিট এর nbytes বাইটের অন্তর্ভুক্ত নয়।' কোনও পিগি-সমর্থিত অংক ছিল না, উপলব্ধ পাওয়া উইন্ডো ছিল 4096 বাইট এবং একটি সর্বোচ্চ-সেগমেন্ট-আকারের বিকল্প ছিল যার সাহায্যে 1024 বাইটের এমএসএস অনুরোধ করা হয়েছিল।

সিএসএম একটি অনুরূপ প্যাকেট সহ উত্তর দেয়, ব্যতীত এটি rtsg এর SYN এর জন্য একটি piggy-backed ack অন্তর্ভুক্ত। Rtsg তারপর acks সিএসএম এর SYN। `। ' অর্থ কোন পতাকা সেট ছিল। প্যাকেটটিতে কোনো ডেটা নেই তাই কোন ডেটা ক্রম সংখ্যা নেই। লক্ষ্য করুন যে Ack ক্রম সংখ্যা একটি ছোট পূর্ণসংখ্যা (1)। প্রথমবার tcpdump টিসিপি 'কথোপকথন' দেখে, এটি প্যাকেট থেকে ক্রম সংখ্যা ছাপে। কথোপকথনের পরবর্তী প্যাকেটগুলিতে, বর্তমান প্যাকেট ক্রম সংখ্যা এবং এই প্রাথমিক ক্রম সংখ্যা মধ্যে পার্থক্য মুদ্রিত হয়। এর মানে হল যে প্রথমটির পরে ক্রম সংখ্যাগুলি কথোপকথনের ডাটা স্ট্রীমে আপেক্ষিক বাইট পজিশন হিসাবে ব্যাখ্যা করা যেতে পারে (প্রথম ডেটা বাইটের সাথে প্রতিটি দিক হচ্ছে '1')। `-এস 'এই বৈশিষ্ট্যকে অগ্রাহ্য করবে, যার ফলে প্রকৃত ক্রম সংখ্যাগুলি আউটপুট হবে।

6 তম লাইনের মধ্যে, rtsg ডাটা সিএসএম 19 বাইট পাঠায় (কথোপকথনের rtsg -> csam দিকে বাইট 2 থেকে ২0)। পুশ পতাকাটি পকেটে সেট করা আছে। 7 ম লাইনে, সিএসএম বলছে এটি rtsg দ্বারা পাঠানো ডেটা প্রাপ্ত হয়েছে কিন্তু বাইট 21 না অন্তর্ভুক্ত। এই ডেটাটি দৃশ্যত সকেট বাফারে বসে আছে কারণ সিএসএম এর প্রাপ্ত উইন্ডোটি 19 বাইট কম পেয়েছে। সিএসএম এছাড়াও এই প্যাকেট এ rtsg একটি বাইট পাঠায়। 8 ম ও 9 ম লাইনে, সিএসএম জরুরী, দুই ধাপে ডাটা পাঠিয়েছে rtsg থেকে।

যদি স্ন্যাপশট যথেষ্ট ছোট হয় তবে tcpdump সম্পূর্ণ TCP হেডারটি ক্যাপচার না করে, এটি হেডার হিসাবে যতটুকু ব্যাখ্যা করতে পারে এবং তারপর `` [[| tcp ] '' বোঝাতে হবে বাকি ব্যাখ্যা করা যাবে না। শিরোলেখটিতে একটি বোগাস বিকল্প রয়েছে (একটি লম্বা যেটি খুব ছোট বা শিরোলেখের শেষে অতিক্রম করে থাকে), tcpdump এটি `` [ খারাপ অপ্ট '] হিসাবে প্রতিবেদন করে এবং আরো বিকল্প ব্যাখ্যা করে না (যেহেতু এটি বলা অসম্ভব যেখানে তারা শুরু)। যদি শিরোলেখের দৈর্ঘ্য ইঙ্গিত দেয় যে অপশনগুলি বিদ্যমান কিন্তু আইপি ডাটাগ্রামের দৈর্ঘ্য প্রকৃতপক্ষে বিকল্পের জন্য যথেষ্ট না হয় তবে tcpdump এটিকে `` [ bad hdr length ] '' হিসাবে রিপোর্ট করে।

নির্দিষ্ট পতাকা সমন্বয় সহ TCP প্যাকগুলি ক্যাপচার করা হচ্ছে (SYN-ACK, URG-ACK, ইত্যাদি)

TCP হেডারের কন্ট্রোল বিট বিভাগে 8 টি বিট আছে:

সিডব্লিউআর | ইসিই | ইউআরজি | ACK | পিএসএইচ | আরএসএস | SYN | FIN

আসুন ধরুন আমরা একটি টিসিপি সংযোগ প্রতিষ্ঠার জন্য ব্যবহৃত প্যাকেটগুলি দেখতে চাই। মনে রাখবেন যে TCP একটি 3-উপায় হ্যান্ডশেক প্রোটোকল ব্যবহার করে যখন এটি একটি নতুন সংযোগ শুরু করে; টিসিপি কন্ট্রোল বিট সংক্রান্ত সংযোগ ক্রম হল

1) কলকারী SYN পাঠায়

2) প্রাপক SYN, ACK সঙ্গে সাড়া

3) কলার ACK পাঠায়

এখন আমরা প্যাকেটগুলি ধারণ করতে আগ্রহী যেগুলি শুধুমাত্র SYN বিট সেট (ধাপ 1) আছে। উল্লেখ্য, আমরা পদক্ষেপ 2 (SYN-ACK) থেকে প্যাকেটগুলি চাই না, কেবল একটি সাধারণ প্রাথমিক SYN। Tcpdump- এর জন্য আমরা কি সঠিক ফিল্টার এক্সপ্রেশন?

