Man page - tcpdump(8)

Packages contains this manual

Package: tcpdump
apt-get install tcpdump

Manuals in package:

tcpdump(8)

Documentations in package:

tcpdump

Available languages:

en ja zh_TW zh_CN

Manual

TCPDUMP

NAME
總覽 (SYNOPSIS)
描述 (DESCRIPTION)
選項 (OPTIONS)
示例 (EXAMPLES)
輸出格式 (OUTPUT FORMAT)
另見 (SEE ALSO)
作者 (AUTHORS)
BUGS
[中文版維護人 ]
[中文版最新更新 ]
《中國 Linux論壇 man手冊頁翻譯計劃》
跋

NAME

tcpdump - 轉儲網路上的資料流

總覽 (SYNOPSIS)

tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ]
[ -i interface ] [ -r file ] [ -s snaplen ]
[ -T type ] [ -w file ] [ expression ]

描述 (DESCRIPTION)

Tcpdump 打印出在某個網路介面上 , 匹配布林表示式 expression 的報文的報頭 .

對於 SunOS 的 nit 或 bpf 介面 : 要執行 tcpdump , 你必須有 /dev/nit 或 /dev/bpf* 的讀訪問許可權 .

對於 Solaris 的 dlpi: 你必須有網路模擬裝置 (network pseudo device), 如 /dev/le 的讀訪問許可權 .

對於 HP-UX 的 dlpi: 你必須是 root, 或者把它安裝成 root 的設定 uid 程式 .

對於 IRIX 的 snoop: 你必須是 root, 或者把它安裝成 root 的設定 uid 程式 .

對於 Linux: 你必須是 root, 或者把它安裝成 root 的設定 uid 程式 .

對於 Ultrix 和 Digital UNIX: 一旦超級使用者使用 pfconfig (8) 開放了 promiscuous 操作模式 (promiscuous-mode), 任何使用者都可以執行 tcpdump .

對於 BSD: 你必須有 /dev/bpf* 的讀訪問許可權 .

選項 (OPTIONS)

	-a		試著把網路和廣播地址轉換成名稱 .
	-c		當收到 count 報文後退出 .
	-d		把編譯好的報文匹配程式碼 (packet-matching code) 翻譯成可讀形式 , 傳往標準輸出 , 然後退出 .
	-dd		把報文匹配程式碼 (packet-matching code) 以 C 程式片斷的形式輸出 .
	-ddd		把報文匹配程式碼 (packet-matching code) 以十進位制數形式輸出 (前面加上總數 ).
	-e		顯示鏈路層報頭 .
	-f		以數字形式顯示 ’外部的 ’ 網際網路地址 , 而不是字元形式 (這個選項用來繞開腦殼壞光的 SUN 黃頁伺服器的問題 — 一般說來當它翻譯外部網路的數字地址時會長期掛起 ).
	-F		把 file 的內容用作過濾表示式 . 忽略命令列上的表示式 .
	-i		監聽 interface . 如果不指定介面 , tcpdump 在系統的介面清單中 , 尋找號碼最小 , 已經配置好的介面 (loopback 除外 ). 選中的時候會中斷連線 .
	-l		行緩衝標準輸出 . 可用於捕捉資料的同時檢視資料 . 例如 ,

‘‘tcpdump -l | tee dat’’ or ‘‘tcpdump -l > dat & tail -f dat’’.

	-n		不要把地址轉換成名字 (指的是主機地址 , 埠號等 )
	-N		不顯示主機名字中的域名部分 . 例如 , 如果使用這個選項 , tcpdump 只顯示 ‘‘nic’’, 而不是 ‘‘nic.ddn.mil’’.
	-O		禁止執行報文匹配程式碼的最佳化器 . 這個選項只有當你懷疑最佳化器有 bug 時才有用 .
	-p		禁止把介面置成 promiscuous(雜湊 ) 模式 . 注意 , 介面有可能因其他原因而處於 promiscuous 模式 ; 因此 , ’-p’ 不能作為 ‘ether host {local-hw-addr} 或 ether broadcast’ 的簡寫 .
	-q		快速輸出 . 顯示較少的協議資訊 , 輸出行會短一點點 .
	-r		從 file 中讀入資料報 (檔案是用 -w 選項建立的 ). 如果 file 是 ‘‘-’’, 就從標準輸入讀入 .
	-s		從每個報文中擷取 snaplen 位元組的資料 , 而不是預設的 68 (如果是 SunOS 的 NIT, 最小值是 96). 68 個位元組適用於 IP, ICMP, TCP 和 UDP, 但是有可能截掉名字伺服器和 NFS 報文的協議資訊 (見下文 ). 輸出時如果指定 ‘‘[\| proto ]’’, tcpdump 可以指出那些捕捉量過小的資料報 , 這裡的 proto 是截斷髮生處的協議層名稱 . 注意 , 採用更大的捕捉範圍不但增加了處理報文的時間 , 而且減少了報文的緩衝數量 , 可能導致報文的丟失 . 你應該把 snaplen 設的儘量小 , 只要能夠容納你需要的協議資訊就可以了 .
	-T		把透過 " expression " 挑選出來的報文解釋成指定的 type . 目前已知的型別有 : rpc (遠端過程呼叫 Remote Procedure Call), rtp (即時應用協議 Real-Time Applications protocol), rtcp (即時應用控制協議 Real-Time Applications control protocol), vat (可視音訊工具 Visual Audio Tool), 和 wb (分散式白板 distributed White Board).
	-S		顯示絕對的 , 而不是相對的 TCP 流序號 .
	-t		禁止顯示時戳標誌 .
	-tt		顯示未格式化的時戳標誌 .
	-v		(稍微多一點 ) 繁瑣的輸出 . 例如 , 顯示 IP 資料報中的生存週期和服務型別 .
	-vv		更繁瑣的輸出 . 例如 , 顯示 NFS 應答報文的附加域 .
	-w		把原始報文存進 file , 不做分析和顯示 . 它們可以以後用 -r 選項顯示 . 如果 file 是 ‘‘-’’, 就寫往標準輸出 .
	-x		以 16 進位制數形式顯示每一個報文 (去掉鏈路層報頭後 ) . 可以顯示較小的完整報文 , 否則只顯示 snaplen 個位元組 .

