tcpdump的 - 转储网络流量

1、TCPDUMP部分：用户命令（1）更新日期：2015年9月17日指数返回主目录名称tcpdump的 - 转储网络流量概要tcpdump的-AbdDefhHIJKlLnNOpqStuUvxX -BBUFFER_SIZE -c计数 -CFILE_SIZE -Grotate_seconds -F文件 -i接口 -jtstamp_type -m模块 -M的秘密 -number -Q在|出| INOUT -r文件 -V文件 -ssnaplen有 -T型 -w文件 -Wfilecount -ESPI IPADDR算法中：秘密，. -ydatalinktype -Zpostrotate命令 -Z用户 -ti

2、me戳精=tstamp_precision -immediate模式 -version 表情描述tcpdump的打印出符合布尔一个网络接口的数据包的内容的描述表达;说明通过时间戳之前，打印，在默认情况下，时，分，秒，秒的分数从午夜开始。它也可以与运行-w标志，这导致它的数据包数据保存到供以后分析文件，及/或与-r标志，这导致它从已保存的数据包文件读取，而不是读分组从一个网络接口。它也可以与运行-V标志，这将导致其读取的保存分组文件列表。在所有的情况下，只有包相匹配的表达会被处理tcpdump的。TCPDUMP会，如果不与运行-c标志，继续捕获数据包，直到它被一个SIGINT信号中断（生成，例如

3、，通过键入您的中断字符，通常控制-C）或SIGTERM信号（通常与产生杀（1）命令）;如果与运行-c标志，直到它被一个SIGINT或SIGTERM信号中断或指定的数据包数量已处理完毕，就会捕获数据包。当tcpdump的完捕获数据包，它会报告的罪状：分组捕获（这是数据包的数量的tcpdump已收到并处理）;包通过过滤器接受（这是什么意思取决于你正在运行的操作系统tcpdump的，并可能对操作系统进行配置的方式-如果在命令行上指定一个过滤器，在一些操作系统它计数包不管他们被过滤表达式和匹配，即使他们被过滤表达式，匹配无论tcpdump的已经阅读并处理它们呢，其他操作系统它只计算被过滤表达式不管匹配

4、的数据包是否tcpdump的已经阅读并处理它们呢，和其他操作系统就只计算被筛选表达式匹配，采用了处理数据包tcpdump的）;分组由内核（这是已放弃的，由于缺乏的缓冲空间，通过在其上的OS的包捕获机制的包的数量下降tcpdump的运行过程中，如果在OS报告该信息的应用程序;如果没有，它将被报告为0）。在支持SIGINFO信号平台，如大多数BSD系统（包括Mac OS X）和数字/ Tru64 UNIX的，当它收到一个SIGINFO信号（生成，例如，通过键入你的身份字符会报告这些罪名，一般控制-T，虽然在某些平台上，如Mac OS X中，状态字符不是默认设置，所以你必须设置的stty（1）为了使

5、用它），并会继续拍摄数据包。在不支持SIGINFO信号平台，同样可以通过使用SIGUSR1信号来实现。从网络接口读取数据包可能会要求你有特殊的权限;看到PCAP（3PCAP）男子详细信息页面。读取保存的数据包文件不需要特殊权限。OPTIONS-一个打印的ASCII每一个包（减去其链接级别标题）。方便的捕捉网页。-b打印在ASDOT符号，而不是ASPLAIN符号BGP报文的AS号。-BBUFFER_SIZE-buffer大小=BUFFER_SIZE将操作系统捕获缓冲区大小为BUFFER_SIZE，在昆明植物研究所（1024字节）为单位。-c计数接收后退出数量的数据包。-CFILE_SIZE写一个

6、原始数据包到了saveFile之前，检查文件是否是目前大于FILE_SIZE，如果是这样，关闭当前saveFile的，并打开一个新的。第一saveFile的后Savefiles将与指定的名称-w后旗，有一个数字，从1开始，持续向上。的单位FILE_SIZE几百万字节（1,000,000字节，而不是1,048,576字节）。-d转储在人类可读的形式输出到标准输出并停止编译包匹配代码。-dd转储包匹配代码作为程序片段。滴滴滴转储包匹配代码为十进制数字（前面有一个数）。-D-list接口打印系统上可用的网络接口的列表，并在其上的tcpdump可以捕获数据包。对于每一个网络接口，一个数字和接口名称，可

