NAME
tcpdump - በአንድ አውታረ መረብ ላይ ያለ ትራፊክ ማቆም
SYNOPSIS
tcpdump [ -adflnNOpqRStuvxX ] [ -c count ]
[ -C ክንሲ_ይዝ ] [ -F ፋይል ]
[ -i በይነገጽ ] [ -ሞ ሞጁል ] [ -r ፋይል ]
[ -s snaplen ] [ -T type ] [ -U ተጠቃሚ ] [ -w ፋይል ]
[ -አ algo: ሚስጢራዊ ] [ አገላለጽ ]
DESCRIPTION
Tcpdump ከቡሊያን ገለጻ ጋር በሚዛመድ የአውታረመረብ በይነገጽ ላይ የፓኬቶች ራስጌዎችን ያትታል . ከፓድ-ኦ ባንዲራ ጋር, ለትንታኔ ትንተና የፋይናንስ መረጃን ወደ ፋይሉ ለመቆጠብ የሚያስችለውን እና / ወይም ከ -r ዕልባት ጋር ለማቆየት, ከቅጂ ፕሊን ፋይሎችን ለማንበብ ከማስቀመጥ ይልቅ ከአውታረመረብ በይነገጽ. በሁሉም ሁኔታዎች, ትግበራ ጋር የሚመሳሰሉ ፓኬቶች ብቻ በ tcpdump ይሰራሉ.
Tcpdump ከ-ነጥብ ካላቀረቡ በስተቀር በ SIGINT ምልክት ከተቋረጠ በኋላ እሽጎችን ማሰባሰቡን ይቀጥላል (ለምሳሌ, የእረፍት ቁምፊዎን በመተየብ, በተለይም ቁጥጥር-ሲ) ወይም የ SIGTERM ምልክት (በመነገድ ከተፈጠረ) (1) ትእዛዝ); በ-ኮ ባንዴር ከተሰራ, በ SIGINT ወይም SIGTERM ምልክት እስኪያልቅ ድረስ እሽጎችን መያዝ ይችላል ወይም የተጠቀሰው የቁጥሮች ቁጥር ተካሂዶበታል.
Tcpdump እሽጎችን ለመያዝ ሲያጠናቅቁ, የሚከተሉትን ያካትታል:
(ይህ ትርኢት tcpdump ን እየሰሩበት ባለው ስርዓተ ክወና እና OS የተዋቀረበት መንገድ ላይ ነው የሚወሰነው - በትእዛዝ መስመር ላይ ማጣሪያ ላይ ከተገለፀ በአንዳንድ ኦቲዮዎች ላይ ነው የሚቆጠረው እሽጎች ውስጥ በማጣሪያ አጽዳቂው ውስጥ ቢጣሉም, እና በሌሎች ኦዲዮ ስርዓቶች ላይ ደግሞ በማጣሪያ አረፍተ ነገር የተጣጣሙ ፓኬቶች ብቻ ናቸው እና በ tcpdump ተስተካክለዋል );
(በ
እንደ አብዛኛዎቹ የቢኤስዲ ኤስጂ ያሉ የ SIGINFO ምልክቶችን የሚደግፉ ስርዓቶች ላይ, የ SIGINFO ምልክት ሲቀበሉ (ለምሳሌ, የእርስዎን የን `ሁኔታ '' ፊደል በመተየብ, በተለምዶ የቁጥጥር T ን በመተየብ) እነዚህን ቁጥሮች ሪፖርት ያደርጋል እና ጥቅሎችን መያዝ .
ከአንድ የአውታረመረብ በይነገጽ ውስጥ ጥቅሎችን ማንበብ ከብዎት ልዩ መብቶችን ይጠይቁዎታል.
በሶርሶ 3.x ወይም 4.x በ NIT ወይም BPF ስር:
ወደ / dev / nit መዳረስ / / dev / bpf * ማንበብ አለብዎት.
ከላሊ ዲስኤኤምኤል ጋር በዲኤንኤፒ ፒ ስር:
ለአውታረ መረብ የውሸት ስም / ስነጽሁፍ መዳረሻ አለዎት, ለምሳሌ / dev / le . ቢያንስ በተወሰኑ የ Solaris ስሪቶች ላይ, tcpdump በፕሮፌሰርነት ሁነታ ለመቅዳት በቂ አይደለም. በእነዚህ የ Solaris ስሪቶች ውስጥ ስር መሆን አለብዎ, ወይም በፕሮፌሰርነት ሁነታ ለመያዝ ሲል tcpdump ስርዓቱ ስርዓቱ ስር እንዲቀመጥ, setuid መጫን አለበት. ያስተውሉ, በበርካታ (ምናልባትም) ሙሉ አጋሮች ውስጥ, በሴተኛ መንገድ ሁናቴ ውስጥ ካልወሰዱ, ምንም የወጪ እሽጎች አያዩም, ስለዚህ በ "ሴኪያል" ሁነታ ላይ ያልተቀረፀ አንድ ላይሆን ይችላል.
በ HP-UX በ DLPI በኩል:
ስር መሆን አለብዎ ወይም tcpdump ስርዓተ-ዡውን ወደ ስርዓቱ መጫን አለበት.
በ IRIX ስር በ snoop:
ስር መሆን አለብዎ ወይም tcpdump ስርዓተ-ዡውን ወደ ስርዓቱ መጫን አለበት.
በሊነክስ ስር:
ስር መሆን አለብዎ ወይም tcpdump ስርዓተ-ዡውን ወደ ስርዓቱ መጫን አለበት.
በ Ultrix እና በዲጂታል UNIX / Tru64 UNIX:
ማንኛውም ተጠቃሚ ከ tcpdump ጋር የአውታረ መረብ ትራፊክን ይያዟቸዋል . ነገር ግን ተጠቃሚው (ምንም እንኳን ተጠቃሚው እንኳን እጅግ በጣም ተጠቃሚው ባይሆንም ከፍተኛ ተጠቃሚው ፒፔconfig (8) ተጠቅሞ ካልሆነ በስተቀር ምንም ተጠቃሚ ካልሆነ በስተቀር (ምንም እንኳን እጅግ በጣም የላቀ ተጠቃሚን ጨምሮ) በ "ልቅ የ" ) በ pfconfig ተጠቅመው በዚህ በይነገጽ ላይ የቅጂ-ሁለም ሁናቴን ካነቃው በስተቀር በአይነመረብ የተቀበለ ወይም የተላቀቀ የትራፊክ መንሸራትን ሊወስድ ይችላል.በአንዳንዱ በይነገጽ ውስጥ ጠቃሚ የፓኬት ቀረጻዎች ምናልባት ማስተዋወቅ- የሁሉም-አሠራር ክወና, ወይም ሁለቱም የስራ ዓይነቶች, በዛ በይነገጽ ላይ ይነቃል.
በ BSD ስር:
ወደ / dev / bpf * ማንበብ አለብዎት.
የተቀመጠ የቁጥር ፓኬት ፋይል ማድረግ ልዩ ልዩ መብቶችን አያስፈልገውም.
OPTIONS
-a
አውታረ መረብ እና የስርጭት አድራሻዎችን ወደ ስሞች ለመቀየር የሚደረግ ጥረታ.
-ከ
የተቆጠሩ ፓኮች ከተቀበሉ በኋላ ውጣ.
-
አንድ ጥሬ እሽግ ወደ ውድፅፋይ ከመጻፍዎ በፊት ፋይሉ በአሁኑ ጊዜ ከፋይል_ ሒሳብ ይበልጡ እንደሆነ ያረጋግጡ እና ከሆነ, አሁን ያለውን savefile ይዝጉ እና አዲስ ይክፈቱ. ከመጀመሪያው የማስቀመጫ ፋይል በኋላ የተቀመጡ ፋይሎችን በዊድለር ከሚታየው ስም ጋር, ከ 2 ጀምሮ እና ከዚያ በላይ ወደ ቀጣዩ ይቀይረዋል. የፋይል_የይሎች ምድቦች ሚሊዮኖች ባይት (1,000,000 ባይት, 1,048,576 ባይቶች አይደሉም).
-d
ኮምፒተር ሊያነፃፅድ በሚችል ፎርሙ ላይ ወደ ተለመደው ውጤት እና ማቆም (ኮምፕዩተር) ማጠናከሪያ የተጣራውን እሽግ ማዛመጃ ኮድ ይጣሉ
-ወዳ
እንደ የ C ፕሮግራም ፍርግርግ ጥቅል ማዛመጃ ኮዱን ይትረፉ.
-ወዲ
ፓኬትን ማመሳሰል ኮድን እንደ አስር ቁጥሮች መቁረጥ (ከቁጥር በፊት ተካትቷል).
-ቀ
በእያንዳንዱ የአስከባሪ መስመር ላይ የአገናኝ ደረጃ ራስጌ ማተሚያውን ያትሙ.
-ኤ
አልጂን ይጠቀሙ : የአይፒሲ ኢ ኤስ ኤ ፓኬት ፓኬቶችን ለመመስሸ ሚስጢር . አልጎሪዝም-cbc , 3des-cbc , blowfire-cbc , rc3-cbc , cast128-cbc , ወይም የለም ሊሆን ይችላል . ነባሪው-cbc ነው . Tcpdump በምስጠራ ምስል እንደነቃ ከሆነ ውስጦችን የመፍጠር ችሎታ የሚገኘው በቅረብኛው ብቻ ነው. ለ ESP ሚስጥራዊ ቁልፍ የ ascii ጽሑፍን ሚስጥራዊ ያድርጉ. በዚህ ጊዜ የዘፈቀደ ሁለትዮሽ ዋጋን አንወስድም. አማራጩ RFC2406 ESP ይወስዳል, የ RFC1827 ESP ሳይሆን. አማራጩ ለሞከር ተግባራት ብቻ ነው, እና የዚህን አማራጭ «ሚስጥራዊ» ቁልፍ መጠቀም የተስፋ መቁረጥ አይኖርም. በ IP (1) እና በሌሎች አጋጣሚዎች IPsec ምስጢራዊ ቁልፍን ለትዕዛዝ መስመሩ በማቅረብ ለሌሎች እንዲታይ አድርገዋል.
-ፈ
"የውጭ" የኢንተርኔት አድራሻዎችን በምሳሌያዊ መንገድ አያት (ይህ አማራጭ የተዘጋጀው በፀሐይ የ yp server ውስጥ ከባድ የአዕምሮ ጉዳት መድረሱ - ለማቆም ነው.
-F
ለማጣሪያ መግለጫ ውስጥ ፋይልን እንደ ግቤት ይጠቀሙ. በትእዛዝ መስመር ላይ የተሰጠ ተጨማሪ መግለጫ ችላ ይባላል.
-i
በይነገጽ ላይ ያዳምጡ. ካልተገለጸ tcpdump በጣም ዝቅተኛ ቁጥርን, የተዋቀሩ በይነገጽን (የብሎግ ቡክይን ሳይጨምር) የስርዓት በይነገጽን ይመረምራል. የመጀመሪያውን ተዛማጅ በመምረጥ ህብረት ይሰባበር.
በ 2.2 ስርዓተ ክወናዎች ወይም በኋለኛ ችርዶች ላይ, "ከማንኛውም" የኮምፒዩተር ነጋሪ እሴት በሁሉም አካባቢዎች ላይ ያሉ ጥቅሎችን ለመቅዳት ጥቅም ላይ ሊውል ይችላል. «በማናቸውም» መሣሪያ ላይ ያሉ ቀረጻዎች በፕሮፌሰርነት ሁነታ እንደማይከናወኑ ልብ ይበሉ.
-l
የስታስቲክ መስመር ተጠናቅቋል. በሚያስታውስበት ጊዜ ውሂቡን ማየት ከፈለግህ ጠቃሚ ነው. ለምሳሌ,
`` tcpdump -l | የ "tee dat" "ወይም` `tcpdump -l> dat & tail -f ስለዚህ ''.
-m
የ SMI MIB ሞዴል መግለጫዎች ከፋይል ሞዱል ጫን. ይህ አማራጭ በርካታ MIB ሞዴሎችን tcpdump ለመጫን በርካታ ጊዜ ጥቅም ላይ ሊውል ይችላል.
- n
የተስተካከሉ አድራሻዎችን ወደ ስሞች አትለውጥ. ይሄ የዲ ኤን ኤስ ፍለጋዎችን ለማስቀረት ጥቅም ላይ ሊውል ይችላል.