expression

用來選擇要轉儲的資料報 . 如果沒有指定 expression , 就轉儲網路的全部報文 . 否則 , 只轉儲相對 expression 為 ‘true’ 的資料報 .

expression 由一個或多個 原語 (primitive) 組成 . 原語通常由一個 標識 (id, 名稱或數字 ), 和標識前面的一個或多個修飾子 (qualifier) 組成 . 修飾子有三種不同的型別 :

	type		型別修飾子指出標識名稱或標識數字代表什麼型別的東西 . 可以使用的型別有 host , net 和 port . 例如 , ‘host foo’, ‘net 128.3’, ‘port 20’. 如果不指定型別修飾子 , 就使用預設的 host .
	dir		方向修飾子指出相對於標識的傳輸方向 (資料是傳入還是傳出標識 ). 可以使用的方向有 src , dst , src or dst 和 src and dst . 例如 , ‘src foo’, ‘dst net 128.3’, ‘src or dst port ftp-data’. 如果不指定方向修飾子 , 就使用預設的 src or dst . 對於 ‘null’ 鏈路層 (就是說象 slip 之類的點到點協議 ), 用 inbound 和 outbound 修飾子指定所需的傳輸方向 .
	proto		協議修飾子要求匹配指定的協議 . 可以使用的協議有 : ether , fddi , ip , arp , rarp , decnet , lat , sca , moprc , mopdl , tcp 和 udp . 例如 , ‘ether src foo’, ‘arp net 128.3’, ‘tcp port 21’. 如果不指定協議修飾子 , 就使用所有符合型別的協議 . 例如 , ‘src foo’ 指 ‘(ip 或 arp 或 rarp) src foo’ (注意後者不符合語法 ), ‘net bar’ 指 ‘(ip 或 arp 或 rarp) net bar’, ‘port 53’ 指 ‘(tcp 或 udp) port 53’.

[‘fddi’ 實際上是 ‘ether’ 的別名 ; 分析器把它們視為 ‘‘用在指定網路介面上的資料鏈路層 .’’ FDDI 報頭包含類似於以太協議的源目地址 , 而且通常包含類似於以太協議的報文型別 , 因此你可以過濾 FDDI 域 , 就象分析以太協議一樣 . FDDI 報頭也包含其他域 , 但是你不能在過濾器表示式裡顯式描述 .]

作為上述的補充 , 有一些特殊的 ‘原語 ’ 關鍵字 : gateway , broadcast , less , greater 和數學表示式 . 它們不同於上面的模式 , 這些在後面有敘述 .

更復雜的過濾器表示式可以透過 and , or 和 not 連線原語來組建 . 例如 , ‘host foo and not port ftp and not port ftp-data’. 為了少敲點鍵 , 可以忽略相同的修飾子 . 例如 , ‘tcp dst port ftp or ftp-data or domain’ 實際上就是 ‘tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain’.

允許的原語有 :
dst host host

如果報文中 IP 的目的地址域是 host , 則邏輯為真 . host 既可以是地址 , 也可以是主機名 .

src host host

如果報文中 IP 的源地址域是 host , 則邏輯為真 .

host host

如果報文中 IP 的源地址域或者目的地址域是 host , 則邏輯為真 . 上面所有的 host 表示式都可以加上 ip , arp , 或 rarp 關鍵字做字首 , 就象 :

ip host host

它等價於 :

ether proto \ip and host host

如果 host 是擁有多個 IP 地址的主機名 , 它的每個地址都會被查驗 .

ether dst ehost

如果報文的以太目的地址是 ehost , 則邏輯為真 . Ehost 既可以是名字 (/etc/ethers 裡有 ), 也可以是數字 (有關數字格式另見 ethers (3N) ).

ether src ehost

如果報文的以太源地址是 ehost , 則邏輯為真 .

ether host ehost

如果報文的以太源地址或以太目的地址是 ehost , 則邏輯為真 .