7、能紧跟在接口的文字说明，打印。接口名称或数量可以供给到-i标志来指定在其上捕获的接口。这可以在没有一个命令可以列出它们（例如，Windows系统，或缺乏UNIX系统系统是有用的ifconfig -a）;数可以在Windows 2000和更高版本的系统，其中接口名称是有些复杂的字符串是有用的。该-D如果标志将不被支持的tcpdump与旧版本的内置的libpcap是缺少函数pcap_findalldevs（）函数。-e打印在每一转储行链路层头。这可以用来，例如，要打印MAC层地址协议，诸如以太网和IEEE 802.11。-E使用SPI IPADDR算法中：秘密的解密是针对ESP的IPsec数据包地

8、址，并包含安全参数索引值SPI。这种组合可能会与逗号或换行分隔重复。请注意，设置对IPv4 ESP数据包的秘密就是在这个时候支持。算法可能是DES-CBC，3DES-CBC，河豚-CBC，RC3-CBC，CAST128-CBC，或没有。默认值是DES-CBC。如果解密数据包的能力，是目前唯一的tcpdump与启用密码编译。秘密是ESP密钥的ASCII文本。如果0x开头，那么一个十六进制值将被读取。该选项假设RFC2406 ESP，不RFC1827 ESP。该选项仅用于调试目的，以及使用此选项与真正的秘密的关键是气馁。通过展示IPsec的密钥到命令行，你让其他人看到，通过PS（1）等场合。除了

9、上述的语法，语法文件名可以用于具有tcpdump的读取在所提供的文件中。在接收到第一ESP分组中的文件被打开，因此，任何特殊权限可能已被赋予的tcpdump应该已经放弃。-F打印国外“IPv4地址以数字而非符号（此选项是为了让Sun的NIS服务器周围严重脑损伤-通常它挂起永远转换非本地网络的数字）。对于国外IPv4地址的测试是使用在其上完成捕获的接口的IPv4地址和子网掩码进行。如果该地址或子网掩码不可用，购，或者是因为在其上完成捕获的接口没有地址或子网掩码，或因为捕获正在在Linux“任何”接口，它可以在一个以上的界面捕捉完成，此选项将无法正常工作。-F文件使用文件作为过滤表达式的输入。在命

10、令行上给予额外的表达被忽略。-Grotate_seconds如果指定，旋转与指定转储文件-w每个选项rotate_seconds秒。Savefiles将具有由指定的名称-w应包括通过如所限定的时间格式的strftime（3）。如果没有指定时间格式，每一个新的文件将覆盖以前的。如果与配合使用-C选项，文件名 会采取形式的文件。-H- 帮帮我打印tcpdump和libpcap的版本字符串，打印用法消息，并退出。- 版打印tcpdump和libpcap的版本字符串，然后退出。-H尝试检测的802.11s网状草案头。-i接口-interface =接口监听接口。如果未指定，tcpdump的搜索系统接口

11、列表中最低编号，配置了接口（不包括环回），这可能变成是，例如，eth0的。在具有2.2或更高版本的内核中，Linux系统接口的参数任何可以用来捕获来自所有接口的数据包。请注意，任何设备上捕获不会混杂模式来完成。如果-D标志被支持，因为通过打印该标志的接口数量可以作为接口参数。-一世-monitor模式把界面“监控模式”;这只是对IEEE 802.11 Wi-Fi接口支持，并且仅在某些操作系统支持。请注意，在监视模式适配器可能会从与它的关联，这样你就不能使用任何无线网络与适配器的网络撇清。这可能会阻止访问网络服务器上的文件，或解析主机名或网络地址，如果在监控模式捕获和未连接到与另一个适配器的另一

12、个网络。此标志将影响输出-L标志。如果-I没有指定，在不监视模式中只提供那些链路层类型;如果-I指定，当可在监视模式下只有那些链路层类型将被显示。-immediate模式捕捉“即时模式”。在这种模式下，报文被传递到尽快和tcpdump，他们到达，而不是被缓冲以供效率。这是默认的打印包时，而不是保存数据包发送到saveFile的如果数据包被打印到终端，而不是一个文件或管道。-jtstamp_type-time戳型=tstamp_type设定时间戳类型为捕获到tstamp_type。名称用于邮票类型在给定的时间PCAP-TSTAMP（7）;未列出的所有类型的必然是用于在任何给定的接口。-J-lis

13、t-时间戳类型列出了支持时间戳类型的接口，并退出。如果时间戳类型不能为接口进行设置，没有时间标记类型被列出。-time戳精=tstamp_precision采集时，为捕获设置了时间戳精度tstamp_precision。注意高精度时间戳（纳秒）和他们的实际精度是平台和硬件相关的的可用性。还注意到，书写用纳秒精度作出一个saveFile的捕获时，将时间标记被写入纳秒的分辨率，并且该文件被写入具有不同的幻数，以指示该时间标记是在秒和纳秒;不就是看PCAP savefiles所有程序将能够读取这些捕获。当阅读了saveFile，转换时间戳由指定的精度timestamp_precision，并与该决议