বিকল্প ছাড়াই একটি TCP হেডারের কাঠামোটি প্রত্যাহার করুন:

0 15 31 ----------------------------------------------- ------------------ | উৎস পোর্ট | গন্তব্য পোর্ট | -------------------------------------------------- --------------- | ক্রম সংখ্যা | -------------------------------------------------- --------------- | স্বীকৃতি সংখ্যা | -------------------------------------------------- --------------- | এইচএল | RSVD | C | E | U | A | P | R | S | F | | উইন্ডো আকার | -------------------------------------------------- --------------- | TCP চেকসাম | জরুরী পয়েন্টার | -------------------------------------------------- ---------------

একটি টিসিপি হেডার সাধারণত 20 অক্টেটের তথ্য ধারণ করে, যদি না বিকল্প উপস্থিত হয়। গ্রাফের প্রথম লাইনটি octets 0 - 3, দ্বিতীয় লাইন octet 4 - 7 ইত্যাদি দেখায়।

0 এর সাথে গণনা শুরু করতে, সংশ্লিষ্ট টিসিপি কন্ট্রোল বিটগুলি অক্টোট 13-এ রয়েছে:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | এইচএল | RSVD | C | E | U | A | P | R | S | F | | উইন্ডো আকার | ---------------- | --------------- | --------------- | - --------------- | | 13 ই অক্টোট | | |

চলুন শুরু করা যাক octet no উপর একটি ঘনিষ্ঠ চেহারা আছে। 13:

| | | --------------- | | সি | ই | ইউ | একজন | পি | আর | এস | এফ | | --------------- | | 7 5 3 0 |

এই টিসিপি কন্ট্রোল বিট আমরা আগ্রহী। আমরা এই octet মধ্যে বিট সংখ্যা 0 থেকে 7, ডান থেকে বাম, তাই PSH বিট বিট সংখ্যা 3 হয়, যখন URG বিট সংখ্যা 5 হয়।

আমরা শুধুমাত্র SYN সেট সঙ্গে প্যাকেট ক্যাপচার করতে চান যে প্রত্যাহার। আসুন দেখি কি অক্টোট 13 কি আছে যদি একটি টিসিপি ডেটাগ্রাম তার শিরোনামের SYN বিট সেটের সাথে আসে:

| সি | ই | ইউ | একজন | পি | আর | এস | এফ | | --------------- | 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

নিয়ন্ত্রণ বিট বিভাগে দেখলে আমরা দেখতে পাই যে শুধুমাত্র বিট নম্বর 1 (SYN) সেট করা আছে।

যে octet নম্বর 13 একটি 8-বিট স্বাক্ষরবিহীন নেটওয়ার্ক বাইট অর্ডার মধ্যে পূর্ণসংখ্যা, এই octet বাইনারি মান হল

00000010

এবং তার দশমিক প্রতিনিধিত্ব হয়

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 2 * 2 + 0 * 2 + 1 * ২ + 0 * ২ = ২

আমরা প্রায় সম্পন্ন, কারণ এখন আমরা জানি যে যদি শুধুমাত্র SYN সেট করা হয়, TCP হেডারের 13 তম অক্টেটের মান, যখন নেটওয়ার্ক বাইট ক্রমে 8-বিট স্বাক্ষরকৃত পূর্ণসংখ্যা হিসাবে ব্যাখ্যা করা হয়, অবশ্যই 2 হতে হবে।

এই সম্পর্ক হিসাবে প্রকাশ করা যেতে পারে

টিসিপি [13] == 2

আমরা কেবল এই SYN সেট যা প্যাকেটগুলি দেখতে tcpdump জন্য ফিল্টার হিসাবে এই অভিব্যক্তি ব্যবহার করতে পারেন:

tcpdump -i xl0 টিসিপি [13] == 2

অভিব্যক্তি "একটি TCP ডাটাগ্রামের 13 তম অক্টোট দশমিক মান 2 আছে যাক", যা ঠিক আমরা কি চান।

এখন, আসুন আমরা ধরে নিতে পারি যে SYN প্যাকেটগুলি ক্যাপচার করতে হবে, কিন্তু ACK বা অন্য কোনও TCP কন্ট্রোল বিট একই সময়ে সেট করা হলে আমরা তা অনুভব করি না। আসুন 13 octet কি ঘটবে যখন SYN-ACK সেট সঙ্গে একটি টিসিপি ডাটাগ্রাম সেট আসে:

| সি | ই | ইউ | একজন | পি | আর | এস | এফ | | --------------- | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |

এখন বিট 1 এবং 4 13 তম অক্টেটে সেট করা হয়। অক্টোট 13 এর বাইনারি মান হল

00010010

যা দশমিক অনুবাদ

7 6 5 4 3 2 1 0 * 2 + 2 * ২ + 2 * ২ + 1 * ২ + 2 * ২ + ২ * ২ + 1 * ২ + ২ * ২ = 18

এখন আমরা কেবল 'টিসিপি [13] == 18' টিসিপিডিপ ফিল্টারের এক্সপ্রেশনে ব্যবহার করতে পারি না, কারণ এটি শুধুমাত্র সেই প্যাকেটগুলিকে সিএন-এসিক সেটের জন্য নির্বাচন করবে, তবে কেবলমাত্র SYN সেট দিয়ে নয়। মনে রাখবেন যে আমরা ACK বা অন্য কোন নিয়ন্ত্রণ বিট যতক্ষণ SYN সেট করা হয় যতক্ষণ সেট করা হয় ততক্ষণ আমরা যত্ন নই।