gateway host

如果報文把 host 當做閘道器 , 則邏輯為真 . 也就是說 , 報文的以太源或目的地址是 host , 但是 IP 的源目地址都不是 host . host 必須是個主機名 , 而且必須存在 /etc/hosts 和 /etc/ethers 中 . (一個等價的表示式是

ether host ehost and not host host

對於 host / ehost , 它既可以是名字 , 也可以是數字 .)

dst net net

如果報文的 IP 目的地址屬於網路號 net , 則邏輯為真 . net 既可以是名字 (存在 /etc/networks 中 ), 也可以是網路號 . (詳見 networks(4) ).

src net net

如果報文的 IP 源地址屬於網路號 net , 則邏輯為真 .

net net

如果報文的 IP 源地址或目的地址屬於網路號 net , 則邏輯為真 .

net net mask mask

如果 IP 地址匹配指定網路掩碼 (netmask) 的 net , 則邏輯為真 . 本原語可以用 src 或 dst 修飾 .

net net / len

如果 IP 地址匹配指定網路掩碼的 net , 則邏輯為真 , 掩碼的有效位寬為 len . 本原語可以用 src 或 dst 修飾 .

dst port port

如果報文是 ip/tcp 或 ip/udp, 並且目的埠是 port , 則邏輯為真 . port 是一個數字 , 也可以是 /etc/services 中說明過的名字 (參看 tcp (4P) 和 udp (4P)). 如果使用名字 , 則檢查埠號和協議 . 如果使用數字 , 或者有二義的名字 , 則只檢查埠號 (例如 , dst port 513 將顯示 tcp/login 的資料和 udp/who 的資料 , 而 port domain 將顯示 tcp/domain 和 udp/domain 的資料 ).

src port port

如果報文的源埠號是 port , 則邏輯為真 .

port port

如果報文的源埠或目的埠是 port , 則邏輯為真 . 上述的任意一個埠表示式都可以用關鍵字 tcp 或 udp 做字首 , 就象 :

tcp src port port

它只匹配源埠是 port 的 TCP 報文 .

less length

如果報文的長度小於等於 length , 則邏輯為真 . 它等同於 :

len <= length .

greater length

如果報文的長度大於等於 length , 則邏輯為真 . 它等同於 :

len >= length .

ip proto protocol

如果報文是 IP 資料報 (參見 ip (4P)) , 其內容的協議型別是 protocol , 則邏輯為真 . Protocol 可以是數字 , 也可以是下列名稱中的一個 : icmp , igrp , udp , nd , 或 tcp . 注意這些識別符號 tcp , udp , 和 icmp 也是關鍵字 , 所以必須用反斜槓 (\) 轉義 , 在 C-shell 中應該是 \\ .

ether broadcast

如果報文是以太廣播報文 , 則邏輯為真 . 關鍵字 ether 是可選的 .

ip broadcast

如果報文是 IP廣播報文 , 則邏輯為真 . Tcpdump 檢查全 0 和全 1 廣播約定 , 並且檢查本地的子網掩碼 .

ether multicast

如果報文是以太多目傳送報文 (multicast), 則邏輯為真 . 關鍵字 ether 是可選的 . 這實際上是 ‘ ether[0] & 1 != 0 ’ 的簡寫 .

ip multicast

如果報文是 IP多目傳送報文 , 則邏輯為真 .

ether proto protocol

如果報文協議屬於以太型別的 protocol , 則邏輯為真 . Protocol 可以是數字 , 也可以是名字 , 如 ip , arp , 或 rarp . 注意這些識別符號也是關鍵字 , 所以必須用反斜槓 (\) 轉義 . [如果是 FDDI (例如 , ‘ fddi protocol arp ’), 協議標識來自 802.2 邏輯鏈路控制 (LLC)報頭 , 它通常位於 FDDI 報頭的頂層 . 當根據協議標識過濾報文時 , Tcpdump 假設所有的 FDDI 報文含有 LLC 報頭 , 而且 LLC 報頭用的是 SNAP 格式 .]

decnet src host

如果 DECNET 的源地址是 host , 則邏輯為真 , 該主機地址的形式可能是 ‘‘10.123’’, 或者是 DECNET 主機名 . [只有配置成執行 DECNET 的 Ultrix 系統支援 DECNET 主機名 .]

decnet dst host

如果 DECNET 的目的地址是 host , 則邏輯為真 .

decnet host host

如果 DECNET 的源地址或目的地址是 host , 則邏輯為真 .

ip , arp , rarp , decnet

是 :

ether proto p

的簡寫形式 , 其中 p 為上述協議的一種 .

lat , moprc , mopdl

是 :

ether proto p

的簡寫形式 , 其中 p 為上述協議的一種 . 注意 tcpdump 目前不知道如何分析這些協議 .

tcp , udp , icmp

是 :

ip proto p

的簡寫形式 , 其中 p 為上述協議的一種 .

expr relop expr

如果這個關係式成立 , 則邏輯為真 , 其中 relop 是 >, <, >=, <=, =, != 之一 , expr 是數學表示式 , 由常整數 (標準 C語法形式 ), 普通的二進位制運算子 [+, -, *, /, &, |], 一個長度運算子 , 和指定的報文資料訪問算符組成 . 要訪問報文內的資料 , 使用下面的語法 :

proto [ expr : size ]

Proto 是 ether, fddi, ip, arp, rarp, tcp, udp, or icmp 之一 , 同時也指出了下標操作的協議層 . expr 給出位元組單位的偏移量 , 該偏移量相對於指定的協議層 . Size 是可選項 , 指出感興趣的位元組數 ; 它可以是 1, 2, 4, 預設為 1 位元組 . 由關鍵字 len 給出的長度運算子指明報文的長度 .