-nn
ፕሮቶኮል እና ወደብ ቁጥር ወዘተ ለእራስ አይዙሩ.
-N
የአስተናጋጅ ስሞችን ስም ጎራ ስም አታሳይ. ለምሳሌ, ይህን ዕልባት ከሰጠህ tcpdump ከ `` nic.ddn.mil ይልቅ `ticpump` ን ያትማል.
-ኦ
የፓኬት ማመሳሰጃ ኮድ ማመቻቸት አይሂዱ. በሂደቱ ውስጥ አስተላላፊ እንዳለ ከተጠራጠሩ ይህ ጠቃሚ ነው.
-p
በይነገጹን በፕሮፌሰርነት ሁነታ ላይ አትጨምር. ማሳያው ለአንዳንድ ምክንያቶች በድርጊት ዘዴ ሊሆን እንደሚችል ያስተውሉ. ከዚህ የተነሳ `-p 'በ" ኤተር አስተናጋጅ "(local-hw-addr) ወይም ኤተር ስርጭትን (አኅብረ-ቃል) ለማመልከት አያገለግልም.
-q
ፈጣኑ (ዝምታ?) ውፅዓት. የውድድር መስመሮች አጠር ያሉ ማተሚያዎችን ያትሙ.
-ሬ
የ ESP / AH ጥቅሎች በአሮጌ አሠራር (RFC1825 እስከ RFC1829) እንዲመዘኑ አስቀምጥ. ከተገለጸ, tcpdump እንደገና ማጫኛ መከላከያ መስክ አትተምም . በ ESP / AH መስፈርት ውስጥ ምንም የፕሮቶኮል ስሪት መስክ ስለሌለ, tcpdump የ ESP / AH ፕሮቶኮል ስሪት ሊደርስ አይችልም.
- r
ከ (በ-w አማራጭ ጋር የተፈጠረውን) እሽጎች ከፋይል ያንብቡ. ፋይሉ `` - '' ከሆነ መደበኛ ግብዓት ጥቅም ላይ ይውላል.
-
ከሲቲቭ የ TCP ተከታታይ ቁጥሮች ይልቅ ፍጹም, አትም.
-እ
ከእያንዳንዱ እሽኬት <68 < የፐርሰንት> የፐርሰንት ስፒፕሌን አሃዞች (በ SunOS NIT ሲካተት ዝቅተኛው 96 ነው). 68 ቢት ለ IP, ICMP, TCP እና UDP በቂ ነው ነገር ግን የፕሮቶኮል መረጃ ከስም አገልጋይ እና ከ NFS እቅዶች (ከታች ይመልከቱ) ሊያቋርጥ ይችላል. በተወሰነ ስእልፕላቱ ምክንያት የተሰለፉ ፓኬቶች በ <`[| ፕሮቶ ] '' ሲሆን, ፕሮቶኮል ስረዛው የፕሮቶኮል መጠሪያ ስም ነው. ሁለቱም ቅጽበተ-ፎቶዎችን መውሰድ ሁለቱም ጥቅሎችን ለማስኬድ የሚያስፈልገውን ጊዜ ይጨምረዋል, እና ውጤታማ በሆነ መልኩ የፓኬቲንግ ማቋረጥ መጠን ይቀንሳል. ይህ ፓኬቶች እንዲጠፉ ሊያደርግ ይችላል. የሚፈልጓቸውን የፕሮቶኮል መረጃን የሚይዙት ትንሽ ቁጥርን መወሰን አለብዎት . " Snaplen to 0" ማዘጋጀት ማለት ሙሉ ማቀናባበሪያዎችን ለመያዝ የሚያስፈልገውን ርዝመት መጠቀም ያስፈልጋል.
- ቲ
የተጠቀሰውን አይነት ፍቺ ለመተርጎም በ " መግለጫ " የተመረጡ እሽጎች አስገድድ. በአሁኑ ጊዜ የሚታወቁ አይነቶች በ cnfp (Cisco NetFlow protocol), rpc (ሩቅ የአሠራር መቀበያ ), rtp (Real-Time Applications ፕሮቶኮል), rtcp (Real-Time Applications control protocol), snmp (ቀላል የኔትወርክ አስተዳደር ፕሮቶኮል), vat (Visual Audio Tool ), እና wb ( የተሰበሰ ነጭ ቦርድ).
-ሁ
በእያንዳንዱ የመጥፋት መስመር ላይ የጊዜ ማህተም አታድርጉ .
-ቁ
በእያንዳንዱ የአምልኮ መስመር ላይ ያልተስተካከለ የጊዜ ማህተም ያትሙ.
-ኡ
የተጠቃሚው መታወቂያ ለተጠቃሚው ቡድን እና ለተጠቃሚ ቡድን መለወጫ ለውጦችን ይወርዳል.
ማስታወሻ! ምንም ካላስቀመጠ በቀይ ተጠቃሚው ህጋዊነት «ረክ» ፕሬስቶች ተጠቃሚዎችን «pcap» ን አውጥቶ ያስወግዳቸዋል.
-tt
ዴልታ (በአነስተኛ-ሰከንዶች ውስጥ) በእያንዳንዱ የአምልኮ መስመር ላይ አሁን እና ከዚያ በፊት በነበረው መስመር መካከል ያትሙ.
-tttt
በእያንዳንዱ ነጠብጣብ መስመር ላይ የጊዜ ማህተም በእውነተኛ ቅርጸት ያትሙ.
-ቁ
ያልተሰየሙ የኤስ.ኤስ.ኤስ መያዣዎችን ያትሙ.
ለ
(ትንሽ እጥፍ) የቃቢል ውፅዓት. ለምሳሌ, በአይፒ ጥቅል ውስጥ የመኖሪያ ጊዜ, መታወቂያ, ጠቅላላ ርዝመት እና አማራጮች ይታተማሉ. እንዲሁም የአይፒ እና የአይሲፒኤም ራስጌ ቼክ እንደ ማረጋገጥ እንደ ተጨማሪ የጥቅል ማጣሪያ ቼኮች ናቸው.
-ቪ
የበለጠ ግልጽ ያልሆነ ውጤት. ለምሳሌ, ተጨማሪ መስኮች ከ NFS ምላሽ ጥቅሎች ታትመዋል, እና የ SMB ጥቅሎች ሙሉ ለሙሉ ዲኮርፈዋል.
-አቪ
የበለጠ ግልጽ ያልሆነ ውጤት. ለምሳሌ, Telnet SB ... SE አማራጮች በሙሉ ታትመዋል. በ- ኤክስ ቴኔት አማራጮች በሄክስቷል .
-ወ
ጥሬ እጥፎችን በፋይሉ ከመተንተን ይልቅ ለማረም ይጻፉ. በ -r አማራጮች በኋላ ሊታተሙ ይችላሉ. ፋይሉ `` - '' ከሆነ ደግሞ መደበኛ ውሂብን ጥቅም ላይ ይውላል.
-ክስ
በእያንዳንዱ እሽግ ውስጥ (እኩያውን የአገናኝ ደረጃ ራስጌ አነሳ) ውስጥ እሽግ አትም. ከጠቅላላው የፓኬት ወይም የሱፕሊን ባይት ትንሹ ህትመት ይገለጣል . ይህ የአጠቃላይ የሽብል ጣራ ጥቅል መሆኑን ልብ በል, ስለዚህ በእንጥብ አራቢዎች (ለምሳሌ Ethernet), የላይኛው የንብርብር ማሸጊያው ከሚፈለገው መያዣው አጠር ሲል አሻንጉሊቶች ባይትስትም ይታተም ይሆናል.
-X
እሱ hex ሲያትሙ, አታሚ ይጻፉም. ስለዚህም -x በተቀናበረ , ፓኬጅ በሄክስ / አስኪ ውስጥ ይታተማል. ይህ አዲስ ፕሮቶኮሎችን ለመተንበይ በጣም ጠቃሚ ነው. ምንም እንኳ -x ያልተዘጋጀ ቢሆንም, የአንዳንድ ፓኬቶች አንዳንድ ክፍሎች ሄክ / አስኪ ውስጥ ሊታተሙ ይችላሉ.
ገለጻ
የትኛው እሽጎች እንደሚወገዱ ይመርጣል. ምንም አገላለጽ ካልተሰጠ በስተቀር በአምዱ ላይ ያሉት ሁሉም ፓኬቶች ይደመሰሳሉ. አለበለዚያ ለየትኛው አገላለጽ << እውነት >> የሚባሉት ጥቅሶች ብቻ ይጣላሉ.
ቃሉ አንድ ወይም ከዚያ በላይ የሆኑ የመጀመሪያ ደረጃዎችን ያቀፈ ነው . ቅድመ-ቅዥቶች ብዙውን ጊዜ አንድ ወይም ከዚያ በላይ የሆኑ የሒሳብ ባለሙያዎች (ወይም ከዚያ በላይ በሆኑ) መታወቂያ (ስም ወይም ቁጥር) ያካትታሉ. ሶስት የተለያዩ አይነት ባለሙያ አለ.
ተይብ
የማብራሪያው ስም ወይም ቁጥር ምን ዓይነት ነገሮችን እንደሚጠቅስ ሒደቶች ይናገራሉ. ሊሆኑ የሚችሉ ዓይነቶች አስተናጋጁ , መረብ እና ወደብ ናቸው . ለምሳሌ «አስተናጋጅ foo», «net 128.3», «port 20». ምንም ዓይነት የማረጋገጫ ደረጃ ከሌለ አስተናጋጁ ሊታሰብበት ይችላል.
ዲ
የሽላሾች አንድ የተወሰነ የማስተላለፊያ አቅጣጫ ወደ / እና መታወቂያውን ይለዩ . ሊሆኑ የሚችሉ አቅጣጫዎች src , dst , src ወይም dst እና src እና dst ናቸው . ለምሳሌ «src foo», «dst net 128.3», «src ወይም dst port ftp-data». ምንም የዲያሪ መመዘኛ ከሌለው src or dst ተገምቷል. ለ
ፕሮፖ
ውድድሮች ከተወሰነ ፕሮቶኮል ጋር ይገድባሉ. ሊሆኑ ከሚችሉ ፕሮፕሎሞች መካከል- ኤተር , fddi , tr , ip , ip6 , arp , rarp , decnet , tcp እና udp . ለምሳሌ, `Ether src foo ',` arp net 128.3', `tcp port 21 '. ምንም ቅድመ-ብቃት ደረጃ ከሌለ ከእውነተኛው ጋር አብረውን የሚመሩ ሁሉም ፕሮቶኮሎች ይወሰዳሉ. ለምሳሌ «src foo» ማለት «ip or arp or rarp» src foo '(ከሌላ በስተቀር ሕጋዊ አገባብ አይደለም), «net bar» ማለት «(ip ወይም arp or rarp) net bar» እና «port 53» ማለት ማለት `(tcp ወይም udp) port 53 '.
[`fddi 'በእርግጥ' ኤተር 'ተለዋጭ ስም ነው.
የኤዲኤምኤል ራስጌዎች እንደ ኤተርኔት አይነት ምንጭ እና መድረሻ አድራሻዎችን ይይዛሉ, እንዲሁም ብዙውን ጊዜ እንደ ኤተርኔት አይነት የመረጃ አይነቶች የያዘ ነው ልክ በነጠላ ኢተርኔት መስኮች ላይ. የ FDDI ራስጌዎች ሌሎች መስኮችን ይይዛሉ ነገር ግን በጥር ማጣሪያ ውስጥ በግልጽ ሊሰጧቸው አይችሉም.
በተመሳሳይ
ከላይ ከተጠቀሰው በተጨማሪ ስርዓተ- ጥለያን , ስርጭትን , ጥቂቱን , ትላልቅ እና የስነ-ቁጥር መግለጫዎችን የማይከተሉ የተወሰኑ «የመጀመሪያ» ቁልፍ ቃላቶች አሉ. እነዚህ ሁሉ ከዚህ በታች ተብራርተዋል.
ይበልጥ ውስብስብ የማጣሪያ መግለጫዎች ቃላትን በመጠቀም, እና ጥንታዊ ቅጦችን ለማጣመር ይገነባሉ. ለምሳሌ, «አስተናጋጅ foo እንጂ አስተናጋጅ FTP እንጂ ለ ftp-data አይወረደም». መተየብን ለማስቀመጥ አንድ አይነት የማጣሪያ ዝርዝሮች መተው ይቻላል. ለምሳሌ 'tcp dst port ftp ወይም ftp-data ወይም ጎራ' ከ
ፍቃዳዊ መጀመሪያዎች እነዚህ ናቸው:
dst አስተናጋጅ አስተናጋጅ
የእሽታው የ IPv4 / v6 መድረሻ መስክ አስተናጋጅ ከሆነ በአድራሻ ወይም ስም ሊሆን ይችላል.