14、显示它们。如果指定了精度小于时间戳的文件中的精度，转换将失去精度。有关支持的值timestamp_precision是微观的微秒分辨率和纳米为十亿分之一秒的分辨率。默认值是微秒级分辨率。-K-dont - 验证 - 校验不要试图验证IP，TCP，UDP或校验。这是为执行某些或全部在硬件那些校验和计算的接口有用否则，所有传出的TCP校验和将被标记为坏。-l使缓冲标准输出线。有用的，如果你想看到的数据，同时捕捉它。例如，和tcpdump -l | 三通DAT要么tcpdump的-l DAT和尾-f DAT需要注意的是在Windows上，行缓冲的意思无缓冲，因此，如果将WinDump的单独写每个字符

15、-l指定。-U类似于-l在它的行为，但是它会造成输出是包缓冲，使得输出被写入在每个数据包的末尾，而不是在每一行的末尾到stdout;这是缓冲所有平台，包括Windows。-L-list数据链路类型列出已知的数据链路类型的接口，在该模式，并退出。已知数据链路类型的列表可取决于指定的模式;例如，在某些平台上，一个Wi-Fi接口可支持一组数据链接类型时不监控模式（例如，它可能只支持伪造的以太头，或可能支持802.11头，但不支持802.11头与无线电信息）及另一组数据链路类型时在监控模式（例如，它可能支持802.11报头，或802.11报头与无线电信息，仅在监控模式）。-m模块从文件加载SMI MI

16、B模块定义模块。此选项可用于数倍至数MIB模块装入tcpdump的。-M的秘密使用秘密作为验证的TCP段发现与TCP-MD5选项（RFC 2385）的摘要，如果存在一个共享的秘密。-n不要地址（即主机地址，端口号等）转换为名称。-N不打印主机名的域名资格。例如，如果你给这个标志，然后tcpdump的将打印网卡，而不是。- - 数在该行的开头打印的可选包号。-O-no-优化不要运行包匹配代码优化。只有当你在怀疑优化的一个错误，这非常有用。-p-no混杂模式不要将接口设置为混杂模式。注意，该界面可能是在某些其他原因混杂模式;因此，-p不能用作醚主机本地-HW-addr指定或醚

17、广播的缩写“。-Q方向-direction =方向选择发送/接收方向的方向对哪些数据包应该被捕获。可能的值是在，出和INOUT“。并非适用于所有平台。-q快速（安静？）输出。打印较少的协议信息，所以输出行较短。-r文件读取数据包文件（这是与创建-w选项或通过写PCAP或PCAP-ng的文件以外的工具）。如果使用标准输入文件 -就是。-S-absolute-TCP序列号码打印绝对的，而不是相对的，TCP序列号。-ssnaplen有-snapshot长度=snaplen有SNARFsnaplen有从每一个数据包，而不是262144字节的缺省数据的字节。包截断，因为在有限的快照以的输出被表示|原，其

18、中原是在已经发生截断协议级的名称。需要注意的是服用更大快照二者增加花费的时间来处理数据包和，有效，减少数据包缓冲的量的量。这可能会导致数据包丢失。您应该限制snaplen有来，将捕获你感兴趣的协议信息的最小数量。设置snaplen有0套它的262144在默认情况下，为了向下兼容最近老版本的tcpdump的。-T型按“选择的力量包表情”来解释指定的类型。目前已知的类型有AODV（特设按需距离矢量协议），鲤鱼（通用地址冗余协议），cnfp（思科NetFlow的协议），LMP（链路管理协议），PGM（实际通用多播），pgm_zmtp1（ZMTP / 1.0 PGM / EPGM），里面RESP（Re

19、dis的序列化协议），半径（RADIUS），RPC（远程过程调用），RTP（实时应用协议），RTCP（实时应用控制协议），SNMP（简单网络管理协议），TFTP（简单文件传输协议），增值税（可视音频工具），WB（分布式白板），zmtp1（ZeroMQ消息传输协议1.0）和VXLAN（虚拟可扩展局域网）。请注意，PGM上述类型会影响UDP解释只，本地PGM总是被认为是IP协议113不管。UDP封装铂族金属通常被称为“EPGM”或“PGM / UDP”。请注意，pgm_zmtp1键入上述立刻会影响本地PGM和UDP的解释。在原生的PGM一个ODATA的应用数据进行解码/ RDATA分组将被解码为一