例如 , ‘ ether[0] & 1 != 0 ’ 捕捉所有的多目傳送報文 . 表示式 ‘ ip[0] & 0xf != 5 ’ 捕捉所有帶可選域的 IP 報文 . 表示式 ‘ ip[6:2] & 0x1fff = 0 ’ 只捕捉未分片和片偏移為 0 的資料報 . 這種檢查隱含在 tcp 和 udp 下標操作中 . 例如 , tcp[0] 一定是 TCP 報頭 的第一個位元組 , 而不是其中某個 IP片的第一個位元組 .

原語可以用下述方法結合使用 :

園括弧括起來的原語和運算子 (園括弧在 Shell 中有專用 , 所以必須轉義 ).

取反操作 (‘ ! ’ or ‘ not ’).

連結操作 (‘ && ’ or ‘ and ’).

或操作 (‘ || ’ or ‘ or ’).

取反操作有最高優先順序 . 或操作和連結操作有相同的優先順序 , 運算時從左到右結合 . 注意連結操作需要顯式的 and 算符 , 而不是並列放置 .

如果給出識別符號 , 但沒給關鍵字 , 那麼暗指最近使用的關鍵字 . 例如 ,

not host vs and ace

作為

not host vs and host ace

的簡寫形式 , 不應該和

not ( host vs or ace )

混淆 .

表示式引數可以作為單個引數 , 也可以作為複合引數傳給 tcpdump, 後者更方便一些 . 一般說來 , 如果表示式包含 Shell 元字元 (metacharacter), 傳遞單個括起來的引數要容易一些 . 複合引數在被解析前用空格聯接一起 .

示例 (EXAMPLES)

顯示所有進出 sundown 的報文 :

tcpdump host sundown

顯示 helios 和主機 hot , ace 之間的報文傳送 :

tcpdump host helios and \( hot or ace \)

顯示 ace 和除了 helios 以外的所有主機的 IP報文 :

tcpdump ip host ace and not helios

顯示本地的主機和 Berkeley的主機之間的網路資料 :

tcpdump net ucb-ether

顯示所有透過閘道器 snup 的 ftp 報文 (注意這個表示式被單引號括起 , 防止 shell 解釋園括弧 ):

tcpdump ’gateway snup and (port ftp or ftp-data)’

顯示既不是來自本地主機 , 也不是傳往本地主機的網路資料 (如果報文透過閘道器進入其他網路 , 那麼它絕不可能到達你的本地網路 ).

tcpdump ip and not net localnet

顯示每個 TCP會話的起始和結束報文 (SYN 和 FIN 報文 ), 而且會話方中有一個遠端主機 .

tcpdump ’tcp[13] & 3 != 0 and not src and dst net localnet ’

顯示經過閘道器 snup 中大於 576 位元組的 IP 資料報 :

tcpdump ’gateway snup and ip[2:2] > 576’

顯示 IP 廣播或多目傳送的資料報 , 但這些報文 不是 透過以太廣播或以太多目傳送形式傳送的 :

tcpdump ’ether[0] & 1 = 0 and ip[16] >= 224’

顯示所有不是迴響請求 /應答的 ICMP 報文 (也就是說 , 不是 ping 報文 ):

tcpdump ’icmp[0] != 8 and icmp[0] != 0"

輸出格式 (OUTPUT FORMAT)

tcpdump 的輸出格式取決於協議 . 下面的描述給出大多數格式的簡要說明和範例 .

鏈路層報頭 (Link Level Headers)

如果給出 ’-e’ 選項就顯示鏈路層報頭 .

在乙太網上 , 顯示報文的源目地址 , 協議和報文長度 .

在 FDDI 網路上 , ’-e’ 選項導致 tcpdump 顯示出 ‘幀控制 (frame control)’ 域 , 源目地址和報文長度 . (‘幀控制 ’ 域負責解釋其餘的報文 . 普通報文 (例如裝載 IP資料報的報文 ) 是 ‘非同步 ’ 報文 , 優先順序介於 0 到 7 (例如 , ‘ async4 ’). 那些被認為攜帶了 802.2 邏輯鏈路控制 (LLC) 報文 ; 如果它們 不是 ISO 資料報或者所謂的 SNAP 報文 , 就顯示 LLC 報頭 .

(注意 : 以下描述中假設你熟悉 RFC-1144 中說明的 SLIP 壓縮演算法 .)