የ src አስተናጋጅ አስተናጋጅ
የጥቅሉ የ IPv4 / v6 ምንጭ መስክ አስተናጋጅ ከሆነ .
አስተናጋጅ አስተናጋጅ
እምቢል የ IPv4 / v6 ምንጭ ወይም የመድረሻው መዳረሻ አስተናጋጅ ከሆነ . ከላይ ያሉት አስተናጋጅ አረፍተነገሮች በሙሉ በቁልፍ ቃላት, አይ ፒ , አርፒ , ራፒ , ወይም ip6 በሚከተለው ውስጥ ሊካተቱ ይችላሉ :
የ IP አስተናጋጅይህም ከሚከተለው ጋር እኩል ነው:
ኤተር ፕሮቶፒ (አይፒ) እና አስተናጋጅ አስተናጋጅ (host)አስተናጋጅ ብዙ የ IP አድራሻዎች ስም ከሆነ, እያንዳንዱ አድራሻ ለመመሳሰል ምልክት ይደረግበታል.
ኤተር ዶትስ ኤፍ
የምዕራባው የመድረሻ አድራሻው ልክ ከሆነ. Ehost ከ / etc / ethers ወይም ከቁጥር (ለምድብ ቅርጸት ኤተር (3 ና) ሊሆኑ ይችላሉ.
ether src ehost
እውነት ነው የኢተርኔት ምንጭ አድራሻው ehost ነው .
ኤተር አስተናጋጅ
እውነት ነው የኢተርኔት ምንጭ ወይም የመድረሻ አድራሻው ehost ካለ .
???? ????
እሽግ እንደ ጌት (ጌትዌይ) አስተናጋጅ ሆኖ ቢሰራ ትክክል ነው. አይ, የኤተርኔት ምንጭ ወይም መድረሻ አድራሻ የተስተናገደ ቢሆንም የ IP ምንጭ ወይም የአይፒ ቦታው አስተናጋጅ አልሆነም . አስተናጋጅ ስም መሆን አለበት, እናም በማሽኑ የአስተናጋጅ ስም-ወደ-አይፒ አድራሻ መፍታት ስልቶች (የአስተናጋጅ ስም ፋይል, ዲ ኤን ኤስ, NIS, ወዘተ.) እና በኬብጫ አስተናጋጅ ስም ወደ ኢተርኔት አድራሻ መፍታት ዘዴ (/ etc / ethers ወዘተ). (ተመጣጣኝ አገላለጽ ነው
የኤተር አስተናጋጅ እና አስተናጋጅ አስተናጋጅ አይደለምይህም ከአንዳንዶቹ ስሞች ወይም ቁጥሮች ጋር ለአስተናጋጅ / ehost ጥቅም ላይ ሊውል ይችላል.) ይህ አገባብ በዚህ ጊዜ በ IPv6 የነቃ ውቅር ላይ አይሰራም.
dst net net
የእሽታው የ IPv4 / v6 መድረሻ አድራሻ የኔትወርኩ ቁጥር ቁጥር ካለው. Net የ " / etc / networks" ወይም የአውታር ቁጥር ሊሆን ይችላል ( ዝርዝሮችን ለማግኘት ኔትወርክ (4) ይመልከቱ).
src net net
እሽጉ የ IPv4 / v6 ምንጭ አድራሻው የአውታር መረብ ቁጥር ካለው.
የተጣራ መረብ
እሽጉ የ IPv4 / v6 ምንጭ ወይም የመድረሻ አድራሻው የአውታር መረብ ቁጥር ካለው.
የተጣራ መረብ መረብ ጭማቂ
የአይ ፒ አድራሻው ከተወሰነ የ " netmask" ጋር ከተጣመረ . Src ወይም dst ውስጥ ብቁ ሊሆኑ ይችላሉ. ይህ አገባብ ለ IPv6 መረብ ትክክል እንዳልሆነ ልብ ይበሉ.
net net / len
እውነት ነው የ IPv4 / v6 አድራሻ በኔትስክ ቦር ቢት ስፋት ጋር ከተዛመደ . Src ወይም dst ውስጥ ብቁ ሊሆኑ ይችላሉ.
dst ወደብ ወደብ
እሽጉ እንደ ip / tcp, ip / udp, ip6 / tcp ወይም ip6 / udp እና የወደብ የወደብ ዋጋ አለው. ወደብ / etc / services ጥቅም ላይ የሚውል ቁጥር ወይም ስም ሊሆን ይችላል ( tcp (4P) እና udp (4P)). ስም ጥቅም ላይ ከዋለ ሁለቱም የቁምበር ቁጥር እና ፕሮቶኮል ምልክት ይደረግባቸዋል. አንድ ቁጥር ወይም አሻሚ ስም ከተጠቀመ , የወደብ ቁጥር ብቻ (ለምሳሌ, dst 513 ሁለቱም tcp / login ትራፊክ እና udp / የትራፊክ ህትመት ይጠቀማሉ, እና የወደብ / የጎራ ጎራ ሁለቱንም tcp / domain እና udp / የጎራ ትራፊክ ያትማል).
src የመግቢያ ወደብ
ፓኬጅ የመግጫው የመግጫ ወደብ እንዳለው.
የወደብ ወደብ
እውነትም ፓኬጁን ወይም የመድረሻ ፖርት ወደብ ነው . ከላይ የተጠቀሱት የግንኙነት አገላለፆች በሙሉ በቁልፍ ቃላት, tcp ወይም udp ይተካሉ , በሚከተሉት ውስጥ ነው-
tcp src port portይህም ምንጭ ጅረት ወደብ የሚያመጣው የቴክሲፒ እሽጎች ብቻ ነው.
ያነሰ ርዝመት
ፓኬጅ ርዝመት ከግማሽ ያነሰ ወይም እኩል ከሆነ. ይሄ ከሚከተሉት ጋር እኩል ነው:
len <= ርዝመት .የበለጠ ርዝመት
እሽግ ከግዜ ጋር ወይም እኩል የሆነ ርዝመት ያለው ከሆነ . ይሄ ከሚከተሉት ጋር እኩል ነው:
len> = ርዝመት .የአይፒ ፕሮቶ ፕሮቶኮል
የፕሮቶኮል ፕሮቶኮል ፕሮቶኮል ፓኬጅ (IP) ጥቅል ( ip (4P) እይ) እንደሆነ እርግጠኛ ነው. ፕሮቶኮል ከ icks , icmp6 , igmp , igrp , pim , ah , esp , vrrp , udp , ወይም tcp ከመሳሰሉት ስሞች አንዱ ወይም አንዱ ሊሆን ይችላል. ማሳሰቢያዎች tcp , udp እና icmp ቁልፍ ቃላት ናቸው እንዲሁም በ C-shell ውስጥ \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ ይህ ጥንታዊ የፕሮቶኮል ርእስ ሰንሰለት አላሳየም.
ip6 ፕሮቶኮል
እሽፉ የፕሮቶኮል አይነት ፕሮቶኮል IPv6 ጥቅል ከሆነ እውነት ነው. ይህ ጥንታዊ የፕሮቶኮል ርእስ ሰንሰለት አላሳየም.
የ ip6 ፕሮቶኮን ፕሮቶኮል
እሽጉ የ IPv6 ጥቅል ከሆነ እና የፕሮቶኮል ርእስ በፕሮቶኮል ራስጌ ሰንሰለት ውስጥ ካለው የፕሮቶኮል ርእስ ጋር ያካትታል. ለምሳሌ,
ip6 protochain 6በፕሮቶኮል ራስጌ ሰንሰለት ውስጥ በ TCP ፕሮቶኮል ራስጌ በየትኛውም የ IPv6 ጥቅል ጋር ይዛመዳል. ፓኬጁ ለምሳሌ የማረጋገጫ ራስጌ, ራውላይ ራስጌ, ወይም በ hop-by-hop አማራጭ ርዕስ, በ IPv6 ራስጌ እና በ TCP ርእስ መካከል ሊኖረው ይችላል. በዚህ ጥንታዊ የታወቀው የ BPF ኮድ ውስብስብ እና በ TCPDump በ BPF ማመቻቸት ሊሻሻል አይችልም, ስለዚህ ይሄ ትንሽ ፍጥነት ሊኖረው ይችላል.
የ ip protochain ፕሮቶኮል
ከ ip6 ፕሮቶኮል ፕሮቶኮል ጋር እኩል ነው, ነገር ግን ይህ ለ IPv4 ነው.
ኤተር ስርጭት
ፓኬጅ የኤተርኔት ስርጭት ጥቅል ከሆነ. የአተር ቁልፍ ቃል አማራጭ ነው.
የአይኤም ስርጭት
ፓኬጅ የአይፒ ስርጭት ፓኬጅ ከሆነ. የሁለንም-ዜሮ እና የሁሉም-ጊዜ ስርጭት ስምምነቶችን ይቆጣጠራል, እና የአካባቢውን ንኡስ መረብ ጭምብል ይመረምራል.
ether multicast
ፓኬጅ ኤተርኔት ብዙ ማቅለጫ ስብስብ ከሆነ የአተር ቁልፍ ቃል አማራጭ ነው. ይህ ኤተር [0] & 1! = 0 'አረፍተ ነገር ነው.
ip multicast
ፓኬጅ የአይፒ ብዙ ማቅለጫ እሽጎች ከሆነ.
ip6 multicast
ፓኬጅ IPv6 ባለ ብዙ ማቅለጫ እሽግ ከሆነ.
ኤተር ፕሮቶ ፕሮቶኮል
እሽጉ ከኤተር አይነት ፕሮቶኮል ጋር ከሆነ . ፕሮቶኮል ip , ip6 , arp , rarp , atalk , aarp , decnet , sca , lat , mopdl , moprc , iso , stp , ipx , ወይም netbeui ከሚባሉ ስሞች አንዱ ቁጥር ወይም አንዱ ሊሆን ይችላል. እነዚህ መለያዎች እንዲሁ ቁልፍ ቃላቶች መሆናቸውን እና በ backslash (\) መታሸግ አለባቸው.
(በ < Fddi ፕሮቶኮል አርፕ >) እና በቶኮን ሪንግ (ለምሳሌ " tr trace arp ") ለአብዛኞቹ ፕሮቶኮሎች የፕሮቶኮል መለያው ከ 802.2 Logical Link Control (LLC) ርእስ ነው የሚመጣው. ብዙውን ጊዜ በ FDDI ወይም በቶን ኦን ሪርድ ርእስ የላይኛው ክፍል ላይ ይደረጋል.
በ FDDI ወይም Token Ring ውስጥ ለአብዛኛዎቹ የፕሮቶኮል መለያዎች ማጣሪያ ሲጣሩ, tcpdump በ Ethernet የተሸፈነው በ 0x000000 በድርጅታዊ አሃድ መለኪያ (OUI) ውስጥ በሚታወቀው የኤል ኤን ኤፒ ቅርጸት የፕሮቶኮል መለያ መስክ ብቻ ነው. ፓኬጁ በ SNAP ፎርሜሽ ውስጥ ከ 0x000000 በ OUI ውስጥ መሆኑን ወይም አለመሆኑን አያረጋግጥም.
የማይታለፉዎች ኢሲ (DSAP) እና የሲኤስኤኤፒ (ምንጭ አገልግሎት መድረሻ) መስሪያዎች የሲኢኤምኤል ርእስ, stp እና netbeui መስኮች, የዲሴምኤል ራስጌ የሆነውን DSAP እና አጣቃዩን በ 0x080007 እና በ Appletalk ተመሳሳይነት በ SNAP ቅርፀት ፓኬጅ ቼኮች ላይ ይመረምራል.