আমাদের লক্ষ্য অর্জন করার জন্য, আমরা যুক্তিযুক্ত এবং অক্টো্ট 13 এর বাইনারি মান প্রয়োজন যাতে SYN বিট সংরক্ষণের অন্য কিছু মান। আমরা জানি যে আমরা SYN কে যে কোনও ক্ষেত্রে সেট করতে চাই, তাই আমরা লজিক্যালভাবে এবং 13 ই অক্টোটের মানকে SYN এর বাইনারি মান সহ করবো:

00010010 SYN-ACK 00000010 SYN এবং 00000010 (আমরা SYN চান) এবং 00000010 (আমরা SYN চাই) -------- -------- = 00000010 = 00000010

আমরা দেখতে পাই যে এসিড এবং অন্য কোনও TCP কন্ট্রোল বিট সেট করা আছে কি না এবং এই অপারেশন একই ফলাফল বিতরণ করে। এডি মান দশমিক প্রতিনিধিত্ব পাশাপাশি এই অপারেশন ফলাফল 2 (বাইনারি 00000010), তাই আমরা জানি যে SYN সঙ্গে প্যাকেট জন্য নিম্নলিখিত সম্পর্ক সেট সত্য রাখা আবশ্যক:

((13 অক্টো্টের মান) এবং (2)) == (2)

এটি আমাদেরকে tcpdump ফিল্টার অভিব্যক্তিটি নির্দেশ করে

tcpdump -i xl0 'tcp [13] এবং 2 == 2'

লক্ষ্য করুন যে শেল থেকে AND ('&') বিশেষ অক্ষর লুকানোর জন্য আপনাকে এক্সপ্রেশনে একক কোট বা ব্যাকস্ল্যাশ ব্যবহার করা উচিত।

UDP প্যাকেটগুলি

UDP ফরম্যাট এই rwho প্যাকেট দ্বারা চিত্রিত করা হয়:

actinide.who> broadcast.who: udp 84

এটি বলছে যে পোর্টটি হোস্ট এডিনাইডে একটি উড ডাটাগ্রাম যা পোর্ট থেকে হোস্ট ব্রডকাস্টে পাঠায়, ইন্টারনেট ব্রডকাস্ট ঠিকানাটি। প্যাকেটটি ব্যবহারকারীর ডেটার 84 বাইটের মধ্যে রয়েছে।

কিছু UDP পরিষেবাগুলি স্বীকৃত (উত্স বা গন্তব্য পোর্ট সংখ্যা থেকে) এবং মুদ্রিত উচ্চ স্তরের প্রোটোকল তথ্য। বিশেষ করে, NFS- তে ডোমেন নাম পরিষেবা অনুরোধ (RFC-1034/1035) এবং সূর্য RPC কল (RFC-1050)।

UDP নাম সার্ভার অনুরোধ

(নোটঃ নিম্নলিখিত বর্ণনাটি RFC-1035-এ বর্ণিত ডোমেন পরিষেবা প্রোটোকলের সাথে পরিচয় করে থাকে। যদি আপনি প্রোটোকলের সাথে পরিচিত না হন তবে গ্রিক ভাষায় নিম্নলিখিত বর্ণ লেখা হবে।)

নাম সার্ভার অনুরোধ হিসাবে ফরম্যাট করা হয়

src> dst: id op? flips qtype qclass নাম (len) h2opolo.1538> হেলিওস.ডমেন: 3+ এ? ucbvax.berkeley.edu। (37)

Host h2opolo নামের একটি ঠিকানা রেকর্ড (qtype = A) নামের সাথে ucbvax.berkeley.edu নামের সাথে যুক্ত হ্যালোয়াসের ডোমেন সার্ভারটি জিজ্ঞাসা করেছে । ক্যোয়ারী আইডি ছিল `3 ' `+ ' পুনরাবৃত্তি ইঙ্গিত ফ্ল্যাগ সেট নির্দেশ করে। কোয়েরি দৈর্ঘ্য ছিল 37 বাইট, ইউডিপি এবং আইপি প্রোটোকল হেডার সহ নয়। ক্যোয়ারী অপারেশন স্বাভাবিক ছিল, প্রশ্ন , তাই অপ ক্ষেত্রটি বাদ দেওয়া হয়েছিল। যদি অপরটি অন্য কিছু হয়ে থাকে তবে এটি '3' এবং `+ 'এর মধ্যে মুদ্রিত হবে। একইভাবে, qclass স্বাভাবিক ছিল, C_IN , এবং বাদ দেওয়া। অন্য কোন qclass 'এ' পরে অবিলম্বে ছাপা হবে।

কয়েকটি ব্যতিক্রমগুলি পরীক্ষা করা হয় এবং এর ফলে স্কয়ার বন্ধনীগুলিতে আবদ্ধ অতিরিক্ত ক্ষেত্রগুলিতে ফলাফল হতে পারে: যদি একটি প্রশ্নের উত্তর থাকে, কর্তৃপক্ষ রেকর্ড বা অতিরিক্ত রেকর্ড বিভাগ, ancount , nscount , বা arcount `[ n ]] 'হিসাবে মুদ্রিত হয়,` [ n n ] 'বা `[ এন এউ]' যেখানে n হল যথাযথ গণনা। যদি কোনও প্রতিক্রিয়া বিটগুলি সেট করা হয় (এএ, আরএ বা কোড কোড) বা 'শূন্য' বিটগুলির কোনটি বাইটে দুই এবং তিনটি সেট করা হয়, `[বি ২ এবং 3 = x ] 'মুদ্রিত হয়, যেখানে x হল হেক্স মান হেডার বাইট দুটি এবং তিনটি