20、个ZeroMQ数据报ZMTP / 1.0帧。期间除了任何UDP数据包的UDP解码将被视为一个封装的数据包PGM。-t不要打印在每一转储行的时间戳。-tt打印时间戳，为自秒1970年1月1日00:00:00，UTC，和第二的分数，因为那个时候，在每一转储行。-ttt在每一转储行打印当前和以前线之间的增量（微秒的分辨率）。-tttt打印时间戳，时，分，秒和午夜以来秒的小数部分，由之前的日期，在每一转储行。-ttttt在每一转储行打印当前和第一行之间的增量（微秒的分辨率）。-u打印未解码处理NFS。-U-packet缓冲如果-w没有指定选项，使打印输出数据包包缓冲;即，作为被打印的各数据包的内容的说

21、明中，将被写入到标准输出，而不是当未写入终端，只有当输出缓冲器填充被写入。如果-w指定选项，使保存的原始数据包输出包缓冲;即，因为每个分组被保存，它会被写入输出文件，而不是仅当输出缓冲器填充被写入。该-U如果标志将不被支持的tcpdump与旧版本的内置的libpcap是缺乏pcap_dump_flush（）函数。-v当解析和打印，生产（略）详细的输出。例如，生存时间，识别，总长度和选项中的一个IP包被打印。也使额外的数据包完整性检查，如验证IP和ICMP报头校验和。当写在文件-w选项，报告显示，每10秒，数据包的数量抓获。-vv更详细的输出。例如，附加字段从NFS应答报文印，和SMB数据包完全

22、解码。-vvv更详细的输出。例如，TELNETSB.SE的选项都印全面。随着-X的Telnet选项以十六进制为好。-V文件读取的文件名 列表的文件。如果使用标准输入文件 -就是。-w文件写的原始数据包的文件，而不是分析和打印出来。他们以后可以印有-r选项。如果使用标准输出文件 -就是。如果写入到文件或管道，该输出将被缓冲，所以它们被接收后一程序从文件或管道读取可能看不到包的时间的任意量。使用-U标志会导致数据包被，尽快为他们收到写的。MIME类型应用程序/ vnd.tcpdump.pcap已注册为IANAPCAP文件。文件扩展名.pcap是最常用兼用出现.CAP和的.dmp。tcpdump的本

23、身读取捕捉文件时不检查的延伸和不加写他们当分机（它使用幻数在文件中而不是标头）。然而，许多操作系统和应用程序将使用扩展，如果它是存在和添加一个（例如.pcap）被推荐。见PCAP-saveFile的为文件格式的描述（5）。-W使用与结合-C选项，这将限制创建到指定数目的文件的数量，并开始从开始覆盖文件，这样就产生了“旋转”缓冲区。此外，它会命名具有足够领先0的文件来支持文件的最大数量，允许它们正确排序。使用与配合-G选项，这将限制那获得创建旋转转储文件，达到限制时，状态0退出的数量。如果与所用-C以及，该行为将导致每个时间片周期性文件。-X当解析和打印，除了打印每个分组的报头，以十六进制打印每

24、个分组（减去其链路层报头）的数据。整个分组或较小的Snaplen字节将被打印。注意，这是整个链路层分组，所以为链路层即垫（例如以太网），填充字节也将在上层分组是比所需填充短打印。-xx当解析和打印，除了打印每个分组的报头，打印每个数据包的数据，其中包括它的链路层报头，以十六进制。-X当解析和打印，除了打印每个分组的报头，以十六进制和ASCII打印每个分组（减去其链路层报头）的数据。这是分析新协议非常方便。-XX当解析和打印，除了打印每个分组的报头，打印每个数据包的数据，其中包括它的链路层报头，以十六进制和ASCII。-ydatalinktype-linktype =datalinktype设置

25、数据链路类型，而捕获数据包使用datalinktype。-zpostrotate命令使用与配合-C或-G选项，这将使tcpdump的运行“postrotate命令文件”，其中的文件是每次旋转后被关闭saveFile的。例如，指定-z gzip的或-z的bzip2将压缩每个saveFile的使用gzip或bzip2的。注意，tcpdump的将并行运行命令到捕获，使用最低的优先级，使得这不干扰捕获过程。而如果你想使用本身需要标志或不同参数的命令，你可以写一个shell脚本，将采取saveFile的名字作为唯一的参数，使标志与参数安排和执行所需的命令。-Z用户-relinquish-权限=用户如果t