在 SLIP 鏈路上 , tcpdump 顯示出方向指示 (‘‘I’’ 指 inbound(進入 ), ‘‘O’’ 指 outbound(離開 )), 報文型別和壓縮資訊 . 首先顯示的是報文型別 . 有三種型別 ip , utcp 和 ctcp . 對於 ip 報文不再顯示更多的鏈路資訊 . 對於 TCP 報文 , 在型別後面顯示連線標識 . 如果報文是壓縮過的 , 就顯示出它的編碼報頭 . 這種特殊情況以 *S+ n 和 *SA+ n 的形式顯示 , 這裡的 n 是流序號 (或者流序號和 ack) 的變化總量 . 如果不是特殊情況 , 就顯示出 0 或多個變化 . 變化由 U (urgent pointer), W (window), A (ack), S (sequence number) 和 I (packet ID) 指明 , 後跟一個變化量 (+n or -n), 或者是一個新值 (=n). 最後顯示報文中的資料總量 , 以及壓縮報頭的長度 .

例如 , 下面一行顯示了一個傳出的壓縮的 TCP 報文 , 有一個隱含的連線標識 ; 確認 (ack)的變化量是 6, 流序號增加 49, 報文 ID 增加 6; 有三個位元組的資料和六個位元組的壓縮報頭 :

O ctcp * A+6 S+49 I+6 3 (6)

ARP/RARP 報文

Arp/rarp 報文的輸出是請求型別及其引數 . 輸出格式大體上能夠自我解釋 . 這裡是一個簡單的例子 , 來自主機 rtsg 到主機 csam 的 ’rlogin’ 開始部分 :

arp who-has csam tell rtsg
arp reply csam is-at CSAM

第一行說明 rtsg 發出一個 arp 報文詢問 internet 主機 csam 的乙太網地址 . Csam 用它的以太地址作應答 (這個例子中 , 以太地址是大寫的 , internet 地址為小寫 ).

如果用 tcpdump -n 看就清楚一些 :

arp who-has 128.3.254.6 tell 128.3.254.68
arp reply 128.3.254.6 is-at 02:07:01:00:01:c4

如果用 tcpdump -e , 可以看到實際上第一個報文是廣播 , 第二個報文是點到點的 :

RTSG Broadcast 0806 64: arp who-has csam tell rtsg
CSAM RTSG 0806 64: arp reply csam is-at CSAM

這裡第一個報文指出乙太網源地址是 RTSG, 目的地址是乙太網廣播地址 , 型別域為 16進位制數 0806 (型別 ETHER_ARP), 報文全長 64 位元組 .

TCP 報文

(注意 : 以下的描述中假設你熟悉 RFC-793 中說明的 TCP 協議 , 如果你不瞭解這個協議 , 無論是本文還是 tcpdump 都對你用處不大 )

一般說來 tcp 協議的輸出格式是 :

src > dst: flags data-seqno ack window urgent options

Src 和 dst 是源目 IP地址和埠 . Flags 是 S (SYN), F (FIN), P (PUSH) 或 R (RST) 或單獨的 ‘.’(無標誌 ), 或者是它們的組合 . Data-seqno 說明了本報文中的資料在流序號中的位置 (見下例 ). Ack 是在這條連線上信源機希望下一個接收的位元組的流序號 (sequence number). Window 是在這條連線上信源機接收緩衝區的位元組大小 . Urg 表明報文內是 ‘緊急 (urgent)’ 資料 . Options 是 tcp 選項 , 用尖括號括起 (例如 , <mss 1024>).

Src, dst 和 flags 肯定存在 . 其他域依據報文的 tcp 報頭內容 , 只輸出有必要的部分 .

下面是從主機 rtsg rlogin 到主機 csam 的開始部分 .

rtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
rtsg.1023 > csam.login: . ack 1 win 4096
rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
csam.login > rtsg.1023: . ack 2 win 4096
rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1

第一行是說從 rtsg 的 tcp 埠 1023 向 csam 的 login 埠傳送報文 . S 標誌表明設定了 SYN 標誌 . 報文的流序號是 768512, 沒有資料 . (這個寫成 ‘first:last(nbytes)’, 意思是 ‘從流序號 first 到 last , 不包括 last , 有 nbytes 位元組的使用者資料 ’.) 此時沒有捎帶確認 (piggy-backed ack), 有效的接收視窗是 4096 位元組 , 有一個最大分段長度 (max-segment-size) 的選項 , 請求設定 mss 為 1024 位元組 .

Csam 用類似的形式應答 , 只是增加了一個對 rtsg SYN 的捎帶確認 . 然後 Rtsg 確認 csam 的 SYN. ‘.’ 意味著沒有設定標誌 . 這個報文不包含資料 , 因此也就沒有資料的流序號 . 注意這個確認流序號是一個小整數 (1). 當 tcpdump 第一次發現一個 tcp 會話時 , 它顯示報文攜帶的流序號 . 在隨後收到的報文裡 , 它顯示當前報文和最初那個報文的流序號之差 . 這意味著從第一個報文開始 , 以後的流序號可以理解成資料流中的相對位移 (每個報文的第一個資料位元組從 ’1’ 計數 ). ‘-S’ 選項能夠改變這個特性 , 直接顯示原始的流序號 .