UDP নাম সার্ভার প্রতিক্রিয়া

নাম সার্ভার প্রতিক্রিয়া হিসাবে ফরম্যাট করা হয়

src> ডিস্ট: আইডিএপ রিকোড ফ্ল্যাগ এ / এন / এউ টাইপ ক্লাস ডেটা (লেন) হেলিওস.অ্যামোম্যান> হোলোওলো। 1538: 3 3/3/7 এ 128.3২.137.3 (২73) হেলিওস.ডমেন> হোলোওলো 155: ২ এনএক্স ডামাইন * 0/1/0 (97)

প্রথম উদাহরণে, হেলিয়াস 3 টি উত্তর রেকর্ড, 3 নাম সার্ভার রেকর্ড এবং 7 টি অতিরিক্ত রেকর্ড দিয়ে h2opolo থেকে ক্যোয়ারী আইডি 3 কে সাড়া দেয়। প্রথম উত্তর রেকর্ড টাইপ A (ঠিকানা) এবং এর ডাটা ইন্টারনেট ঠিকানা 128.32.137.3। প্রতিক্রিয়া মোট আকার 273 বাইট ছিল, UDP এবং আইপি হেডার ছাড়া। একটি রেকর্ডের ক্লাস (C_IN) হিসাবে, অপ (প্রশ্ন) এবং প্রতিক্রিয়া কোড (NoError) বাদ দেওয়া হয়েছিল।

দ্বিতীয় উদাহরণে, হেলিওস কোন প্রশ্নের সাথে অস্তিত্বহীন ডোমেন (এনএক্স ডোমাইন) এর একটি প্রতিক্রিয়া কোড, একটি নাম সার্ভার এবং কোন কর্তৃপক্ষের রেকর্ডের সাথে ক্যোয়ারী 2 তে সাড়া দেয় না। `* 'ইঙ্গিত দেয় যে, অনুমোদিত উত্তর বিটটি সেট করা হয়েছিল। কোন উত্তর ছিল না, যেহেতু কোন প্রকার, শ্রেণী বা তথ্য মুদ্রিত হয় নি।

প্রদর্শিত অন্যান্য পতাকা অক্ষর `- '(পুনরাবৃত্তি উপলব্ধ, আরএ, সেট নয় ) এবং` |' (ছিনতাই বার্তা, টিসি, সেট)। যদি `প্রশ্ন 'বিভাগে ঠিক এক এন্ট্রি না থাকে,` [ n q]' মুদ্রিত হয়।

উল্লেখ্য, সার্ভারের অনুরোধগুলি এবং প্রতিক্রিয়াগুলি বড় হতে থাকে এবং 68 বাইটের ডিফল্ট স্ন্যাপলন প্রিন্টের জন্য যথেষ্ট প্যাকেট ক্যাপচার করতে পারে না। নাম সার্ভার ট্র্যাফিকের গুরুতর তদন্তের প্রয়োজন হলে স্ন্যাপ্লেন বাড়ানোর জন্য -s পতাকা ব্যবহার করুন। ` গুলি 128 'আমার জন্য ভাল কাজ করেছে।

এসএমবি / সিআইএফএস ডিকোডিং

tcpdump এখন ইউডিপি / 137, ইউডিপি / 138 এবং টিসিপি / 139 এর তথ্যের জন্য মোটামুটি বিস্তৃত এসএমবি / সিআইএফএস / এনবিটি ডিকোডিং অন্তর্ভুক্ত করেছে। আইপিএক্স এবং নেটবইউ এসএমবি তথ্য কিছু আদিম ডিকোডিং করা হয়।

ডিফল্টভাবে একটি ন্যূনতম ডিকোড সম্পন্ন করা হয়, যদি আরও বেশি বিস্তারিত ডিকোড সম্পন্ন করা হয় তবে -v ব্যবহার করা হয়। সতর্ক থাকুন যে- একমাত্র SMB প্যাকেট সহ একটি পৃষ্ঠা বা আরো বেশি কিছু নিতে পারে, তাই শুধুমাত্র -v ব্যবহার করুন যদি আপনি সত্যিই সব ক্ষিপ্ত বিবরণ চান।

ইউনিকোড স্ট্রিং সহ SMB সেশনগুলি ডিকোডিং করলে আপনি পরিবেশ পরিবর্তনশীল USE_UNICODE থেকে 1 নির্ধারণ করতে পারেন। ইউনিকোড স্রোতগুলি স্বয়ংক্রিয়ভাবে সনাক্ত করার জন্য একটি প্যাচ স্বাগত জানানো হবে।

এসএমবি প্যাকেট ফর্ম্যাটের তথ্যের জন্য এবং আপনার প্রিয় samba.org মিরর সাইটের উপর www.shes.org অথবা pub / samba / specs / ডিরেক্টরিতে কি সব টি ক্ষেত্র মানে বোঝায়। এসএমবি প্যাচ অ্যান্ড্রু Tridgell (tridge@samba.org) দ্বারা লিখিত হয়েছে।