26、cpdump的作为root运行，打开捕获设备或输入了saveFile之后，但打开任何savefiles输出之前，用户标识更改用户和组ID的主要组用户。这种行为也可以在编译时默认启用。表达选择哪个数据包将被抛弃。如果没有表达式给出，在网络上的所有数据包将被抛弃。否则，只有当信息包的表达是真将被倾倒。对于表达式语法，请参阅PCAP-过滤器（7）。该表达式参数可以被传递到和tcpdump作为单一壳牌参数，或者多个壳牌参数，取其更方便。一般情况下，如果表达式包含Shell元字符，如用来逃跑协议名称反斜杠，很容易把它作为一个单一的，加引号的参数，而不是逃避Shell元字符。多参数在分析之前以空格相连。例

27、子要打印到达或出发地的所有数据包日落：tcpdump的主机日落要打印之间的流量太阳神，要么热或王牌：tcpdump的主机赫利俄斯和（热或ACE ）要打印的所有IP数据包的王牌和除任何主机赫利俄斯：tcpdump的IP主机的王牌，而不是太阳神要打印本地主机和主机伯克利分校之间的所有通信：和tcpdump的净UCB醚要打印所有FTP流量通过互联网网关snup：（注意表达式是引用，以防止（误解释括号中的壳）：tcpdump的“网关snup和（端口FTP或ftp数据）”要打印流量既不来源，也不往本地主机（如果你网关到另外一个网，这个东西不应该让到你的本地网络）。tcpdump的IP，而不是净local

28、net的打印，涉及非本地主机每个TCP会话的开始和结束的数据包（SYN和FIN包）。tcpdump的“TCP tcpflags（TCP-SYN | TCP-FIN）！= 0，而不是src和DST净localnet的 ”要打印所有IPv4 HTTP报文，并从80端口，即只打印包含数据，而不是，例如SYN和FIN包和ACK-仅报文。（IPv6的就留给读者自己练习。）tcpdump的TCP端口80和（IP 2：2 - （IP 00xF的） 2）= 0）要打印的IP数据包不是通过网关发送576字节的snup：tcpdump的“网关snup和ip 2：2 576要打印的是IP广播或组播数据包不是通过以太

29、网广播或组播发送：tcpdump的“醚01 = 0和ip 16 = 224要打印不在echo请求/应答（即不能ping包）所有的ICMP报文：tcpdump的“ICMP icmptype！= ICMP回声和ICMP icmptype！= ICMP-ECHOREPLY”输出格式的输出tcpdump的是取决于协议。以下给出的大多数的格式的简要说明和实施例。链路层头如果-e选项，则链路层首标被打印出来。上以太网，源和目的地址，协议，和分组长度被打印。在FDDI网络上，-e选项导致tcpdump的打印帧控制“字段，源地址和目的地址，数据包长度。（本帧控制“字段控制着包的其余部分的解释正常数据包（如含I

30、P数据报）这些都是异步包，用0到7之间的优先级值;例如，async4。”这样的分组被假定包含一个802.2逻辑链路控制（LLC）分组;如果它是LLC报头被打印不一个ISO报或一个所谓的SNAP报文。在令牌环网络上，-e选项导致tcpdump的打印访问控制和帧控制“字段，源地址和目的地址，数据包长度。由于在FDDI网络，数据包被假定为包含LLC包。不管是否指定了-e选项与否，路由信息的来源就是印源路由包。在802.11网络上，-e选项导致tcpdump的打印帧控制“领域，都在802.11报头中的地址，数据包长度。由于在FDDI网络，数据包被假定为包含LLC包。（注意：下面的描述假设与在RFC-1

31、144中描述的SLIP压缩算法熟悉程度。）在SLIP链路，一个方向指示器（我入站，O出站），数据包类型，压缩信息被打印出来。数据包类型是第一次印刷。这三种类型的IP，UTCP和CTCP。没有进一步的链接信息打印为IP数据包。为TCP分组中，连接识别符被打印之后的类型。如果分组被压缩，其编码的头被打印出来。在特殊情况下被打印出来* S +和* SA +，其中是由序列号（或序列号和ACK）已经改变的量。如果它不是一个特例，零个或更多的变化被打印。改变由U（紧急指针），W（窗口）中，A（ACK），S（序列号）表示，和I（分组ID），随后通过（+ n或-n），或者一个新的值（= N）。最后，在数据包和