在第六行 , rtsg 傳給 csam 19 個位元組的資料 (位元組 2 到 20). 報文中設定了 PUSH 標誌 . 第七行 csam 表明它收到了 rtsg 的資料 , 位元組序號是 21, 但不包括第 21個位元組 . 顯然大多數資料在 socket 的緩衝區內 , 因為 csam 的接收視窗收到的資料小於 19 個位元組 . 同時 csam 向 rtsg 傳送了一個位元組的資料 . 第八和第九行顯示 csam 傳送了兩個位元組的緊急資料到 rtsg.

如果捕捉區設定的過小 , 以至於 tcpdump 不能捕捉到完整的 TCP 報頭 , tcpdump 會儘可能的翻譯已捕獲的部分 , 然後顯示 ‘‘[| tcp ]’’, 表明無法翻譯其餘部分 . 如果報頭包含有問題的選項 (選項表長度太小或者超出報頭範圍 ), tcpdump 顯示 ‘‘[ bad opt ]’’ 並且不再翻譯其他選項部分 (因為它不可能判斷出從哪兒開始 ). 如果報頭長度表明存在選項 , 但是 IP 資料報長度不夠 , 不可能真的儲存選項 , tcpdump 就顯示 ‘‘[ bad hdr length ]’’.

UDP 報文

UDP 格式就象這個 rwho 報文顯示的 :

actinide.who > broadcast.who: udp 84

就是說把一個 udp 資料報從主機 actinide 的 who 埠傳送到 broadcast , Internet 廣播地址的 who 埠 . 報文包含 84位元組的使用者資料 .

某些 UDP 服務能夠識別出來 (從源目埠號上 ), 因而顯示出更高層的協議資訊 . 特別是域名服務請求 (RFC-1034/1035) 和 NFS 的 RPC 呼叫 (RFC-1050).

UDP 名字服務請求 (Name Server Requests)

(注意 : 以下的描述中假設你熟悉 RFC-1035 說明的域名服務協議 . 如果你不熟悉這個協議 , 下面的內容可能看起來是天書 .)

名字服務請求的格式是

src > dst: id op? flags qtype qclass name (len)
h2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)

主機 h2opolo 訪問 helios 上的域名服務 , 詢問和 ucbvax.berkeley.edu. 關聯的地址記錄 (qtype=A). 查詢號是 ‘3’. ‘+’ 表明設定了 遞迴請求 標誌 . 查詢長度是 37 位元組 , 不包括 UDP 和 IP 頭 . 查詢操作是普通的 Query 操作 , 因此 op 域可以忽略 . 如果 op 設定成其他什麼東西 , 它應該顯示在 ‘3’ 和 ‘+’ 之間 . 類似的 , qclass 是普通的 C_IN 型別 , 也被忽略了 . 其他型別的 qclass 應該在 ‘A’ 後面顯示 .

Tcpdump 會檢查一些不規則情況 , 相應的結果作為補充域放在方括號內 : 如果某個查詢包含回答 , 名字服務或管理機構部分 , 就把 ancount , nscount , 或 arcount 顯示成 ‘[ n a]’, ‘[ n n]’ 或 ‘[ n au]’, 這裡的 n 代表相應的數量 . 如果在第二和第三位元組中 , 任何一個回答位 (AA, RA 或 rcode) 或任何一個 ‘必須為零 ’ 的位被置位 , 就顯示 ‘[b2&3= x ]’, 這裡的 x 是報頭第二和第三位元組的 16進位制數 .

UDP 名字服務回答

名字服務回答的格式是

src > dst: id op rcode flags a/n/au type class data (len)
helios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)

第一個例子裡 , helios 回答了 h2opolo 發出的標識為 3 的詢問 , 一共是 3 個回答記錄 , 3 個名字服務記錄和 7 個管理結構記錄 . 第一個回答紀錄的型別是 A (地址 ), 資料是 internet 地址 128.32.137.3. 回答的全長為 273 位元組 , 不包括 UDP 和 IP 報頭 . 作為 A 記錄的 class(C_IN) 可以忽略 op (詢問 ) 和 rcode (NoError).

在第二個例子裡 , helios 對標識為 2 的詢問作出域名不存在 (NXDomain) 的回答 , 沒有回答記錄 , 一個名字服務記錄 , 沒有管理結構部分 .
‘*’ 表明設定了 權威回答 (authoritative answer) . 由於沒有回答記錄 , 這裡就不顯示 type, class 和 data.

其他標誌字元可以顯示為 ‘-’ ( 沒有 設定遞迴有效 (RA)) 和 ‘|’ (設定訊息截短 (TC)). 如果 ‘問題 ’ 部分沒有有效的內容 , 就顯示 ‘[ n q]’.

注意名字服務的詢問和回答一般說來比較大 , 68 位元組的 snaplen 可能無法捕捉到足夠的報文內容 . 如果你的確在研究名字服務的情況 , 可以使用 -s 選項增大捕捉緩衝區 . ‘ -s 128 ’ 應該效果不錯了 .