NFS অনুরোধ এবং উত্তর

সূর্য NFS (নেটওয়ার্ক ফাইল সিস্টেম) অনুরোধ এবং উত্তরগুলি মুদ্রিত হয়:

src.xid> dst.nfs: len op args src.nfs> dst.xid: উত্তরটি stat লেন অপশনের ফলাফল sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: উত্তরটি ঠিক আছে 40 readlink "../var" সুদর্শন201b> wrl.nfs: 144 লুকআপ FH 9,74 / 4096.6878 "xcolors" wrl.nfs> সুসী201b: উত্তরটি ঠিক আছে 1২8 দেখুন fh 9,74 / 4134.3150

প্রথম লাইনের মধ্যে, হোস্ট সুশি আইডি 6709-এর সাথে একটি লেনদেন প্রেরণ করে (উল্লেখ্য যে সোর্স হোস্টের পরের সংখ্যাটি একটি লেনদেন আইডি, উৎস পোর্ট নয়)। এই অনুরোধটি ছিল 112 বাইট, ইউডিপি এবং আইপি হেডার বাদে। অপারেশন ফাইল হ্যান্ডেল ( fh ) 21,24 / 10.731657119 এ রিডলিং (সিম্বলিক লিঙ্কটি পড়ে) ছিল। (যদি একজন ভাগ্যবান হয়, যেমন এই ক্ষেত্রে, ফাইল হ্যান্ডেলটি একটি প্রধান, ছোট ডিভাইসের নম্বর জোড়া হিসাবে ব্যাখ্যা করা যায়, তারপর ইনডোর সংখ্যা এবং প্রজন্মের সংখ্যাটি অনুসরণ করে।) Wrl reply 'লিঙ্ক' এর বিষয়বস্তু সঙ্গে 'ঠিক আছে'।

তৃতীয় লাইনটিতে, সুনির্দিষ্টভাবে নাম্বার ফাইল 9,74 / 4096.6878 নাম ' xcolors ' দেখার চেষ্টা করে। উল্লেখ্য যে মুদ্রিত তথ্য অপারেশন টাইপ উপর নির্ভর করে। একটি NFS প্রোটোকলের বৈশিষ্ট্যের সাথে পড়তে হলে বিন্যাসটি স্বয়ং ব্যাখ্যা করা হয়।

যদি -বি (verbose) পতাকা দেওয়া হয়, অতিরিক্ত তথ্য মুদ্রিত হয়। উদাহরণ স্বরূপ:

সুবিশাল 133২২71> wrl.nfs: 148 এফএইচ 21,11 / 1২.195 819২ বাইট @ 24576 wrl.nfs> সুশি.1372: উত্তরটি ঠিক আছে 1472 REG 100664 আইডি 417/0২২ ২২9২8 পড়ুন

(-আই এছাড়াও আইপি হেডার টিটিএল, আইডি, দৈর্ঘ্য এবং ফ্র্যাগমেন্টেশন ফিল্ডগুলি প্রিন্ট করে, যা এই উদাহরণ থেকে বাদ দেওয়া হয়েছে।) প্রথম লাইনের মধ্যে, সুয়েশকে ২1,11 / 1২.195 ফাইল থেকে 819২ বাইট পড়তে অনুরোধ করে, বাইট অফসেটে 24576. Wrl উত্তরগুলি 'ঠিক আছে'; দ্বিতীয় লাইনে দেখানো প্যাকেট হল উত্তরটির প্রথম অংশ, এবং তাই শুধুমাত্র 147২ বাইট দীর্ঘ (অন্যান্য বাইট পরবর্তী অংশে অনুসরণ করবে, কিন্তু এই টুকরাগুলির NFS বা UDP হেডার নেই এবং তাই মুদ্রণ করা যাবে না, ব্যবহৃত ফিল্টার অভিব্যক্তি উপর নির্ভর করে)। যেহেতু -ভি ফ্ল্যাগ দেওয়া হয় তবে কিছু ফাইল অ্যাট্রিবিউট (যা ফাইলের ডাটা ছাড়াও ফেরত পাঠানো হয়) মুদ্রিত হয়: ফাইল টাইপ (`` REG '', নিয়মিত ফাইলের জন্য), ফাইল মোড (অকটালে) uid এবং gid, এবং ফাইলের আকার।

যদি -ভি ফ্ল্যাগ একাধিকবার দেওয়া হয় তবে আরও বিস্তারিত মুদ্রণ করা হয়।

উল্লেখ্য, NFS অনুরোধগুলি খুব বড় এবং স্ন্যাপলনের বৃদ্ধি না হওয়া পর্যন্ত বিস্তারিত অনেকগুলি প্রিন্ট হবে না। NFS ট্র্যাফিক দেখার জন্য ` -19২ 'ব্যবহার করে দেখুন।

NFS উত্তর প্যাকেট স্পষ্টভাবে RPC অপারেশন সনাক্ত না। পরিবর্তে, tcpdump `` সাম্প্রতিক '' অনুরোধের নজর রাখে এবং লেনদেনের আইডি ব্যবহার করে উত্তরগুলিতে তাদের সাথে মিলিত হয়। যদি উত্তরটি সংশ্লিষ্ট অনুরোধের সাথে ঘনিষ্ঠভাবে অনুসরণ না করে, তবে এটি হয়তো পড়তে পারে না।