32、压缩的报头长度的数据量被打印。例如，下面的行示出了出站压缩的TCP数据包，与一个隐含的连接标识符;该ACK已经由6改变，由49序列号，并通过6包ID;有3个字节的数据和6字节压缩的报头的：CTCP * A + 6 S + 49 I + 6 3（6）ARP / RARP包ARP / RARP输出显示请求及其参数的类型。格式旨在是自我说明的。下面是从的rlogin开始从主机采取了短采样RTSG主办CSAM：ARP谁，有CSAM告诉RTSGARP应答CSAM是，在CSAM第一行说，RTSG发送一个ARP包，询问因特网主机CSAM的以太网地址。CSAM以其以太网地址回复（在本例中，以太网地址是在帽和互

33、联网地址小写）。这看起来不那么多余的，如果我们做了tcpdump的-n：ARP谁，有告诉8ARP应答是，在02：07：01：00：01：C4如果我们已经做的tcpdump -e，事实上，第一分组是广播，第二个是点至点会是可见的：RTSG广播0806 64：ARP谁，有CSAM告诉RTSGCSAM RTSG 0806 64：ARP应答CSAM是，在CSAM为第一分组这表示以太网源地址是RTSG，目的地是以太网广播地址，类型字段包含的十六进制0806（类型ETHER_ARP）和总长度是64字节。TCP数据包（注：以下说明假定在RFC

34、 793中描述的TCP协议熟悉如果你不熟悉的协议，无论这种描述也tcpdump的。将是多大用处给你。）一个TCP协议行的一般格式为：SRC DST：标志数据SEQNO ACK窗口迫切选项SRC和DST是源和目的IP地址和端口。标志是S（SYN），F（FIN），P（PUSH），R（RST），U（URG），W（ECN无缝线路），E的组合（ECN-回声）或。（ACK），或无，如果没有标志被设置。数据SEQNO描述由数据在该包覆盖序列空间的部分（见下例）。确认为下一个数据的序列号预期在此另一方向连接。窗口是该连接上接收缓冲区可用空间的另一个方向的字节数。URG表示有一个在数据包紧急的数据。选项是在尖括

35、号TCP选项（例如，）。SRC，DST和标志始终存在。其他字段依赖于分组的TCP协议报头的内容，仅在适当的输出。下面是从主机的远程登录的开口部分RTSG主办CSAM。rtsg.1023 csam.login：768512：768512（0）赢得4096 csam.login rtsg.1023：947648：947648（0）ACK 768513赢得4096 rtsg.1023 csam.login。ACK 1胜4096rtsg.1023 csam.login：P 1：2（1）ACK 1胜4096csam.login rtsg.1023。ACK 2胜4096rtsg.1023 csam.log

36、in：P 2:21（19）ACK 1胜4096csam.login rtsg.1023：P 1：2（1）ACK 21赢得4077csam.login rtsg.1023：P 2：3（1）ACK 21赢得4077 URG 1csam.login rtsg.1023：P 3：4（1）ACK 21赢得4077 URG 1第一行说，在RTSG TCP端口1023发送一个数据包的端口登录上CSAM。在小号表明SYN标志设置。分组的序列号为768512，它不含有数据。（记号是第一：去年（为nbytes）“，这意味着序列号的第一个，但不包括最后是为nbytes字节的用户数据 ”。）没有捎带ACK，则可用的接

37、收窗口是4096字节，有要求1024个字节的MSS一个最大段大小选项。CSAM具有相似的包答复，但该包括RTSG的SYN一个捎带ACK。RTSG随后的ACK CSAM的SYN。该。意味着ACK标志设置。该分组包含任何数据，所以没有数据的序列号。需要注意的是ACK序列号是一个小的整数（1）。第一次的tcpdump看到一个tcp对话“，它打印从分组的序列号。在会话的后续分组，当前数据包的序列号与这个初始序列号之间的差被打印。这意味着在第一后该序列号可以（每个方向为1的第一个数据字节）被解释为会话的数据流中的相对字节位置。-S将覆盖此功能，导致原始序列号将被输出。六号线，RTSG（在交谈的RTSGC

38、SAM身边经过20个字节2）发送CSAM 19字节的数据。PUSH标志是在包中设置。七号线，CSAM表示，它收到RTSG，但不包括字节21.大多数这些数据显然位于套接字缓冲区，因为CSAM的接收窗口已经得到较小的19字节发送的数据。CSAM还发送一个字节的数据，以在该分组RTSG。8号和第9行，CSAM发出紧急两个字节，推数据RTSG。如果快照是足够小，tcpdump的没有捕获完整的TCP头，它解释尽可能多的头，因为它可以的，然后报告|TCP“来表示，其余无法解释。如果头中包含一个假的选项（一用一长度是太小或超出了头的结束），tcpdump的报告为坏选择并不会解释任何进一步的选项（因为它是不可