NFS 請求和響應

Sun NFS (網路檔案系統 ) 的請求和響應顯示格式是 :

src.xid > dst.nfs: len op args
src.nfs > dst.xid: reply stat len op results
sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
sushi.201b > wrl.nfs:
144 lookup fh 9,74/4096.6878 "xcolors"
wrl.nfs > sushi.201b:
reply ok 128 lookup fh 9,74/4134.3150

在第一行 , 主機 sushi 向 wrl 傳送號碼為 6709 的互動會話 (注意源主機後面的數字是互動號 , 不是 埠 ). 這項請求長 112 位元組 , 不包括 UDP 和 IP 報頭 . 在檔案控制代碼 (fh) 21,24/10.731657119 上執行 readlink (讀取符號連線 ) 操作 . (如果運氣不錯 , 就象這種情況 , 檔案控制代碼可以依次翻譯成主次裝置號 , i 節點號 , 和事件號 (generation number). ) Wrl 回答 ‘ok’ 和連線的內容 .

在第三行 , sushi 請求 wrl 在目錄檔案 9,74/4096.6878 中查詢 ‘ xcolors ’. 注意資料的列印格式取決於操作型別 . 格式應該可以自我說明 .

給出 -v (verbose) 選項可以顯示附加資訊 . 例如 :

sushi.1372a > wrl.nfs:
148 read fh 21,11/12.195 8192 bytes @ 24576
wrl.nfs > sushi.1372a:
reply ok 1472 read REG 100664 ids 417/0 sz 29388

(-v 同時使它顯示 IP 報頭的 TTL, ID, 和分片域 , 在這個例子裡把它們省略了 .) 在第一行 , sushi 請求 wrl 從檔案 21,11/12.195 的偏移位置 24576 開始 , 讀取 8192 位元組 . Wrl 回答 ‘ok’; 第二行顯示的報文是應答的第一個分片 , 因此只有 1472 位元組 (其餘資料在後續的分片中傳過來 , 但由於這些分片裡沒有 NFS 甚至 UDP 報頭 , 因此根據所使用的過濾器表示式 , 有可能不再顯示 ). -v 選項還會顯示一些檔案屬性 (它們作為檔案資料的附帶部分傳回來 ): 檔案型別 (普通檔案 ‘‘REG’’), 存取模式 (八進位制數 ), uid 和 gid, 以及檔案大小 .

如果再給一個 -v 選項 (-vv), 還能顯示更多的細節 .

注意 NFS 請求的資料量非常大 , 除非增加 snaplen , 否則很多細節無法顯示 . 試一試 ‘ -s 192 ’ 選項 .

NFS 應答報文沒有明確標明 RPC 操作 . 因此 tcpdump 保留有 ‘‘近來的 ’’ 請求記錄 , 根據互動號匹配應答報文 . 如果應答報文沒有相應的請求報文 , 它就無法分析 .

KIP Appletalk (UDP 上的 DDP)

Appletalk DDP 報文封裝在 UDP 資料報中 , 解包後按 DDP 報文轉儲 (也就是說 , 忽略所有的 UDP 報頭資訊 ). 檔案 /etc/atalk.names 用來把 appletalk 網路和節點號翻譯成名字 . 這個檔案的行格式是

number name

1.254 ether
16.1 icsd-net
1.254.110 ace

前兩行給出了 appletalk 的網路名稱 . 第三行給出某個主機的名字 (主機和網路依據第三組數字區分 - 網路號 一定 是兩組數字 , 主機號 一定 是三組數字 .) 號碼和名字用空白符 (空格或 tab) 隔開 . /etc/atalk.names 檔案可以包含空行或註釋行 (以 ‘#’開始的行 ).

Appletalk 地址按這個格式顯示

net.host.port

144.1.209.2 > icsd-net.112.220
office.2 > icsd-net.112.220
jssmag.149.235 > icsd-net.2

(如果不存在 /etc/atalk.names , 或者裡面缺少有效專案 , 就以數字形式顯示地址 .) 第一個例子裡 , 網路 144.1 的 209 節點的 NBP (DDP 埠 2) 向網路 icsd 的 112 節點的 220 埠傳送資料 . 第二行和上面一樣 , 只是知道了源節點的全稱 (‘office’). 第三行是從網路 jssmag 的 149 節點的 235 埠向 icsd-net 的 NBP 埠廣播 (注意廣播地址 (255) 隱含在無主機號的網路名字中 - 所以在 /etc/atalk.names 中區分節點名和網路名是個好主意 ).

Tcpdump 可以翻譯 NBP (名字聯結協議 ) 和 ATP (Appletalk 互動協議 ) 的報文內容 . 其他協議只轉儲協議名稱 (或號碼 , 如果還沒給這個協議註冊名稱 ) 和報文大小 .

NBP 報文 的輸出格式就象下面的例子 :

icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186

第一行是網路 icsd 的 112 主機在網路 jssmag 上的廣播 , 對名字 laserwriter 做名字查詢請求 . 名字查詢請求的 nbp 標識號是 190. 第二行顯示的是對這個請求的回答 (注意它們有同樣的標識號 ), 主機 jssmag.209 表示在它的 250 埠註冊了一個 laserwriter 的資源 , 名字是 "RM1140". 第三行是這個請求的其他回答 , 主機 techpit 的 186 埠有 laserwriter 註冊的 "techpit".