በኤተርኔት ውስጥ, tcpdump ለአብዛኞቹ ፕሮቶኮሎች የኢታይኔት አይነት መስክን ይፈትሻል. የማይካተቱት iso , sap እና netbeui ናቸው , እሱም ለ 802.3 frame ይፈትሹ እና ከዚያም ለኤ ዲዲአይ እና ለቶክን ሪንግ እንደሚታወቅ , የ LLC ን ርእሰ ጉዳይ ለኤ.ፒ.ዲ.ዲ. ኤቲኔት መረብ እና ለኤ ዲኤንኔት ስእል ሁሉ እንደሚፈተሽ ሁሉ የዩኤስኤን ርዕስን ይፈትሻል. የ SNAP ቅርጸት ጥቅል ለ FDDI እና Token Ring, aarp , በአፕሌትላ ኤአርፒ አምፕ እና በኤተርኔት ክምችት ወይም በ 802.2 SNAP ክፈፍ ከ OXE 0x000000 ጋር, እና IPx , የኢተርኔት ክፈፍ, IPX DSAP በኤልኬ ማእረግ, 802.3 የማይክሮ ዩ ኤስ ኤ ኤፒአይ የ IPX ምስቅልቅል እና በ SNAP ክፈፍ ውስጥ የ IPX ኤተር ነው.
የኔ src አስተናጋጅ
እውነት ነው, የ DECNET ምንጭ አድራሻ ተስተናግዷል, ምናልባት የዚህ ቅጽ `` 10.123 '' ወይም የ DECNET አስተናጋጅ ስም ሊሆን ይችላል. [የ DECNET አስተናጋጅ ድጋፍ በድህረ-ገፅ (ዩትኤንሲሲ) እንዲሠራ ተደርጎ የተዘጋጁ ናቸው.
decnet dst አስተናጋጅ
DECNET የመድረሻ አድራሻው ተስተናግዷል.
ዲኔት አስተናጋጅ አስተናጋጅ
እውነትም DECNET ምንጭ ወይም መድረሻ አድራሻ አስተናጋጅ ከሆነ .
ip , ip6 , arp , rarp , atalk , aarp , decnet , iso , stp , ipx , netbeui
አረጓዎች ለ
ether proto pእዚህ ላይ ፒ ከላይ ከተጠቀሱት ፕሮቶኮሎች ውስጥ አንዱ ነው.
lat , moprc , mopdl
አረጓዎች ለ
ether proto pእዚህ ላይ ፒ ከላይ ከተጠቀሱት ፕሮቶኮሎች ውስጥ አንዱ ነው. ያስታውሱ tcpdump በአሁኑ ጊዜ እነዚህን ፕሮቶኮሎች እንዴት መተንተን እንደሚቻል አያውቅም.
vlan [vlan_id]
ፓኬጅ የ IEEE 802.1Q የ VLAN ጥቅል ከሆነ ነው. [Vlan_id] ከተገለጸ ብቻ እሽጉ እዚያው የተጠቀሰው vlan_id አለው . በንግግራቸው ውስጥ የመጀመሪያው የቪንግን ቁልፍ ቃል በአጠቃላይ ለቀሪው የሒሳብ ቀመራ ቅየራ ተለዋዋጭ መሆኑን ያስታውሰናል ፓኬጁ የ VLAN ጥቅል ነው.
tcp , udp , icmp
አረጓዎች ለ
ip proto p ወይም ip6 proto pእዚህ ላይ ፒ ከላይ ከተጠቀሱት ፕሮቶኮሎች ውስጥ አንዱ ነው.
iso ፕሮቶ ፕሮቶኮል
ፓኬጅ የፕሮቶኮል ዓይነት ፕሮቶኮል ( ኦፕሬቲንግ) ኦፕሬቲንግ ፓኬት ከሆነ. ፕሮቶኮል ከ ስሞች ወይም ኢኒስ ( ኢሲስ ) ወይም አይሲስ ውስጥ አንዱ ሊሆን ይችላል.
clnp , esis , isis
አረጓዎች ለ
iso proto pእዚህ ላይ ፒ ከላይ ከተጠቀሱት ፕሮቶኮሎች ውስጥ አንዱ ነው. Tcpdump እነዚህን ፕሮቶኮሎች ለመተንተን ያልተጠናቀቀ ሥራ እንደነበረ ልብ ይበሉ.
የፔፕ አፕ ሪፖት
እውነት, <=> <=, = ,! =, እና ኤክስፕሬም <ቋሚ ቀሪዎች (በ C ሲትሬክስ የተብራራ ), ሁለት የተለመዱ ሁለትዮሾች (+ , -, *, /, &, |], የርዝመት አከናዋኝ, እና ልዩ የፓኬት ውሂብ ተጠቃሚዎችን ነው. በፓኬት ውስጥ ውሂብን ለመድረስ, የሚከተለውን አገባብ ተጠቀም:
ፕሮፊ [ ተምሳሌት መጠን ]ፕሮቶ ከአአተር, fddi, tr, ppp, slip, አገናኝ, ip, arp, rarp, tcp, udp, icmp ወይም ip6 አንዱ ነው , እና ለምርጫ ማውጫ ምልክት የፕሮቶኮል ንብርብር ያመለክታል. ( ኤተር, fddi, tr, ppp, slip እና አገናኝ ሁሉም ወደ አገናኙ ንብርብር የሚያመለክቱ ናቸው.) tcp, udp እና ሌሎች የላይኛው ንጣፍ የፕሮቶኮል አይነቶች ለ IPv4 ብቻ ነው እንጂ IPv6 አይደሉም (ይህ ለወደፊቱ የሚስተካከል ነው). በ byte ተስተካክሏል, ከተገለጸው የፕሮቶኮል ንብርብር አንጻር, በ expr . መጠኑ ተፈጻሚ ሲሆን በፍላጎቱ ላይ የባለቤት ቁጥር ያሳየናል. አንድ, ሁለት ወይም አራት ሊሆን ይችላል, እና አንድ ነባሪ ይሆናል. የመዝገበ ቃላቱ ርዝማኔ በቁጥር ቃል ኤን ይጠቁማል, የፓኬቱን ርዝመት ይሰጣል.
ለምሳሌ « ኤተር [0] & 1! = 0 » ሁሉንም ብዝሃ-ስርዓት ትራፊክን ይይዛል. « Ip [0] & 0xf! = 5 » የሚለው መግለጫ ሁሉም አማራጮች ከአይነቶች ጋር ሊገኙ ይችላሉ . « Ip [6: 2] & 0x1fff = 0 » የሚለው አባባል ያልተበረዙ እቃዎችን እና የተበጣጠሙ እቃዎችን ያካትታል . ይህ ቼክ በቀጥታ በ TCP እና ፔፕ መረጃ ጠቋሚዎች ላይ ተፈጻሚነት ይኖረዋል. ለምሳሌ, tcp [0] ሁልጊዜ ማለት የ TCP ራስጌ የመጀመሪያውን ባይት ነው ማለት ነው, እና ምንም እንኳን የአንድ ተከላካይ ፍሰት የመጀመሪያ አፋር አይሆንም ማለት ነው.
የተወሰኑ offsets እና የመስክ እሴቶች እንደ ቁጥራዊ እሴቶች ሳይሆን እንደ ስሞች ሊገለገሉ ይችላሉ. የሚከተሉት የፕሮቶኮል ራስጌ መስክ ቦታዎችን ለመደመር ይችላሉ: icmptype (ICMP ዓይነት መስክ), icmpcode (ICMP መስክ መስክ), እና tcpflags (TCP ጠቋሚ መስኮች).
የሚከተሉት ICMP አይነት አይነት የመስክ እሴቶች ይገኛሉ; icmp-echoreply , icmp-unreach , icmp- sourcequench , icmp-redirect , icmp-echo , icmp-routeradvert , icmp-routersolicit , icmp-timxceed , icmp-paramprob , icmp-tstamp , icmp -tmpampreply , icmp-ireq , icmp-ireqreply , icmp-maskreq , icmp-maskreply .
የሚከተሉት TCP ባንዲራዎች የመስክ ዋጋዎች ይገኛሉ: tcp-fine , tcp-syn , tcp- rst , tcp-push , tcp-push , tcp-ack , tcp-urg .
ቅድመ-ቅላቶች እነዚህን በመጠቀም ሊጣመሩ ይችላሉ:
ቅንፍ የተጣለ የቡድን የመጀመሪያ እና ኦፕሬተሮች (ቅንጣቶች ለሼል ልዩ ናቸው እና መጥፋት አለባቸው).
ግምት (` ! 'ወይም` not ').
ማዛመድ (« && » ወይም « እና »).
ተለዋጭ (` || 'ወይም` ወይም ').
ምልልስ ከፍተኛ ቅድሚያ አለ. ተለዋጭነት እና ኮምፓነኔት እኩልነት ቅድሚያ አለ እና ከግራ ወደ ቀኝ ያጋድሉ. ግልጽነት እና ቶከኖች, ግጭቶች አለመሆን, አሁን ለካቴጂዎች አስፈላጊ ናቸው.
አንድ መለያ ያለ ቁልፍ ቃል ከተሰጠ በጣም የቅርብ ጊዜው ቁልፍ ቃል ይወሰዳል. ለምሳሌ,
ከእኛ ጋር ያስተናግዱንአጫጭር ነው
ከእኛ ጋር ያስተናግዱን እና አያስተናገድንምይህም ሊዘነጋ አይገባም
አይደለም (የጠቂ ወይንም ባህርይ ያስተናጋልን)የግቤት ጭብጦች ወደ tcpdump ሊተላለፉ ወይም እንደ ነጠላ ሙግት ወይም እንደ ብዙ ነጋሪ እሴቶች, ከሁሉም የበለጠ ምቹ ነው. በአጠቃላይ, ይህ አገላለጽ የሼል ሚካካርካርተሮችን ካካተተ, እንደ አንድ ነጠላ የቃላት ክርክር ለማለፍ ቀላል ይሆናል. በርካታ ክርክሮችን መለያየት ከመጀመሩ በፊት ከባዶ ቦታዎች ጋር ተጣብቀዋል.
ምሳሌዎች
ከፀሐይ መውጫ እስከሚመጡ ወይም የሚሄዱ እሽጎች በሙሉ ለማተም;
tcpdump host sundownበ helios ወይም በሞቃት ወይም በዜሮ መካከል የትራፊክ ትራንዚንግ ለማተም:
tcpdump host helios እና \ (hot ወይም ace \)Helios ከተነጠሩት በስተቀር በዜሮ እና በአስተናጋጁ መካከል ሁሉንም የአይፒ እሽጎች ለማተም:
tcpdump ip host ace እና not heliosበበርክሌይ ውስጥ በአከባቢ አስተናጋጆች እና አስተናጋጆች መካከል ያለውን የትራፊክ ግንኙነት ለማተም;
tcpdump net ucb-etherበኢንተርኔት ምእራዱ አግባቡ ( ኮምፕዩተር ቡሊኬሽን) አማካኝነት ሁሉንም የ ftp ትራፊክ ለማተም ( ገላጩን የሚተረጉመው) ሾጣጣውን ( ከትርጉም) ለመገላገል እንደሚጠቅመው ልብ ይበሉ: -
tcpdump 'የየአግባቢ ፍንዳታ እና (ftp ወይም ftp-data)'ትራፊክ ለማተምም ሆነ ለአካባቢያዊ አስተናጋጆች (ማለትም ለሌላ መረብ ከመተላለፍ በስተቀር, እነዚህ ነገሮች በአካባቢያዊ መረብዎ ውስጥ ሊያደርጉት አይገባም).
tcpdump ip እና net netnetnet አይደለምየአካባቢያዊ አስተናጋጅን የሚያካትት ከእያንዳንዱ የውይይት መድረክ የ TCP ውይይቶች የመጀምርያ እና ማጠናቀቂያ እሽጎች (SYN እና FIN ጥቅሎች) ለማተም.
tcpdump 'tcp [tcpflags] & (tcp-syn | tcp-fine)! = 0 እናበአግባቡ ማቆሚያ በኩል ከሚላኩ 576 ባቶቶች በላይ የሆኑ የአይፒ እሽጎች ለማተም:
tcpdump 'የአግባቢ ፍኖት እና አይፒ [2: 2]> 576'በኤተርኔት ስርጭቶች ወይም በብዙ አከፋፈል ያልተላኩ የአይ.ፒ. ማሰራጫ ወይም ብዙ ማቅለሚያ እሽጎች ለማተም:
tcpdump ether [0] & 1 = 0 እና ip [16]> = 224 'የገመድ አልባ ጥያቄዎች / ምላሾች (ICMP) ያልሆኑ ጥቅል መልዕክቶችን (ማለትም, ፒንግ አልባ እሽጎች) ለማተም;
tcpdump 'icmp [icmptype]! = icmp-echo and icmp [icmptype]! = icmp-echoreply'OUTPUT FORMAT
የ tcpdump ውፅዓት ፕሮቶኮል ጥገኛ ነው. የሚከተለው አጭር መግለጫ እና የአብዛኞቹን ቅርፀቶች መግለጫዎችን ይሰጣል.