39、能告诉在那里他们开始）。如果头长度指示选项是存在的，但IP数据报长度不够长的选项居然在那里，tcpdump的报告为不良HDR长度。捕获特别标志组合（SYN-ACK，URG-ACK等）的TCP数据包有TCP包头的控制位第8位：无缝线路|ECE |URG |ACK |PSH |RST |SYN |鳍假设我们想观看建立TCP连接使用的数据包。回想一下，TCP使用三次握手协议进行初始化时，一个新的连接;对于连接顺序到TCP控制位是1）来电发送SYN2）收件人与SYN，ACK响应3）来电发送ACK现在，我们感兴趣的是把握这种只有SYN位（第1步）的数据包。请注意，我们不希望从第2步（SYN-ACK），只

40、是一个普通的初始SYN数据包。我们需要的是一个正确的过滤器表达式tcpdump的。回想没有选项的TCP头的结构： 0 15 31- -| 源端口| 目的端口|- -| 序列号|- -| 确认号|- -| HL | RSVD | C |电子| U | A | P | R | S | F | 窗口大小|- -| TCP校验| 紧急指针|- -TCP包头通常包含数据的20个字节，除非选项都存在。该图的第一行包含八位字节0 - 3，第二行示出了八比特组4 - 7等从0开始计数，有关TCP控制位都包含在八位13：0 7 | 15 | 23 | 31- | - | - | - -| HL | RSVD |

41、 C |电子| U | A | P | R | S | F | 窗口大小|- | - | - | - -| | 13个字节| | |让我们在八位没有细看。13： | | | - | | C |电子| U | A | P | R | S | F | | - | | 7 5 3 0 |这些是在TCP控制位我们感兴趣的是，我们已经在此八位字节数的位0至7，从右到左，所以，PSH位为位编号3，而URG位编号为5。我们想只有SYN集捕获数据包召回。让我们看看会发生什么八位位组13如果一个TCP数据包的SYN位在其头部设置到达： | C |电子| U | A | P | R | S | F | | - |

42、 | 0 0 0 0 0 0 1 0 | | - | | 7 6 5 4 3 2 1 0 |综观控制位部分，我们看到只有位数字1（SYN）设置。假设八位位组数13以网络字节顺序的8位无符号整数，该八位字节的二进制值是00000010其十进制表示为 7 6 5 4 3 2 1 00 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2我们差不多完成了，因为现在我们知道，如果只有SYN设置，在TCP报头中的13字节的值，当解释为网络字节顺序一个8位无符号整数，必须完全2。这种关系可表示为TCP 13 = 2我们可以用这句话作

43、为过滤器的tcpdump为了看它只有SYN数据包集：tcpdump的 - xl0 TCP 13 = 2表达说：“让一个TCP数据包的13个字节十进制值2”，而这正是我们想要的。现在，让我们假设我们需要捕获的SYN数据包，但如果ACK或任何其他的TCP控制位在同一时间，我们不在乎。让我们看看会发生什么八位位组13时SYN-ACK集的TCP数据报到达： | C |电子| U | A | P | R | S | F | | - | | 0 0 0 1 0 0 1 0 | | - | | 7 6 5 4 3 2 1 0 |现在位1和4中的第13个八位字节设置。八位字节13的二进制值是00010010它

44、转换为十进制 7 6 5 4 3 2 1 00 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18现在，我们不能只使用在“TCP 13 = 18tcpdump的过滤器表达式，因为这将仅选择有SYN-ACK集这些数据包，而不是那些只有SYN集。请记住，如果ACK或任何其他控制位置，只要SYN设置我们不关心。为了实现我们的目标，我们需要逻辑与八位13与其他值保留SYN位的二进制值。我们知道，我们要SYN在任何情况下进行设置，所以我们将在逻辑上，并在13个字节用SYN的二进制值的值： 00010010 SYN-ACK 00

45、000010 SYN 和00000010（我们要SYN）和00000010（我们要SYN） - = 00000010 = 00000010我们看到，无论这与操作提供相同的结果ACK或其它TCP控制位是否设置。在与价值的十进制表示以及这种操作的结果是2（二进制00000010），所以我们知道，对于SYN数据包设置下列关系必须持有正确的：（八位位组13的值）及（2）=（2）这点我们到tcpdump的过滤器表达式tcpdump的 - xl0TCP 132 = 2某些偏移和字段值可被表示为名称而不是数字值。例如TCP 13可以用TCP tcpflags所取代。下面的TCP标记字段值也可用：TCP鳍，T