ATP 報文 格式如下例所示 :

jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001
helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001
jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002

Jssmag.209 向主機 helios 發起 12266 號互動操作 , 請求 8 個報文 (‘<0-7>’). 行尾的十六進位制數是請求中 ‘userdata’ 域的值 .

Helios 用 8 個 512位元組的報文應答 . 跟在互動號後面的 ‘:digit’ 給出了互動過程中報文的序列號 , 括弧內的數字是報文的資料量 , 不包括 atp 報頭 . 報文 7 的 ‘*’ 表明設定了 EOM 位 .

然後 Jssmag.209 請求重傳第 3 & 5 報文 . Helios 做了重傳後 jssmag.209 結束這次互動操作 . 最後 , jssmag.209 發起下一次互動請求 . 請求中的 ‘*’ 表明 沒有 設定 XO (exactly once) 位 .

IP 分片

分片的 Internet 資料報顯示為

(frag id : size @ offset +)
(frag id : size @ offset )

(第一種形式表明還有更多的分片 . 第二種形式表明這是最後一片 .)

Id 是分片標識號 . Size 是分片大小 (位元組 ), 不包括 IP 報頭 . Offset 是該分片在原資料報中的偏移 (單位是位元組 ).

每一個分片的資訊都可以打印出來 . 第一個分片包含了高層協議報頭 , 顯示協議資訊後顯示分片的資訊 . 第一個分片以後的分片不再含有高層協議報頭 , 所以在源目地址後面只顯示分片資訊 . 例如 , 下面是從 arizona.edu 到 lbl-rtsg.arpa 的一部分 ftp 傳輸 , 途經的 CSNET 看上去處理不了 576 位元組的資料報 :

arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
arizona > rtsg: (frag 595a:204@328)
rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560

這裡有幾點需要注意 : 首先 , 第二行的地址不包括埠號 . 這是因為 TCP 協議資訊全部裝到了第一個分片內 , 所以顯示後續分片的時候不可能知道埠或流序號 . 其次 , 第一行的 tcp 流序號部分看上去有 308 位元組的使用者資料 , 實際上是 512 位元組 (第一個分片的 308 和第二個分片的 204 位元組 ). 如果你正在尋找流序號中的空洞 , 或者試圖匹配報文的確認 (ack), 那你上當了 .

如果報文的 IP 標有 不要分片 標誌 , 那麼在尾部顯示 (DF) .

時戳

預設情況下 , 所有輸出行的前面都有時戳 . 時戳就是當前時間 , 顯示格式為

hh:mm:ss.frac

精度和核心時鐘一樣 . 時戳反映了核心收到報文的時間 . 從以太介面收到報文到核心響應 ’報文就緒 ’ 中斷有一個滯後 , 該滯後不被考慮 .

另見 (SEE ALSO)

traffic(1C), nit(4P), bpf(4), pcap(3)

作者 (AUTHORS)

Van Jacobson, Craig Leres and Steven McCanne, all of the Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.

當前版本可以從匿名 ftp 獲得 :

ftp://ftp.ee.lbl.gov/tcpdump.tar.Z

BUGS

請把臭蟲報告傳往 tcpdump@ee.lbl.gov.

NIT 不允許監視你自己的傳出資料 , BPF 可以 . 我們建議你使用後者 .

應該試著重組 IP 分片 , 至少可以為更高層的協議計算出正確的長度 .

名字服務逆向詢問轉儲的不正確 : 打印出 (空的 )問題部分 , 而實際上詢問放在了回答部分 . 有人認為這種逆向詢問本身就是 bug, 應該修改產生問題的程式 , 而非 tcpdump.

蘋果 Ethertalk DDP 的報文應該象 KIP DDP 的報文一樣容易轉儲 , 事實卻不是這樣 . 即使我們有意作點什麼來促銷 Ethertalk (我們沒有 ), LBL 也不允許 Ethertalk 出現在它的任何網路上 , 所以我們沒辦法測試這些程式碼 .

如果報文的路徑上出現夏時制時間變化 , 可能導致時戳混亂 . (這個時間變化將忽略 )

操作 FDDI 報頭的過濾器表示式假設所有的 FDDI 報文被封裝在以太報文中 . 這對 IP, ARP 和 DECNET Phase IV 無疑是正確的 , 但對某些協議如 ISO CLNS 不正確 . 因此 , 過濾器有可能會糊里糊塗的的接收一些並不真正匹配過濾器表示式的報文 .

[中文版維護人 ]

徐明 <xuming@users.sourceforge.net>

[中文版最新更新 ]

2003/05/13

《中國 Linux論壇 man手冊頁翻譯計劃》

http://cmpp.linuxforum.net

跋

本頁面中文版由中文 man 手冊頁計劃提供。
中文 man 手冊頁計劃： https://github.com/man-pages-zh/manpages-zh

Man page - tcpdump(8)

Packages contains this manual

Available languages:

Manual

TCPDUMP

NAME

總 覽 (SYNOPSIS)

描 述 (DESCRIPTION)

選 項 (OPTIONS)

示 例 (EXAMPLES)

輸 出 格 式 (OUTPUT FORMAT)

另 見 (SEE ALSO)

作 者 (AUTHORS)