አገናኝ ደረጃ ራስጌዎች
'-e' አማራጭ ከተሰጠ, አገናኝ ደረጃ ራስጌ ታትሟል. በ ኢተርኔት, የምንጭ እና የመድረሻ አድራሻዎች, ፕሮቶኮል እና የፓኬት ርዝመት ይታተማሉ.
በ FDDI ኔትወርኮች, '-e' አማራጩ `ክፈፍ ቁጥጥር 'መስክን, ምንጩን እና መድረሻ አድራሻዎችን እና የጥቅል ርዝመቱን ለማተም tcpdump ያስከብረዋል . የተቀየረውን እሽግ ትርጉም ትርጉም የሚቆጣጠሩት የ "ክፈፍ መቆጣጠሪያ" መስክ ነው. P > < p > መደበኛ የሆኑ እሽጎች (እንደ አይ ፒ አሀድ እደታን ያካትቱ) እንደ < async4 > መካከል የቅድሚያ እሴት አላቸው; ለምሳሌ < async4 >. እሽጎች የ 802.2 Logical Link Control (LLC) እሽግን ያካተቱ ናቸው; የሲኢኤም ርእስ (ኮዴክ) የራሱ የሆነ የ ISO ሰንጠረዥ ወይም የ SNAP ጥቅል ያልሆነ መሆኑን ያትታል.
በ Token Ring ኔትወርኮች, '-e' አማራጩ tcpdump ን `control control ' እና` frame control' መስኮችን, ምንጩን እና መድረሻ አድራሻዎችን, እና የጥቅል ርዝመት እንዲታተም ያደርገዋል. እንደ FDDI አውታሮች ሁሉ, ፓኬቶች የኤልኪ (ፓኪንግ) እሽግ ያካተተ ነው ተብሎ ይገመታል. የ <-e> አማራጩ ይኑር ወይም አይታወቅም, የመነሻ ምንጭ ማስተላለፊያ (source routing) መረጃ ለመጠቆም ለተዘጋጁ እሽጎች የታተመ ነው.
(NB: የሚከተለው ገለፃ በ RFC-1144 በተገለፀው የ SLIP እሽግ አልጎሪዝም ጋር መገንዘብን ያሳያል.)
በ "SLIP" አገናኞች ውስጥ የአቅጣጫ አመላካች (ለውስጠኛ, «ኦ» ለውጪ መውጫ), የእሽታ አይነት እና የጭነት መረጃ ታትሟል. የጥቅሉ ዓይነት መጀመሪያ ይታተም. ሶስቱም አይ ፒ , utcp እና ctcp ናቸው . ለ አይ ፒ ጥቅሎች ምንም ተጨማሪ የማጣቀሻ መረጃ አይታተም. ለ TCP ጥቅሎች, የግንኙነት መለያው ከተለመደው በኋላ ይታተም ይታያል. ፓኬጅ የተጨመቀ ከሆነ, የ "ኢንኮድድ" ራስጌ ይታተማል. እነዚህ ልዩነቶች እንደ * S + n እና * SA + n በመጻፍ የተቀመጡት የዝርዝር ቁጥሮች (ወይም በቅደም ተከተል ቁጥር እና ack) የተቀየሩበት ነው. ልዩ ጉዳይ ካልሆነ ዜሮ ወይም ተጨማሪ ለውጦች ታትመዋል. አንድ ለውጥ በ U (አጣጣፊ ጠቋሚ), በዊን (መስኮት), በአ (ack), በ S (ተከታታይ ቁጥጥ) እና እኔ (የፓኬት መታወቂያ), በዴልታ (+ n ወይም -n) ወይም አዲስ ዋጋ (= n). በመጨረሻም, በጥቅሉ እና የተጠረበ ራስጌ ርዝመት ያለው የውሂብ መጠን ይታተማሉ.
ለምሳሌ, የሚከተለው መስመር በውጫዊ የተጨመቀ የ TCP ጥቅል, ውስጣዊ የግንኙነት መለያ ጋር, the ack በ 6 ለውጥ, በቅደም ተከተል ቁጥር 49, እና የፓኬት መታወቂያ በ 6; መረጃ 3 የባይት መስመሮች እና የተጨመቀ ራስጌ 6 ባይት አሉ:
O ctcp * A + 6 S + 49 I + 6 3 (6)ARP / RARP ፓኬቶች
የ Arp / rarp ውጽዓት የግቤት አይነትን እና ክርክሮችን ያሳያል. ማቅረቢያው እራሱ ማብራሪ ነው. ከ « አስተርጓሚ » መጀመሪያ ከ «አስተላላፊ» rtsg « csam » ማስተናገድ አጭር ምሳሌ ናሙና:
arp who-has csam ለ rtsg arp reply csam is at-CSAM ነውየመጀመሪያው መስመር rtsg የበይነመረብ አስተናጋጅ ድምፅ ሰጭ (ኢተርኔት) አስተናጋጁን የሚጠይቅ የአርፓት ጥቅል ልኳል. Csam ከየኢተርኔት አድራሻው ጋር (ለዚህ ምሳሌ, የኤተርኔት አድራሻዎች በክፍልፋይ እና የበይነመረብ አድራሻዎች ውስጥ ይገኛሉ).
እኛ tcpdump ብንጨምር ይህ ያነሰ የሚመስለን አይሆንም - n :
arp who has 128.3.254.6 ለ 128.3.254.68 ምላሽ አርሚክ 128.3.254.6 ላይ በ 02: 07: 01: 00:01: c4እኛ tcpdump -e ካደረግን, የመጀመሪያው ጥቅል ሲተላለፍ እና ሁለተኛው ነጥብ-ወደ-ነጥብ የሚታይ ይሆናል.
RTSG Broadcast 0806 64: arp who-has csam tell rtsg CSAM RTSG 0806 64-arp reply csam is at CSAMለመጀመሪያ እሽግ ይሄ የኤተርኔት ምንጭ አድራሻ RTSG ነው ይላል, መድረሻው የኤተርኔት ስርጭት አድራሻ ነው, የሄክ ዌይ ሄክስ 0806 (ETHER_ARP) እና ጠቅላላ ርዝመት 64 ባይት ናቸው.
የ TCP ፓኬቶች
(NB: የሚከተለው መግለጫ በ RFC-793 በተገለፀው የ TCP ፕሮቶኮል ልምዶች ላይ ይወክላል.ፕሮቶኮልዎን የማታውቁ ከሆነ ይህ መግለጫም ሆነ tcpdump ሊጠቀሙበት አይችሉም.)
የ tcp ፕሮቶኮል መስመር አጠቃላይ ቅርጸት:
src> dst: flags data-seqno ack window አስቸኳይ አማራጮች Src እና dst የምንጭ እና መድረሻ IP አድራሻዎች እና ወደቦች ናቸው. ጥቆማዎች የ S (SYN), F (FIN), P (PUSH) ወይም R (RST) ወይም ነጠላ `ጥምረት 'ጥምረት አላቸው. (ምንም ባንዲራዎች የሉም). የውሂብ-ተኮር በዚህ እሽግ ውስጥ የተካተተው የውሂብ ቅደም ተከተል ቦታን (ከዚህ በታች ያለውን ምሳሌ ይመልከቱ) ይገልጻል. አኬ በዚህ ግንኙነት ላይ የሚሰጠውን ሌላ አቅጣጫ የሚጠብቅ ቀጣይ ውሂብ ተከታታይ ቁጥር ነው. መስመሮች በዚህ ግንኙነት ላይ ሌላ አቅጣጫ የሚሰጠውን የባቢ ማደጊያ ክፍተት ባይት ቁጥር ነው. መርሃግብሩ ውስጥ 'አስቸኳይ' መረጃን ያሳያል. አማራጮች በማንኛ ማዕዘን ውስጥ የታከለ የ TCP አማራጮች ናቸው (ለምሳሌ,
Src, dst እና ጥቆማዎች ሁልጊዜ ይገኛሉ. ሌሎቹ መስኮች በፓኬቱ ቲ ኤም ፒ ፕሮቶኮል ራስጌ ይዘቶች ላይ የተመረኮዘ ሲሆን ተገቢ ከሆነ ብቻ ነው.
የሶምስ አስተናጋጁን ለማስተናገድ የአስተናጋጁ rtsg መግቢያ አርደኛው ክፍል ይኸው ነው.
rtsg.1023> csam.login: S 768512: 768512 (0) አሸንፋ 4096የመጀመሪያው መስመር ቲፕ ፒ 1023 በ rtsg በሲስ ውስጥ ለመግባት ወደ ፓምፕ ላከ. የ S ጥቆማው SYN ባንዲራ እንደተዘጋጀ ያመለክታል. የጥቅል ቁጥሩ ቁጥሩ 768512 ነበር እና ምንም ውሂብ አልያዘም. (የዚህ ማመሳከሪያ "መጀመሪያ: የመጨረሻ (nባይት)" ማለት ሲሆን ይህም ማለት የመጨረሻ ቁጥሮች እስከ የመጨረሻው የ " nbytes ተጠቀሰው የተጠቃሚ ውሂብ" ማለት ነው.) ባለ ቀጭን ምትኬ (ፓውንድ-ጀርባ) መርከብ የለም, የተገኘው ተቀባይ መስኮት 4096 ባይት እና አንድ የ 1024 ባይት ማፍሪያ ለመጠየቅ ከፍተኛ መጠን ባለ ክፍልፍል አማራጮች ነበሩ.
ሲ ኤስም ተመሳሳይ የፓኬት እቃዎችን ያካትታል. Rtsg ከዚያ የሲሰም SYN ይጠቀማል. የ `. ' ማለት ምንም ሰንደቆች አልተዘጋጁም ማለት ነው. እሽጉ ምንም ውሂብ አልያዘም ስለዚህ ምንም የውሂብ ተከታታይ ቁጥር የለውም. ያስተውሉ የ ack sequence sequence መጠነ ሰፊ ቁጥር (1) መሆኑን ነው. የመጀመሪያው ጊዜ tcpdump የ TCP `ውይይት 'ን ይመለከታሉ, ከፓኬቱ የቅደም ተከተል ቁጥር ያትታል. በቀጣዮቹ የውይይት መመዝገቢያዎች መካከል ባለው የፓኬት ቅደም ተከተል ቁጥሮች እና የዚህ የመጀመሪያ ተከታታይ ቁጥር መካከል ያለው ልዩነት ይታተማል. ይህ ማለት የውይይት ቁጥሮች የመጀመሪያው የውይይት ቁጥሮች እንደ የውስጣዊ አሬድ አቀማመጥ በንግግሩ የውሂብ ዥረት (የመጀመሪያው አቅጣጫ እያንዳንዱ `1 'ከሆኑ የመጀመሪያ ውሂብ ስብስቦች ጋር) ሊተረጎም ይችላል ማለት ነው. `-S 'ይሄንን ባህሪ ይሻረሳል, የመጀመሪያዎቹ ተከታታይ ቁጥሮች እንዲወጡ ያደርጋል.
በ 6 ኛ መስመር, rtsg csam 19 የባይት መረጃዎችን (ከ 2 እስከ 20 ባቶች በ
የታይፕ ፎቶግራፉ ትንሽ ከሆነ tcpdump ሙሉውን የ TCP ቅድመ- ጽሑፉን እስካልያዘ ድረስ , አብዛኛው ርእሰ ጉዳይ በተቻለ መጠን እንደሚያስተካክልና ከዚያም `` [| | tcp ] '' የሚሉት ቀሪዎችን ለመተርጎም አልተቻለም. ርእሱ የተሳሳተ አማራጭ ካለው (ርእስ በጣም ትንሽ ወይም ከርዕሱ መጨረሻ በላይ የሆነ ርዝመት ያለው), tcpdump እንደ `[ መጥፎ መርጦ ማሰራጫ ] 'በማለት ሪፖርት ያደርጋል እናም ምንም ተጨማሪ አማራጮችን አይተረጉምም (ምክንያቱም መናገር የማይቻል ስለሆነ) የት ይጀመራል). የራስጌ ርዝማኔ ርዝማኔ አማራጮቹን ካሳየ ግን የአዕምሯዊ ስታቲስቲክስ ርዝመት እዚያ ለመኖሩ አማራጮች በቂ ስላልሆኑ tcpdump እንደ `` [ መጥፎ የ h ርዝም ] '' ሪፖርት ያደርገዋል.