AFS অনুরোধ এবং উত্তর

ট্রান্সাকার এএফএস (অ্যান্ড্রু ফাইল সিস্টেম) অনুরোধ এবং উত্তরগুলি মুদ্রিত হয়:

src.sport> dst.dport: rx প্যাকেট-টাইপ src.sport> dst.dport: rx প্যাকেট-টাইপ সেবা কল কল-নাম আর্গুম src.sport> dst.dport: rx প্যাকেট-টাইপ সেবা উত্তর কল-নাম args elvis। 7001> pike.afsfs: rx তথ্য fs কল পুরানো ফিড 536876964/1/1 "নামক নাম্বার। নিউজের" নতুন ফিড 536876964/1/1 ".newsrc" pike.afsfs> এলিভিস .7001: RX তথ্য fs উত্তর পুনঃনামকরণ

প্রথম লাইনের মধ্যে, হোস্ট এলভিস পিকের একটি RX প্যাকেট পাঠায়। এটি একটি FX (ফাইলসার্ভার) পরিষেবাতে RX ডেটা প্যাকেট ছিল, এবং এটি একটি RPC কল শুরু। RPC কল 536876964/1/1 এর পুরাতন ডিরেক্টরি ফাইল আইডি এবং `.newsrc.new 'এর পুরোনো ফাইলের নাম এবং 536876964/1/1 এর একটি নতুন ডাইরেক্টরি ফাইল আইডি এবং` `এর একটি নতুন ফাইলের নাম। newsrc '। হোস্ট পিক নামক কলটিতে একটি RPC উত্তর দিয়ে সাড়া দেয় (যা সফল ছিল, কারণ এটি একটি ডেটা প্যাকেট এবং একটি আবর্জনা প্যাক্ট নয়)।

সাধারণভাবে, সমস্ত AFS RPCs অন্তত RPC কল নাম দ্বারা decoded হয়। বেশিরভাগ AFS RPCs অন্তত কিছু আর্গুমেন্ট ডিকোডেড আছে (সাধারণত শুধুমাত্র 'আকর্ষণীয়' আর্গুমেন্ট, আকর্ষণীয় কিছু সংজ্ঞা জন্য)।

বিন্যাসটি স্বয়ং-বর্ণনা করা হয়, কিন্তু এটি এমন ব্যক্তিদের জন্য উপযোগী হবে না যারা AFS এবং RX এর কাজের সাথে পরিচিত নয়।

যদি -বি (verbose) পতাকাটি দুবার দেওয়া হয়, স্বীকারপত্র প্যাকেটগুলি এবং অতিরিক্ত শিরোলেখ তথ্য মুদ্রিত হয়, যেমন RX কল আইডি, কল নম্বর, ক্রম সংখ্যা, সিরিয়াল নম্বর, এবং RX প্যাকেট পতাকা।

যদি-ভি পতাকা দুবার দেওয়া হয়, অতিরিক্ত তথ্য মুদ্রিত হয়, যেমন RX কল আইডি, সিরিয়াল নম্বর, এবং RX প্যাকেট পতাকা। এমটিউউ এর সাথে যোগাযোগের তথ্যটিও RX ack প্যাকেটগুলি থেকে মুদ্রিত হয়।

যদি -বিভ পতাকাটি তিনবার দেওয়া হয় তবে নিরাপত্তা সূচক এবং পরিষেবা আইডি মুদ্রিত হয়।

Ubik beacon প্যাকেটগুলি বাদ দিয়ে ত্রুটি কোডের জন্য ত্রুটি কোডগুলি মুদ্রিত হয় (কারণ অবরুদ্ধ প্যাকেটটি Ubik প্রোটোকলের জন্য একটি হ্যাঁ ভোট বোঝাতে ব্যবহৃত হয়)।

উল্লেখ্য, AFS অনুরোধগুলি খুব বড় এবং স্ন্যাপল্যান বৃদ্ধি না হওয়া পর্যন্ত অনেকগুলি আর্গুমেন্ট মুদ্রিত হবে না। এএফএস ট্র্যাফিক দেখার জন্য ` ২50-এর ব্যবহার করে দেখুন।

AFS উত্তর প্যাকেট স্পষ্টভাবে RPC অপারেশন সনাক্ত না। পরিবর্তে, tcpdump `` সাম্প্রতিক '' অনুরোধের নজর রাখে, এবং কল নম্বর এবং পরিষেবা আইডি ব্যবহার করে উত্তরগুলিতে তাদের সাথে মিলিত হয়। যদি উত্তরটি সংশ্লিষ্ট অনুরোধের সাথে ঘনিষ্ঠভাবে অনুসরণ না করে, তবে এটি হয়তো পড়তে পারে না।

কেপ অ্যাপলেটট (ডিডিডি ইউডিপি)

ডিপি প্যাকেটগুলি (অর্থাৎ, সমস্ত UDP শিরোলেখ তথ্য বাতিল করা হয়) UDP ডাটাগ্রাফারগুলির মধ্যে encapsulated হয় Appletalk DDP প্যাকেটগুলি ডি-এনক্যাপসুলেটেড এবং ডাম্প করা হয় ফাইল /etc/atalk.names নামটি থেকে অ্যাপলেটটেক নেট এবং নোড সংখ্যা অনুবাদ করতে ব্যবহৃত হয়। এই ফাইলের লাইন ফর্ম আছে

সংখ্যা নাম 1.254 ইথার 16.1 icsd- নেট 1.254.110 খ

প্রথম দুই লাইন অ্যাপটলেট নেটওয়ার্কে নাম দেয়। তৃতীয় লাইনটি একটি নির্দিষ্ট হোস্টের নাম দেয় (একটি হোস্টটি 3 য় অক্টেট দ্বারা নম্বর থেকে আলাদা করা হয় - একটি নেট নম্বরের দুটি অক্টেট থাকতে হবে এবং একটি হোস্টের সংখ্যাটিতে তিনটি অক্টেট থাকতে হবে ।) সংখ্যা এবং নাম পৃথক করা উচিত সাদা প্লেস দ্বারা (খালি বা ট্যাব) /etc/atalk.names ফাইলটিতে ফাঁকা রেখা বা মন্তব্য লাইন থাকতে পারে (একটি `# 'দিয়ে শুরু লাইন)।