46、CP-SYN，TCP-RST，TCP-推，TCP-行为，TCP-URG。这可以表现为：tcpdump的 - xl0TCP tcpflags和TCP推！= 0请注意，您应该使用单引号或反斜杠在表达式中隐藏的外壳AND（）的特殊字符。UDP数据包UDP格式该rwho包说明：actinide.who broadcast.who：UDP 84这就是说端口谁主机锕发送UDP数据报端口谁主机广播，网络广播地址。包内含有84字节的用户数据 。一些UDP服务（从源或目的端口号）认可，并打印出更高层的协议信息。尤其是，域名服务请求（RFC-一千三十五分之一千三十四）和Sun RPC调用（RFC-1050），以N

47、FS。UDP名称服务器请求（注：以下说明假定在RFC-1035中所述的域名服务协议熟悉如果你不熟悉的协议，下面的描述将出现在希腊被写。）名称服务器请求的格式为SRC DST：ID操作？标志QTYPE QCLASS名（LEN）h2opolo.1538 helios.domain：3+？。（37）主持人h2opolo问域服务器上太阳神与名称关联的地址记录（QTYPE = A）。查询ID是3。该+表示需要递归已经设置。查询长度为37字节，不包括UDP和IP协议头。查询操作是正常的，查询，所以省略运算领域。如果运过任何事情一样

48、，它会被印在3和+之间。同样，QCLASS是正常的，C_IN，和被删去。任何其他QCLASS会一直A后，立即打印出来。一些异常情况进行检查，并可能导致在方括号内额外的字段：如果查询包含一个答案，规范记录或其他记录部分，ancount，nscount或arcount印刷作为一， 或金，其中是适当的计数。如果任何响应位被置位（AA，RA或RCODE）或任何的必须为零位在字节2和3，设置B23 =点x被打印，其中点x是十六进制值头字节2和3。UDP名称服务器响应名称服务器响应格式为SRC DST：ID运RCODE标志A / N / AU型类数据（LEN）helios.domain h2opolo.1

49、538：3 3/3/7一个（273）helios.domain h2opolo.1537：2的NXDomain * 0/1/0（97）在第一个例子，太阳神响应来自查询ID 3h2opolo3回答记录，3名称服务器记录和7个其他记录。第一个答案记录是A型（地址），其数据是internet地址。响应的总大小为273个字节，不含UDP和IP报头。运（查询）和响应代码（NOERROR）省略，因为是A记录的类（C_IN）。在第二个例子中，太阳神响应查询2不存在的域的无答案的响应代码（的NXDomain），一个名称服务器和无规范记录。该*表明权威的答案位设置

50、。由于没有答案，没有类型，类或数据进行打印。其它可能显示的标志字符 - （递归可用，RA，未设置）和|（截断的消息，TC，已设置）。如果问题“部分不包含一个条目，问”被打印出来。SMB / CIFS解码tcpdump的现在包括相当广泛的SMB / CIFS / NBT对UDP / 137，UDP / 138和TCP / 139数据解码。IPX和NetBEUI SMB数据的一些原始解码也做。默认情况下，相当小的解码完成后，与如果使用-v做了更详细的解码。但是要注意，与-va单SMB数据包可能需要一个页面或更多，所以只能使用-v如果你真的想所有的血淋淋的细节。有关SMB数据包格式和信息什么的所有字

51、段的含义看或酒 吧/桑巴/规格/你最喜欢的镜像站点目录。在SMB补丁由Andrew Tridgell（书面）。NFS请求和应答孙NFS（网络文件系统）请求和应答打印为：src.sport dst.nfs：NFS请求XID XID LEN运算ARGS src.nfs dst.dport：NFS回复XID XID的答复统计LEN运算结果sushi.1023 wrl.nfs：NFS请求XID 26377 112的readlink FH 21,24 / 10.73165wrl.nfs sushi.1023：NFS回复XID 263

52、77 回复OK 40的readlink“./var”sushi.1022 wrl.nfs：NFS请求XID 8219 144查找FH 9,74 / 4096.6878“xcolors”wrl.nfs sushi.1022：NFS回复XID 8219 回复OK 128查找FH 9,74 / 4134.3150在第一行，主机寿司发送带有ID的交易26377到WRL。请求为112字节，不包括UDP和IP头。手术获得了的readlink（读取符号连接）上的文件句柄（FH）21,24 / 10.731657119。（如果有一个是幸运的，因为在这种情况下，文件句柄可以被解释为一个主要，次要设备号对，随后是节点号码和世代号。）在