በተለይ ጥቆማዎች (SYN-ACK, URG-ACK, ወዘተ) ያላቸው TCP ጥቅልዎችን መያዙ
በ TCP ዋና ራስ ቁምፊ ክፍል 8 ቢት አሉ.
CWR | ECE | ዩ አር ኤን | ACK | PSH | RST | SYN | መጨረሻ
TCP ግንኙነትን ለመምረጥ ስራ ላይ የሚውሉ እሽጎች መመልከት እንፈልጋለን እንበል. አዲስ ግንኙነት ሲጀመር TCP 3-ሰው የእጅ መጨፍ ፕሮቶኮልን እንደሚጠቀም ያስታውሱ. ከ TCP መቆጣጠሪያ ጥሪዎች ጋር የግንኙነት ቅደም ተከተል ነው
1) ደዋይ SYN ይልካል
2) ተቀባዮች በ SYN, ACK ምላሽ ይሰጣሉ
3) ደዋይ ACK ይልካል
አሁን የ SYN ቢት ስብስብ (ፓኬጅ) ያላቸው ፓኬቶችን ለመያዝ ፍላጎት አለን (ደረጃ 1). ከደረጃ 2 (SYN-ACK) ፓኬቶች አልፈልግም, ግልጽ የሆነ የመጀመሪያ SYN ብቻ እንደሆን ልብ ይበሉ. የሚያስፈልገንን ነገር ለ tcpdump ትክክለኛ ማጣሪያ መግለጫ ነው.
የ TCP ቅድመ-ቅፅ ካለ አማራጮች ያስታውሱ.
0 15 31 ----------------------------------------------- ------------------ | ምንጭ ወደብ መድረሻ ፖርት | -------------------------------------------------- --------------- | ተከታታይ ቁጥር | -------------------------------------------------- --------------- | የማረጋገጫ ቁጥር -------------------------------------------------- --------------- | HL | rsvd | C | E | U | A | P | R | S | F | የመስኮት መጠን -------------------------------------------------- --------------- | TCP ቼኮች | አስቸኳይ ጠቋሚ -------------------------------------------------- ---------------የ TCP ርእስ አብዛኛው ጊዜ አማራጮች ካልኖሩ በስተቀር 20 ውስይቶች ውሂብ ይይዛል. የግራፉ የመጀመሪያ መስመር ከ 0 - 3 ባዮችን ያካትታል, ሁለተኛው መስመር ደግሞ ከ 4 እስከ 7 ያሉትን ወዘተ.
ከ 0 ጋር መቁጠር በመጀመር, ተገቢው የ TCP ቁጥጥር ቢቲዎች በሴፕቴም 13:
0 7 | 15 | 23 | 31 ------------------ --------------- | --------------- | ---------------- | HL | rsvd | C | E | U | A | P | R | S | F | የመስኮት መጠን ------------------ --------------- | --------------- | - --------------- | | 13 ኛ ቶክ | |የ "ኢ-ቁት" ቁጥርን በጥልቀት እንመልከታቸው. 13:
| | | --------------- | | ዓ | ደ | ኢ | ዐ | አ | ፒ | አር | ሴ | ረ | | --------------- | | 7 5 3 0 |እኛ የምንፈልገውን የ TCP መቆጣጠሪያ ነጥቦችን እንይዛለን በዚህ ጥፍል ውስጥ ከ 0 ወደ 7, ከግራ ወደ ግራ, እንዲሁም የ PSH ቢት ቁጥር ቁጥር 3 ሲሆን URG ቢት ቁጥር 5 ነው.
በ "SYN" ስብስብ ላይ ብቻ የፓኬጅን መያዝ እንደፈለግ ያስታውሱ. በቲኬቴ 13 ላይ በ TCN ቢት ላይ በተዘጋጀው የ TCN ቢት ላይ የ TCP ውሂብ ሰንጠረዥ ሲመጣ ምን እንደሚፈፀም እስቲ እንመልከት.
| ዓ | ደ | ኢ | ዐ | አ | ፒ | አር | ሴ | ረ | | --------------- | 0 0 0 0 0 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |የቁጥጥር ላት ክፍሎችን በመመልከት ቁጥጥር ቁጥር ቁጥር 1 (SYN) አልተዘጋጀም.
ያንን የ octet ቁጥር 13 በ 8 ባይት ያልተሰየመ ኢንቲጀር በኔትወርክ ባይት ቅደም ተከተል ነው, የዚህ አውትፊይ ሁለትዮሽ እሴት
00000010
እና የአስርዮሽ ውክልና ነው
7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2እኛ ልንሠራው ተቃርበናል, ምክንያቱም SYN ብቻ ከተቀናበረ, በ TCP ዋናው የ 13 ኛው ኦውቶሉ እሴት, በ 8 ቢት ያልተሰየመ ኢንቲጀር በኔትወርክ ባይት ቅደም ተከተል ሲተረጎም በትክክል በትክክል መሆን አለበት.
ይህ ግንኙነት ሊገለፅ ይችላል
tcp [13] == 2
ይህንን አገባብ እንደ " TCPdump " ማጣሪያ በመጠቀም "SYN" ብቻ የሆኑ እሽጎች ለመመልከት ልንጠቀምበት እንችላለን.
tcpdump -i xl0 tcp [13] == 2
ይህ አገላለጽ "13 ኛ ቶክ ቲ.ቲ.ፒ. ወሰነ-ቢስ አስር እሴት አለው" ማለት ነው, ይህም የምንፈልገውን ነው.
አሁን, የሲ.ኤን.ኤን. እሽጎችን መያዝ እንዳለብን እንገምት, ነገር ግን ACK ወይም ሌላ TCP መቆጣጠሪያ ትንሽ በተመሳሳይ ጊዜ ከተቀመጠ ግድያው አንገባም. ከ SYN-ACK ስብስብ ጋር TCP ክምችት ሲደርስ የ octet 13 ምን እንደሚከሰት እስቲ እንመልከት.
| ዓ | ደ | ኢ | ዐ | አ | ፒ | አር | ሴ | ረ | | --------------- | 0 0 0 1 0 0 1 0 | | --------------- | 7 6 5 4 3 2 1 0 |አሁን ቢቶች 1 እና 4 በ 13 ኛ አውቶብ የተዘጋጁ ናቸው. የ octet 13 ሁለትዮሽ ዋጋ ነው
00010010
እሱም ወደ አስርዮሽ ይተረጉመዋል
7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18አሁን በሲክ-አሲክ ማጣሪያ መግለጫ ውስጥ 'tcp [13] == 18' ልንጠቀምበት አንችልም, ምክንያቱም የ SYN-ACK ስብስብ ያላቸውን እሽጎች ብቻ ይመርጣል, ነገር ግን በ SYN ብቻ የተዋቀሩ ያልሆኑ. SYN መቼ እስካልተገበረ ድረስ ኤኬኬ ወይም ሌላ ማንኛውም የቁጥጥር ቢት ከተቀመጠ ምንም ግድ የላቸውም.
ዒላማችንን ለማሳካት, የ octet 13 ሁለትዮሽ እሴት እና ሌላውን እሴት ለመጠበቅ የሲ.ኤን.ኤን ቢተንን መጠበቅ ያስፈልገናል. በማንኛውም ሁኔታ SYN እንዲቀናጅ እንደምንፈልግ እናውቃለን, ስለዚህ በምክንያታዊነት እና በ 13 ኛው አውቶብ ውስጥ ያለው እሴት በ SYN የሁለትዮሽ እሴት ዋጋ:
00010010 SYN-ACK 00000010 SYN እና 00000010 (እኛ SYN እንፈልጋለን) እና 00000010 (እኛ SYN እንፈልጋለን) ---------- -------- = 00000010 = 00000010ኤኤኬኬ ወይም ሌላ TCP መቆጣጠሪያ ትንሽ ቢቀይር ይህ እና ክዋኔው ተመሳሳይ ውጤት ያስገኛል. የ AND እሴቱ አስርዮሽ እና የዚህ ተግባር ውጤት 2 (ሁለትዮሽ 00000010) ነው, ስለዚህ በ SYN እሽጎች ለሚከተለው እቃዎች የሚከተለውን አቋም እንደያዘ እናውቃለን:
((የ octet 13 ዋጋ) እና (2)) == (2)
ይሄ የ tcpdump filter filter ን ያመለክተናል
tcpdump -i xl0 'tcp [13] & 2 == 2'
በነባሩ ውስጥ የ AND ('&') ልዩ ቁምፊውን ከሼል ውስጥ ለመደበቅ አንድ ነጠላ ጥቅሶችን መጠቀም ወይም በአረፍተ ነገር ውስጥ የጀርባ ቀስት መጠቀም አለብዎት.
የ UDP ፓኬቶች
የ UDP ቅርጸት በዚህ በራሪ ወረቀት ይገለጻል:
actinide.who> broadcast.who: udp 84ይህ በአስተናጋጅ ፕሮፖዚየም ላይ ማን የ "udp" ሰንጠረዥን በ "አስተናጋጅ" ስር, በድረገጽ ስርጭት ላይ የተለጠፈ መሆኑን ያመለክታል ይላል. እሽጉ ውስጥ 84 የተጠቃሚ ውሂብ ይዟል.
አንዳንድ የ UDP አገልግሎቶች እውቅና የተሰጣቸው (ከምንጩ ወይም ከመድረሻ ወደብ ቁጥር) እና ከፍተኛ ደረጃ የፕሮቶኮል መረጃ የታተሙ ናቸው. በተለይ የጎራ ስም አገልግሎት ጥያቄዎች (RFC-1034/1035) እና የሶርድ RPC ጥሪዎች (RFC-1050) ወደ ኤኤፍኤፍኤስ.
የ UDP ስም የአገልጋይ ጥያቄዎች
(NB: የሚከተለው መግለጫ በ RFC-1035 ውስጥ በተገለጸው የጎራ የአገልግሎት ፕሮቶኮል ጠንቅቆ የሚያውቅ ነው. ለፕሮቶኮል ያነሱ ከሆነ የሚከተለው መግለጫ በግሪክኛ የተጻፈ ይመስላል.)
የአገልጋይ ጥያቄዎች ተደርገው እንደተቀረጹት
src> dst: id op? ሰንደቅ ጥቁር qclass ስም (len) h2opolo.1538> helios.domain: 3+ አ? ucbvax.berkeley.edu. (37)አስተናጋጁ h2opolo ከ ucbvax.berkeley.edu ጋር ተዛማጅነት ላለው የአድራሻ መዝገብ (qtype = A) በሄሮስ ላይ የጎራ አገልጋይን ጠይቋል. የመጠይቅ መጠይቁ <3> ነበር. የ «+» አመልካች ዕጣ ጠቋሚው እንደተዘጋጀ ያመለክታል. የጥየቃው ርዝመት የ UDP እና የ IP ፕሮቶኮል ራስጌዎችን ሳይጨምር 37 ባይት ነበር. የጥያቄው ክዋኔው መደበኛ, መጠይቅ ነው , ስለዚህ የመምረጫ መስኩ ተትቷል. ኦፔ ሌላ ምንም ነገር ካልነበረ በ <3> እና በ` + 'መካከል የታተመ ይሆናል. በተመሳሳይ መልኩ ኳስ ክላስ መደበኛ, C_IN እና የተተወ ነበር. ሌላ ማንኛውም QClass ከ 'A' በኋላ ወዲያውኑ ይታተማል.
የተወሰኑ አጣዳፊዎች ምልክት የተደረገባቸው ሲሆን በክፍል ቅንፍ ውስጥ የተጨመሩ መስኮችን ሊያስከትሉ ይችላሉ. መጠይቅ ጥያቄን ካካተተ , የመሥሪያ መዝገቦች ወይም ተጨማሪ መዝገቦች ክፍል, የቀድሞው , የኖንት ስኩል , ወይም arcount እንደ `[ n a] ',` [ n n] ] 'ወይም `[ n au]' በሚገኙበት ቦታ ላይ ተገቢው ቁጥር ነው. ማንኛውም የምላሽ ባዮች ስብስቦች (ኤች አር, አር ኤም, ወይም የ "ኮድ ኮድ") ወይም ማንኛውም የ «ዜሮ መሆን አለባቸው» ቢቶች በ ands ሁለት እና ሦስት ተካተዋል, «[b2 & 3 = x ]» ይታተማል, x ደግሞ የ "ሄክስ እሴቱ" ርእስ ሁለት እና ሶስት.