অ্যাপলেট্টের ঠিকানায় প্রিন্ট করা হয়:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(যদি /etc/atalk.names বিদ্যমান না থাকে বা কিছু অ্যাপলেটট হোস্ট / নেট নম্বরের জন্য কোনও এন্ট্রি থাকে না, তবে সংখ্যাগুলি সাংখ্যিক আকারে মুদ্রিত হয়।) প্রথম উদাহরণে, NBP (DDP port 2) net 144.1 তে নোড 209 নেট icsd নোড 112 এর পোর্ট 220 এর কথা শুনলে যা যাচ্ছিল তা পাঠানো হচ্ছে। দ্বিতীয় লাইন হল সোর্স নোডের সম্পূর্ণ নাম ('অফিস') ছাড়াও। তৃতীয় লাইনটি নেট জসএমগ নোড 149-এ পোর্ট 235 থেকে পাঠানো হয় icsd-net NBP পোর্টে (সম্প্রচারের ঠিকানাটি (255)) কোন হোস্ট নম্বরের সাথে নেট নাম দ্বারা চিহ্নিত করা হয় - এই কারণে এটি একটি ভাল ধারণা নোড নাম এবং /etc/atalk.names মধ্যে স্বতন্ত্র নামগুলি রাখা)।

এনবিপি (নাম বাইন্ডিং প্রোটোকল) এবং এ.পি. (অ্যাপলটেক ট্র্যাক্ট্রেশন প্রোটোকল) প্যাকেটগুলি তাদের বিষয়বস্তু ব্যাখ্যা করেছে। অন্যান্য প্রোটোকল শুধু প্রোটোকলের নাম ডাম্প (বা সংখ্যা যদি প্রোটোকলের জন্য কোনো নাম নিবন্ধিত হয় না) এবং প্যাকেট আকার।

NBP প্যাকেটগুলি নিম্নলিখিত উদাহরণগুলির মত ফরম্যাট করা হয়:

icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: লেজারের ওয়ার্ডপ্রেস @ *" jssmag.209.2> icsd-net.112.220: এনবিপি-উত্তর 1 9 0: "আরএম 1140: লেজারের লেখক @ *" 250 techpit.2> icsd -নেট.112২২0: এনবিপি-উত্তর 190: "টেকপাইট: লেজার ওয়ারিটার @ *" 186

প্রথম লাইন হচ্ছে নেট icsd হোস্ট 112 দ্বারা প্রেরিত লেজারপ্রোগ্রামের জন্য একটি নাম সন্ধানের অনুরোধ এবং নেট jssmag এ সম্প্রচার করা। সন্ধানের জন্য এনবিপি আইডিটি হল 190. দ্বিতীয় লাইন এই অনুরোধের জন্য একটি জবাব দেখায় (উল্লেখ্য যে এটির একই আইডি আছে) হোস্ট থেকে jssmag.209 বলছে যে এটির একটি "লেজ রাইটার" নামক "RM1140" পোর্ট 250 নিবন্ধিত হয়েছে। তৃতীয় লাইন একই অনুরোধ আরেকটি উত্তর হোস্ট techpit পোর্ট 186 নেভিগেশন নিবন্ধিত লেজারপ্রাইট "techpit" আছে বলে।

ATP প্যাকেট বিন্যাস নিম্নলিখিত উদাহরণ দ্বারা প্রদর্শিত হয়:

jssmag.209.165> হেলিওস .132: এপি-রেক 1২২66 <0-7> 0xae030001 হেলিওস .132> জসম্যাগ ২.09.165: এপিপি-রেভ 1২২66: 0 (512) 0xae040000 হেলিওস .132> জ্যাসম্যাগ ২09.165: এপিপি-রেপ 1২২66: 1 (512) 0xae040000 হেলিওস .132> jssmag.209.165: এপিপি-রেভ 1২২66: ২ (512) 0xae040000 হেলিওস .132> জেসম্যাগ ২.09.165: এপিপি-রেভ 1২২66: 3 (512) 0xae040000 হেলিওস .132> জ্যাসম্যাগ ২09.165: এপিপি- resp 12266: 4 (512) 0xae040000 হ্যালোয়োস.132> জসম্যাগ ২.09.165: এপিপি-রেভ 1২২66: 5 (512) 0xae040000 হেলিওস .132> জ্যাসম্যাগ ২09.165: এপিপি-রেপ 1২২66: 6 (512) 0xae040000 হেলিওস .132> জসএমগ। 209.165: এপিপি-রেপ * 12২66: 7 (512) 0xae040000 jssmag.209.165> হেলিওস .132: এপিপি-রেক 1২২66 <3,5> 0xae030001 হেলিওস .132> জসএমগ ২.09.165: এপিপি-রেপ 1২২66: 3 (512) 0xae040000 হেলিওস .132> jssmag.209.165: এপিপি-রেপ 1২২66: 5 (512) 0xae040000 jssmag.209.165> হেলিওস .132: এপিপি-রেটিস 12২66 <0-7> 0xae030001 jssmag.209.133> হেলিওস .132: এপিপি-রেক * 12267 <0 -7> 0xae030002