የ UDP ስም የአገልጋይ ምላሾች
የአገልግሎት ስም ምላሾች እንደ ቅርጸት ተዘጋጅተዋል
src> dst: id ፐብ ኮዴክ a / n / au ዓይነት ምድብ ውሂብ ( len ) helios.domain> h2opolo.1538: 3 3/3/7 በ 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)በመጀመሪያው ምሳሌ, ሄይኢዎች ከ 3 ሒሳቦችን , 3 የ ስም ስም መዝገቦችን እና 7 ተጨማሪ መዝገቦችን ከ h2opolo ከ 3 መልስ ምላሾች ጋር መልስ ይሰጣል. የመጀመሪያው የመልስ ምላሹ አይነት ኤ (አድራሻ) እና ውሂቡ የ I ንተርኔት A ድራሻ 128.32.137.3 ነው. የምላሹ ጠቅላላ መጠን 273 ባይት ነበር, የ UDP እና የአይፒ ራስጌዎች ሳይካተቱ. በመዝገብ ውስጥ እንዳሉት የክፍሉ (C_IN) ክዋኔው (ጥያቄ) እና ምላሽ ኮድ (Noofrror) ተትቷል.
በሁለተኛው ምሳሌ ሒዮስ ምንም መልስ, አንድ ስም ስም እና ምንም ስልጣን መዝገቦች የሌለው መልስ በማይሰጥበት ጎራ (NXDomain) ምላሽ ለጥያቄ 2 መልስ ይሰጣል. `* 'የሚያመለክተው ባለሥልጣን መልስ ቢስ ነው. መልሶች ስለሌሉ, ምንም ዓይነት, ምድብ ወይም ውሂብ አይታተሙም.
ሌሎች የ ጠቋሚ ቁምፊዎች «-» (ተደጋጋሚው ተገኝቷል, RA, ያልተዘጋጀ) እና «| (የተቆረጠ መልዕክት, TC, አዘጋጅ). 'ጥያቄ' ክፍሉ በትክክል አንድ ግቤት ካልኖረ `` [ n q] 'ታትሟል.
የአገልጋይ አገልጋይ ጥያቄዎች እና ምላሾች ትልቅ መሆናቸውን ያስተውሉ እንዲሁም 68 ኢንች ነባሪ የቋንቋ ህትመት ለማተም የሚያግዘው ፓኬጅ በቂ ላይሆን ይችላል. የስም የአገልጋይ ትራፊክን በጥንቃቄ መመርመር ካስፈለገ የ snaps ን ለማንሳት የ-ፐ ምልክትን ይጠቀሙ. ' -128 ' ለእኔ ጥሩ ተግባር ሠርቷል.
SMB / CIFS ምስጠራ
በአሁኑ ጊዜ tcpdump በ UDP / 137, UDP / 138 እና TCP / 139 ላይ ላሉ መረጃዎች ሰፊ የሆነ ሰፊ SMB / CIFS / NBT ዲኮዲንግን ያካትታል. አንዳንድ የ IPX እና NetBEUI SMB ውሂቦች ምስጠራም እንዲሁ ይከናወናል.
በመሠረቱ,--እዚህ ጥቅም ላይ ከዋለ እጅግ በጣም ብዙ የተዘረዘረው ዲሴድ ከተፈጠረ በጣም ትንሽ የሆነ ዲኮድ ይከናወናል. ከ-a-single SMB እሽግ አንድ ገጽ ወይም ከዚያ በላይ ሊወስድ ይችላል የሚል ማስጠንቀቂያ ይኑርዎት, ስለዚህ አንድ ብቻ ይጠቀሙ--ሁሉንም የግጥም ዝርዝሮች በትክክል ከፈለጉ.
የ "አይይኮድ" ሕብረቁምፊዎችን የ SMB ክፍለ-ጊዜዎችን እያስመሰለሉ ከሆነ የዩኤስቢ ተለዋዋጭ USE_UNICODE ወደ 1. ማዘጋጀት ሊፈልጉ ይችላሉ. የዩኒኮድ ስብስቦችን በራስ-እንዲያገኙ ያደረጉት ጥንቅር ይደገፋሉ.
ስለ ኤስ ቢት ጥቅል ቅርጸቶች እና ሁሉም የኢሜር መስኮች ማለት በ www.cifs.org ወይም በድረ-ገፅ / samba / specs / ማውጫ ላይ በሚወዱት የ samba.org መስተዋት ጣቢያን ይመልከቱ. የ SMB ጥገናዎች የተዘጋጁት አንድሪው ትሪግጄል (tridge@samba.org) ነው.
NFS ጥያቄዎች እና ምላሾች
የ Sun NFS (የአውታረ መረብ ስርዓት ስርዓት) ጥያቄዎች እና ምላሾች እንደዚህ ታይተዋል:
src.xid> dst.nfs: len op args src.nfs> dst.xid: reply stat len ውጤቶችን sushi.6709> wrl.nfs: 112 readlink fh 21,24 / 10.73165 wrl.nfs> sushi.6709: answer ok 40 አገናኞችን "../var" sushi.201b> wrl.nfs: 144 ፍለጋ fh 9,74 / 4096.6878 "xcolors" wrl.nfs> sushi.201b: answer ok 128 look up fh 9,74 / 4134.3150በመጀመሪያው መስመር አስተናጋጅ ሱሺ ከ መታወቂያ 6709 ጋር ወደ ሽክርያ ይልካል ( የሰማያዊው አስተናጋጅ የሚከተለው ቁጥር ግብይት መታወቂያ እንጂ የመነሻ ምንጭ አይደለም ) ያስተውሉ. ጥያቄው የ UDP እና የአይፒ ራስጌዎች ሳይካተቱ 112 ጥራቶች ነበሩ. ክዋኔው በፋይል እጀታ ( ፋሽ ) 21,24 / 10731657119 ላይ የማንበቢያ አገናኝ ( ሪከርድያዊ አገናኝ) ነበር. (አንድ ዕድል ከሆነ, እንደሁኔታው ከሆነ, የፋይል መያዣው እንደ ዋና እና አነስተኛ የመሣሪያ ቁጥር ጥምረት ሲሆን ኢንዲሴድ ቁጥር እና ትውልድ ውስጥ ይከተላል.) Wrl ከይዘቱ ይዘቶች «እሺ» በማለት ይመልሳል.
በሶስተኛው መስመር ሱሺ ውስጥ በአቃፊ መዝገብ 9,74 / 4096.6878 ውስጥ « xcolors » የሚለውን ስም ለመፈለግ wrl ይፈልገዋል. የታተመው መረጃ በድርጊቱ ዓይነት ላይ ይወሰናል. ቅርጸቱ የተዘጋጀው ከኤንኤፍኤስ ፕሮቶኮል ጋር ተያይዞ ሲነበብ በራሱ ማብራርያ ነው.
-v (verbose) ጠቋሚት ከተሰጠ ተጨማሪ መረጃ ታትሟል. ለምሳሌ:
sushi.1372a> wrl.nfs: 148 አንብብ fh 21,11 / 12,195 8192 bytes @ 24576 wrl.nfs> sushi.1372a: reply ok 1472 አንብብ REG 100664 ids 417/0 sz 29388(-v ከዚህ ምሳሌ ውስጥ የተወገዱ የአይ ፒ ራስጌ TTL, መታወቂያ, ርዝመት እና ማነፃፀር መስኮችን ይጽፋል .) በመጀመሪያው መስመር, ሱሺ ከ 8,11 / 12,195 8192 ባይት ን በማንበብ በ byte offsset 24576. Wrl «ok» ምላሾች; በሁለተኛው መስመር ላይ የሚታየው እሽግ የሪፉ የመጀመሪያ ክፍል ነው ስለዚህም ከዚያ 1472 ጥይት ርዝመት ብቻ ነው (ሌሎቹ ባይቶች በቀጣይ ፍርዶች ውስጥ ይቀጥላሉ, ነገር ግን እነዚህ ፍራፍሬዎች የ NFS ወይም የ UDP ራስጌዎች የሉትም ስለዚህ አይታተሙ, የሚጠቀመው የማጣሪያ ገለጻ). -ቪ ምልክት በተሰጠው ቁጥር የተወሰኑ የፋይል አይነቶች (ከፋይሉ በተጨማሪነት የተመለሱ ናቸው) የሚታተሙት: የፋይል ዓይነት (`` REG '', በመደበኛ ፋይል), የፋይል ሁነታ (በ <ስምንትዮሽ>), uid እና gid, እና የፋይል መጠን.
-ቪ ጥቆማ ከአንድ ጊዜ በላይ ከተሰጠ, ተጨማሪ ዝርዝሮችም ታትመዋል.
የ NFS ጥያቄዎች በጣም ትልቅ ናቸው እና snaplen ካልተጨመረ በስተቀር አብዛኛው ዝርዝር አይታተም . የ NFS ትራፊክ ለመመልከት « -192 » ለመጠቀም ይሞክሩ.
የ NFS ምላሽ ጥቅሎች የ RPC ክወናን በትክክል አይለዩም. በምትኩ, tcpdump የ «የቅርብ ጊዜ» ጥያቄዎችን ዱካ ይከታተላል, እና የግብይት መታወቂያውን በመጠቀም ከመልሶዎቹ ጋር ይዛመዳል. ጥያቄው ትክክለኛውን ጥያቄ በቅርበት ካልተከተለ, ሊጤን የማይችል ሊሆን ይችላል.
AFS ጥያቄዎች እና ምላሾች
Transarc AFS (Andrew File System) ጥያቄዎች እና ምላሾች እንደዚህ ታይተዋል:
src.sport> dst.dport: rx packet-type src.sport> dst.dport: rx packet-type አገልግሎት ጥሪ ጥሪ-ጥሪ ስም- አልባ ሰንጠረዥ sr. sport> dst.dport: rx packet-type service answer call name args elvis . 7001> pike.afsfs: rx data fs የስልክ ጥሪዎች እንደገና ሰይም 536876964/1/1 ".newsrc.new" fid 536876964/1/1 ".newsrc" pike.afsfs> elvis.7001: rx data fs rename renameበመጀመሪያው መስመር, አስተናጋጅ ኤልቪስ አንድ የ "RX" ፓኬት ወደ "ፒኪ" ይልካል. ይህ የ RX ውሂብ ጥቅል ወደ fs (ፋይል አገልጋዩ) አገልግሎት ነው, እና የ RPC ጥሪ ጅማሬ ነው. የ RPC ጥሪው ከ 536876964/1/1 ያለው የአሮጌ ፋይል ፋይል መታወቂያ እና የ «.newsrc.new» አሮጌ ፋይል እና 536876964/1/1 አዲስ የፋይል መታወቂያ እና አዲስ የ የፋይል ስም ነው. newsrc '. አስተናጋጅ ፒኬ በ RPC መልስ ለደብረ መልስ ጥሪ ምላሽ ይሰጣል (ስኬታማ የነበረ ነበር, ምክንያቱም የውሂብ ጥቅል እንጂ የአጨራ ፅሁፍ አይደለም).
በአጠቃላይ, ሁሉም የ AFS RPC ዎች በዲኤምሲ ጥሪ ተጠይቀው የያዙ ናቸው. አብዛኛዎቹ AFS RPCs ቢያንስ ቢያንስ አንዳንድ «ደስ የሚሉ» የሚመስሉ ክርክሮችን ይገኙበታል (አንዳንዶቹ ደስ የሚለው ትርጉም).
ቅጹ እራስ-ገለፃን ለመግለጽ የታሰበ ቢሆንም ምናልባት ስለ AFS እና RX ስራዎች እውቀት የሌላቸው ሰዎች ላይሆን ይችላል.
-v (verbose) ጠቋሚው ሁለት ጊዜ ከተሰጠ, እንደ የ RX ጥሪ መታወቂያ, የጥሪ ቁጥር, ተከታታይ ቁጥር, የስልክ ቁጥር እና የ RX ጥቅል ጥራዝ ጥምረቶች ያሉ, የደረጃ ማረጋገጫዎች እና ተጨማሪ የአርዕስት መረጃ ይታተማሉ.
-ቪ ጥቆማው ሁለት ጊዜ ከተሰጠ ተጨማሪ መረጃ እንደ የ RX ጥሪ መታወቂያ, የመለያ ቁጥር እና የ RX ጥቅል ጥምዝ ባንዲራዎች ይታተማሉ. የ MTU ድርድር መረጃም ከ RX ack packets ታትሟል.
-v ዓርማ ሦስት ጊዜ ከተሰጠ የደህንነት መረጃ ጠቋሚው እና የአገልግሎት መታወቂያው ይታተማሉ.
የስርዓት ኮዶች ለሆምፕኪን እሽጎች ታትመዋል, ከኡቢካ ቢኮን እሽጎች በስተቀር (የወረቀት እሽጎች ለአውታር ፕሮቶኮል ድምፀ ውሳኔን ለማመልከት ጥቅም ላይ ስለሚውሉ).
AFS ጥያቄ በጣም ትልቅ ስለሆነና ጭራፊው ካልተጨመረ በስተቀር ብዙዎቹ ክርክሮች አይታተሙም . AFS ትራፊክ ለመመልከት ` -256 'መጠቀም ይሞክሩ.
የ AFS ምላሽ ጥቅሎች የ RPC ስራ በትክክል አይለዩም. በምትኩ, tcpdump የ «የቅርብ ጊዜ» ጥያቄዎችን ይከታተላል, ከጥሪ ቁጥሮች እና አገልግሎት መታወቂያዎች ጋር ከተዛመዱ ምላሾችን ጋር ያዛምዳል. ጥያቄው ትክክለኛውን ጥያቄ በቅርበት ካልተከተለ, ሊጤን የማይችል ሊሆን ይችላል.
KIP Appletalk (DDP በ UDP)
በ UDP የተካተቱባቸው የ APPletalk DDP ጥቅሎች ዲ ኤን ፒ ጥቅሎች ውስጥ ተተክለው እና እንደ DDP ጥቅሎች ተደርገው ይያያዙ (ማለትም, ሁሉም የዩዲፒ ራስጌ መረጃ ይጣላል). የፋይል /etc/atalk.names የአሳራር ቁልፍን እና የመስቀለኛ ቁጥር ቁጥሮች ወደ ስሞች ለመተርጎም ይጠቅማል. በዚህ ፋይል ውስጥ ያሉት መስመሮች ቅፅ አላቸው
ቁጥር ስም 1.254 ether 16.1 icsd-net 1.254.110 aceየመጀመሪያዎቹ ሁለት መስመሮች የአፓፓላክ አውታሮችን ስም ይሰጣሉ. ሶስተኛው መስመር የአንድ የተወሰነ አስተናጋጅ ስም ይሰጥበታል (በኔትወርኩ ላይ በ 3 ኛ ንኡስ ቁጥር አንድ መረብ ከኔትህ የተለየ ነው - የተጣሩ ቁጥር ሁለት አስራቴዎች ሊኖሩት እና የአስተናጋጅ ቁጥር ሶስት ኢንክስትስ አለበት .) ቁጥር እና ስም መለየት አለባቸው. በእንግሊዘኛ ክፍተት (ባዶዎች ወይም ትሮች). የ /etc/atalk.names ፋይል ባዶ መስመሮች ወይም የአስተያየቶች መስመሮች (ከ `# 'ጋር የሚጀምሩ መስመሮች) ሊኖረው ይችላል.
Appletalk አድራሻዎች በቅጹ ላይ ይታተማሉ:
net.host.port 144.1.209.2> icsd-net.112.220 office2> icsd-net.112.220 jssmag.149.235> icsd-net.2(የ /etc/atalk.names የማይኖር ከሆነ ወይም ለአንዳንድ የ appletalk አስተናጋጅ / የተጣራ ቁጥር ግቤት ካልሆነ አድራሻዎች በቁጥር ቅርጸት ይሰጣሉ.) በመጀመሪያው ምሳሌ ላይ በ NBP (DDP ፖት 2) ላይ በቁጥር 144.1 መስቀለኛ መንገድ 209 በድረገጽ 220 ላይ የተዘረጋውን የምሥጢር መስመሮ ጫማ 112 ላይ እየላኩ ነው. ሁለተኛው መስመር የመነሻውን ሥፍራ ሙሉ ስም ('ቢሮ') ሙሉ ስም ካልሆነ በስተቀር ሁለተኛው መስመር ተመሳሳይ ነው. ሦስተኛው መስመር በ icsዲስ-ኔትዎርክ ኔትቡክ ወደብ ላይ በድምፅ 235 ላይ የተላለፈ መስመር (የስፖንጂው አድራሻ (255)) ለማሰራጨት በማስተማር በ <ኔትወርክ> ኤስዲኤፍ (nss 149) ላይ የሚላክበት ነው. (ይህ በመሆኑ ጥሩ ሀሳብ ነው በ /etc/atalk.names የተለዩ የእሴት ስሞችን እና የተጣመሩ ስሞችን ለማቆየት).
NBP (ስም ማጽደቅ ፕሮቶኮል) እና ATP (አፕሌታክ ትራንዚት ፕሮቶኮል) ፓኬቶች ይዘታቸው የተተረጎሙ ናቸው. ሌሎች ፕሮቶኮሎች የፕሮቶኮል ስም (ወይም ስም ለፕሮቶኮል ምንም ስም ካልተመዘገበ ብቻ ነው) እና የጥቅል መጠን ይጥሉ.
የ NBP ጥቅሎች ልክ እንደ ምሳሌዎች ተመስርተዋል :
icsd-net.112.220> jssmag.2: nbp-lkup 190: "=: LaserWriter @ *" jssmag.209.2> icsd-net.112.220: nbp-answer 190: "RM1140: LaserWriter @ *" 250 techpit.2> icsd -ኔት 112.220: nbp-answer 190: "techpit: LaserWriter @ *" 186የመጀመሪያው መስመር የተጣራ icsd አስተናጋጅ 112 ለተላከ ላርፐር አድራጊስ የመጠባበቂያ ጥያቄ ነው እና በ net jssmag ላይ ማሰራጨት ነው. ለመነሻው የ nbp መታወቂያ 190 ነው. ሁለተኛው መስመር ለዚህ ጥያቄ (ከአንድ መታወቂያ ጋር አንድ አይነት መሆኑን ይግለጹ) ከአስተናጋጃ jssmag.209 በ port 250 ላይ የተመዘገበ የሌሊት ጸረ-መፃፊያ ንብረት "RM1140" አለው. የተሰራው መስመር ለዚሁ ተመሳሳይ ጥያቄ ምላሽ ነው የሚል አስተያየት ሲሰጥ, አስተናጋጁ ቴክኖሎጂ በፖርት 186 ላይ የተመዘገበ የጸረ-መስታውሻ "techpit" አለው.
የ ATP ፓኬት ቅርጸት በሚከተለው ምሳሌ አሳይቷል:
ጄፕስ-ኤፍ 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp. 12266: 4 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> helios.132: atp-req 12266 <3.5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002Jssmag.209 እስከ 8 እሽጎች ድረስ (<<0-7> ') በመጠየቅ የዝውውር መታወቂያ 12266 በማስተናገድ helios ይጀምራል. በመስመሩ መጨረሻ ላይ የ Hex ቁጥር ቁጥር በጥያቄው ውስጥ «የተጠቃሚው ውሂብ» መስክ ዋጋ ነው.
Helios በ 8 512-byte ፓኮች ምላሽ ይሰጣል. የግብይት መታወቂያ የሚከተለው
Jssmag.209 ከዚያ 3 እና 5 ፓኬጆች እንደገና እንዲቀርቡ ጠይቋል. Helios ለእነርሱ ካዘገዘ ጃሴ ማጃ 209 ለውጡን ያትታል. በመጨረሻም, jssmag.209 የሚቀጥለውን ጥያቄ ያነሳል. በጥያቄው ላይ የ «*» መጠቆሚያ XO («በትክክል አንድ ጊዜ») አልተዘጋጀም.
የአይፒ ማጠራቀሚያ
የተከፋፈሉ የበይነመረብ ህብረ-ህትመቶች እንደ ሆነው ይታተማሉ
(የተጣራ መታወቂያ : መጠን @ offsset +) (የተበጣጠሰ መታወቂያ : መጠን @ የመካካሻ )(የመጀመሪያው ቅጽ ብዙ ቁርጥራጮች እንዳለ የሚጠቁሙ ሲሆን ሁለተኛው ይህ የመጨረሻው ቁርጥራጭ ነው.)
መታወቂያው የቁራጭ መታወቂያ ነው. መጠኑ የአይፒ ርእስ ሳያካትት የአከባቢ መጠን (በባቶቶች) ነው. ማካካሻ በመጀመሪያው ክምችት ውስጥ የዚህ ክፍልፋሽ ቅናሽ (ባይት) ነው.
የአክራቱ መረጃ ለእያንዳንዱ ክፍልፋይ ነው. የመጀመሪያው ክፍል የከፍተኛ ደረጃ ፕሮቶኮል ራስጌን እና የተበላሸ መረጃ ከፕሮቶኮል መረጃ በኋላ ይገለጻል. ከመጀመሪያው በኋላ ያሉ ፍርግሞች የከፍተኛ ደረጃ ፕሮቶኮል ራስጌ እና የተበላሹ መረጃዎች ከምንጩ እና የመድረሻ አድራሻዎች በኋላ ይታተማሉ. ለምሳሌ, ከ Arizona.edu ወደ lbl -rtsg.arpa በ 578 የባይት ታሪካዊ ካርታ ላይ የማይታይ ሆኖ በ CSNET ኮምፒዩተር ላይ የ FTP ፋይል አካል ነው.
arizona.ftp-data> rtsg.1170:. 1024: 1332 (308) ack 1 won 4096 (595a: 328 @ 0 + እሽግ) arizona> rtsg: (595a: 204 @ 328 ፓም) rtsg.1170> arizona.ftp-data:. ack 1536 አሸናፊ 2560 አሸነፈእዚህ የሚጠበቁ ሁለት ነገሮች አሉ-በመጀመሪያ, በሁለተኛው መስመር ያሉ አድራሻዎች የፖርት ቁጥርን አያካትቱም. ይህ የሆነበት ምክንያት የ TCP ፕሮቶኮል መረጃ በሁሉም የመጀመሪያው ክፍል ስለሆነና የወደፊቱን ቁርጥራጮች ስናተም የወደብ ወይም የቅደም ተከተል ቁጥሮች ምን እንደሆን አናውቅም. ሁለተኛ, በመጀመሪያው መስመር ላይ የ tcp ተከታታይ መረጃ መረጃ በተጠቃሚው ቁጥር 308 ባይቶች ላይ እንደታተሙ ይታወቃል. በእርግጥ 512 ባቶች (በቅድመ ቁርጥሙ 308 እና በሁለተኛው ውስጥ 204) አሉ. በቅደም ተከተል ቦታ ውስጥ ቀዳዳዎችን እየፈለጉ ከሆነ ወይም ከፓኬቶች ጋር ለመገጣጥልዎ እየሞከሩ ከሆነ ይህ ሊያታልልዎ ይችላል.
ከ IP ጋር ያለው ፓኬት ቁርጥራጭ ቁርጠኝ (ዱኤ) በአሳዳጊው (DF) ምልክት ተደርጎበታል.
የጊዜ ማህተሞች
በነባሪ, ሁሉም የውጤቶች መስመሮች በጊዜ ማህተም ይቀድማሉ. የጊዜ ማህተም በቅጽው ውስጥ ያለው የአሁኑ ሰዓት ሰዓት ነው
hh: mm: ss.fracእናም እንደ የከኔል ሰአት ትክክለኛ ነው. የጊዜ ሰንጠረዡ ኩርኩን ለመጀመሪያ ጊዜ ያየበትን ጊዜ ያንጸባርቃል. የኤተርኔት በይነገጽ ጥቅሉን ከሽቦው ያስወገደም እና ጥሬው የ «አዲስ እሽግ» ማቋረጥን በሚመለከትበት ጊዜ መካከል ያለፈ ሙከራ አልተደረገም.
ተመልከት
ትራክ (1 C), nit (4P), bpf (4), pcap (3)
ጠቃሚ ማሳሰቢያ: በኮምፒተርዎ ውስጥ እንዴት አንድ ትዕዛዝ እንዴት ጥቅም ላይ እንደዋለ ለመመልከት የሰውውን ትዕዛዝ ( % man ) ይጠቀሙ.