Jssmag.209 8 পকেট (`<0-7> ') পর্যন্ত অনুরোধ দ্বারা হোস্ট হেলিয়াসের সাথে লেনদেন আইডি 12266 শুরু করে। লাইনের শেষে হেক্স নম্বর হল অনুরোধে 'ইউজারডাটা' ক্ষেত্রের মান।

হিলিওস 8 5২২ বাইট প্যাকেটগুলির সাথে প্রতিক্রিয়া জানিয়েছেন। লেনদেনের মধ্যে লেনদেনের মধ্যে প্যাকেট ক্রম সংখ্যাটি প্রদত্ত লেনদেনের পরে `: ডিজিট 'এবং এন্ট্রি হেডারের বাদে প্যাটারের ডাটাটি কমাতে সংখ্যা। প্যাকেট 7 এ `* 'ই-কম বিটটি সেট করা নির্দেশ করে।

Jssmag.209 তারপর অনুরোধ যে প্যাকেট 3 এবং 5 retransmitted করা হবে। হেলিওস তাদের তারপর jssmag.209 লেনদেন রিলিজ। অবশেষে, jssmag.209 পরবর্তী অনুরোধ শুরু করে অনুরোধে '*' ইঙ্গিত করে যে XO (`ঠিক একবার ') সেট করা হয়নি ।

আইপি ফ্র্যাগমেন্টেশন

ফ্র্যাগমেন্টেড ইন্টারনেট ডটগ্রামগুলি মুদ্রণ করা হয়

(frag id : size @ offset +) (frag id : size @ offset )

(প্রথম ফর্মটি ইঙ্গিত দেয় যে, আরও টুকরা আছে। দ্বিতীয়টি ইঙ্গিত দেয় যে এই শেষ অংশটি।

আইডি হল টুকরা আইডি সাইজ হল আইপি হেডার ছাড়া বাদামের আকার (বাইটে)। এই খণ্ডের অফসেট (বাইটে) মূল ডাটাগ্রামের অফসেট।

টুকরা তথ্য প্রতিটি টুকরা জন্য আউটপুট হয়। প্রথম টুকরাটি উচ্চ স্তরের প্রোটোকল হেডার ধারণ করে এবং প্রোটোকলের তথ্যটি পরেও frag info থাকে। প্রথমে কোনও উচ্চ স্তরের প্রোটোকল শিরোলেখের পর ফ্র্যাগমেন্টগুলি এবং উৎস এবং গন্তব্য ঠিকানাগুলির পরে frag তথ্য প্রকাশ করা হয়। উদাহরণস্বরূপ, এখানে একটি CSNET সংযোগের উপর arizona.edu থেকে lbl- rtsg.arpa থেকে একটি ftp অংশ যা 576 বাইট তথ্যচিত্র পরিচালনা করতে দেখা যায় না:

অ্যারিজোনা.ফটিপি-ডেটা> rtsg.1170:। 1024: 1332 (308) ack 1 win 4096 (frag 595a: 328 @ 0 +) অ্যারিজোনা> rtsg: (frag 595a: 204 @ 328) rtsg.1170> অরিজিনা.ফটিপি-তথ্য:। আচ 1536 জয় 2560

এখানে উল্লেখ্য কিছু জিনিস আছে: প্রথমত, দ্বিতীয় লাইনের ঠিকানাগুলি পোর্ট সংখ্যা অন্তর্ভুক্ত না। এই কারণে যে টিসিপি প্রোটোকল তথ্য প্রথম অংশে রয়েছে এবং যখন আমরা পরের টুকরাগুলি মুদ্রণ করি তখন পোর্ট বা ক্রম সংখ্যার কোন ধারণা নেই। দ্বিতীয়ত, প্রথম লাইনের টিসিপি অনুক্রম তথ্য প্রকাশ করা হয় যেমন ব্যবহারকারীর 308 বাইট রয়েছে, যখন প্রকৃতপক্ষে, 512 বাইট রয়েছে (প্রথম ভঙ্গে 308 এবং দ্বিতীয়টিতে ২04)। আপনি ক্রম স্পেসে গর্ত খুঁজছেন বা প্যাকেটগুলি সঙ্গে Acks আপ করার চেষ্টা করছেন, এই আপনি বোকা পারেন

আইপি সহ একটি প্যাকেট টুকরো টুকরো টুকরো (DF) দ্বারা চিহ্নিত হয় না ।

টাইমস্ট্যাম্প

ডিফল্টরূপে, সব আউটপুট লাইন একটি টাইমস্ট্যাম্প দ্বারা পূর্বে হয়। টাইমস্ট্যাম্প হচ্ছে ফর্মের বর্তমান ঘড়ি টাইম

HH: MM: ss.frac

এবং কার্নেল ঘড়ি হিসাবে হিসাবে সঠিক। সময়সীমার সময়টি কার্নেলের প্রথম প্যাক্টটি দেখায়। ইথারনেট ইন্টারফেসটি যখন তারের থেকে প্যাকেটটি সরানো হয় এবং যখন কার্নেলটি 'নতুন প্যাকেট' বিঘ্নিত হয় তখন সময়সীমার জন্য অ্যাকাউন্টে কোনও প্রচেষ্টা করা হয় না।

আরো দেখুন

ট্র্যাফিক (1 সি), নাইট (4 পি), বি পিএফ (4), পিপিপি (3)

গুরুত্বপূর্ণ: আপনার কমান্ডটি নির্দিষ্ট কম্পিউটারে কিভাবে ব্যবহার করা হয় তা দেখতে ম্যান কমান্ড ( % man ) ব্যবহার করুন।