टीसीपीडम्प: उदाहरण, विकल्प, और अधिक

टीसीपीडम्प एक कमांड है जो विभिन्न लिनक्स ऑपरेटिंग सिस्टम (ओएस) पर उपयोग किया जाता है जो नेटवर्क एडेप्टर से गुज़रने वाले टीसीपी / आईपी पैकेट एकत्र करता है। एक पैकेट स्निफ़ेर टूल की तरह, टीसीपीडम्प न केवल नेटवर्क यातायात का विश्लेषण कर सकता है बल्कि इसे फ़ाइल में भी सहेज सकता है।

डिफ़ॉल्ट रूप से ऑपरेटिंग सिस्टम द्वारा प्रदान किए गए कुछ आदेशों के विपरीत, आप पाते हैं कि आप tcpdump का उपयोग नहीं कर सकते क्योंकि यह स्थापित नहीं है। Tcpdump स्थापित करने के लिए, निष्पादित करें apt-get स्थापित करें tcpdump या yum tcpdump स्थापित करें, आपके ओएस के आधार पर।

कैसे टीसीपीडम्प काम करता है

टीसीपीडम्प एक नेटवर्क इंटरफ़ेस पर पैकेट के शीर्षलेख प्रिंट करता है जो बूलियन से मेल खाता है अभिव्यक्ति । इसे भी चलाया जा सकता हैडब्ल्यू ध्वज, जो बाद में विश्लेषण के लिए पैकेट डेटा को फ़ाइल में सहेजने का कारण बनता है, और / या साथ-r ध्वज, जो नेटवर्क इंटरफ़ेस से पैकेट पढ़ने के बजाय सहेजी गई पैकेट फ़ाइल से इसे पढ़ने का कारण बनता है। सभी मामलों में, केवल पैकेट जो मेल खाते हैं अभिव्यक्ति द्वारा संसाधित किया जाएगा tcpdump .

tcpdump अगर, के साथ भाग नहीं होगा-सी झंडा, पैकेट को कैप्चर करना जारी रखें जब तक कि यह एक सिगिनट सिग्नल द्वारा बाधित नहीं हो जाता है (उदाहरण के लिए, उदाहरण के लिए, अपने इंटरप्ट चरित्र टाइप करके, आमतौर पर Ctrl + C) या एक सिगरेट सिग्नल (आमतौर पर उत्पन्न होता हैहत्या(1) कमांड); अगर के साथ भागो-सी ध्वज, यह पैकेट को तब तक कैप्चर करेगा जब तक कि इसे सिगिनट या सिगरेट सिग्नल द्वारा बाधित नहीं किया जाता है या निर्दिष्ट संख्या में पैकेट संसाधित किए जाते हैं।

ऊपर वर्णित स्विच बाद में इस आलेख में विस्तार से समझाया गया है।

कब tcpdump पैकेट कैप्चरिंग खत्म करता है, यह रिपोर्ट की गणना करेगा:

• पैकेट "फ़िल्टर द्वारा प्राप्त किया गया।"
  • इसका अर्थ उस ओएस पर निर्भर करता है जिस पर आप चल रहे हैं tcpdump , और संभवतः जिस तरह से ओएस कॉन्फ़िगर किया गया था। यदि कमांड लाइन पर एक फ़िल्टर निर्दिष्ट किया गया था, तो कुछ ओएस पर यह पैकेट की गणना करता है चाहे वे फ़िल्टर अभिव्यक्ति से मेल खाते हों या नहीं, और दूसरों पर यह केवल उन पैकेटों की गणना करता है जो फ़िल्टर अभिव्यक्ति से मेल खाते थे और इन्हें संसाधित किया गया था tcpdump।
• पैकेट "कर्नेल द्वारा गिरा दिया गया।"
  • यह ओएस में पैकेट कैप्चर तंत्र द्वारा बफर स्पेस की कमी के कारण, छोड़े गए पैकेटों की संख्या है tcpdump चल रहा है, अगर ओएस अनुप्रयोगों को जानकारी रिपोर्ट करता है। यदि नहीं, तो यह 0 के रूप में रिपोर्ट किया जाएगा।

एसआईजीआईएनएफओ सिग्नल का समर्थन करने वाले प्लेटफॉर्म पर, जैसे कि अधिकांश बीएसडी (बर्कले सॉफ़्टवेयर डिस्ट्रीब्यूशन), यह उन गणनाओं की रिपोर्ट करेगा जब इसे एक सिगिनोफ़ सिग्नल प्राप्त होता है (उदाहरण के लिए, उदाहरण के लिए, "स्थिति" चरित्र टाइप करके, आमतौर पर Ctrl + T) और कैप्चरिंग पैकेट जारी रखेंगे।

टीसीपीडम्प संगतता

Tcpdump कमांड के साथ नेटवर्क इंटरफ़ेस से पैकेट पढ़ने की आवश्यकता हो सकती है कि आपके पास विशेष विशेषाधिकार हों ( पढ़ना एक सहेजी गई पैकेट फ़ाइल को ऐसे विशेषाधिकारों की आवश्यकता नहीं है):

• एनआईटी या बीपीएफ के साथ सनोस 3.x या 4.x: आपको पहुंच को पढ़ना होगा / Dev / निट या देव / bpf * .
• डीएलपीआई के साथ सोलारिस: आपको नेटवर्क छद्म डिवाइस तक पहुंच पढ़ने / लिखना होगा, जैसे / Dev / le । सोलारिस के कम से कम कुछ संस्करणों पर, हालांकि, यह अनुमति देने के लिए पर्याप्त नहीं है tcpdump विचित्र मोड में कब्जा करने के लिए; सोलारिस के उन संस्करणों पर, आपको रूट होना चाहिए, या tcpdump विचित्र मोड में कैप्चर करने के लिए रूट पर सेटयूड स्थापित होना चाहिए। ध्यान दें कि, कई (शायद सभी) इंटरफेस पर, यदि आप विचित्र मोड में कैप्चर नहीं करते हैं, तो आपको कोई आउटगोइंग पैकेट नहीं दिखाई देगा, इसलिए विशिष्ट मोड में कैप्चर नहीं किया जा सकता है।
• डीएलपीआई के साथ एचपी-यूएक्स: आपको रूट होना चाहिए या tcpdump रूट करने के लिए setuid स्थापित किया जाना चाहिए।
• स्नूप के साथ आईआरईएक्स: आपको रूट होना चाहिए या tcpdump रूट करने के लिए setuid स्थापित किया जाना चाहिए।
• लिनक्स: आपको रूट होना चाहिए या tcpdump रूट करने के लिए setuid स्थापित किया जाना चाहिए।
• Ultrix और डिजिटल यूनिक्स / Tru64 यूनिक्स: कोई भी उपयोगकर्ता नेटवर्क यातायात को कैप्चर कर सकता है tcpdump । हालांकि, कोई उपयोगकर्ता (सुपर-यूजर भी नहीं) इंटरफ़ेस पर विचित्र मोड में कैप्चर कर सकता है जब तक कि सुपर-उपयोगकर्ता ने उस इंटरफ़ेस पर विचित्र मोड मोड को सक्षम नहीं किया हो pfconfig (8), और कोई उपयोगकर्ता (सुपर-यूजर भी नहीं) मशीन द्वारा इंटरफ़ेस पर प्राप्त या भेजे गए यूनिकास्ट ट्रैफ़िक को कैप्चर कर सकता है जब तक कि सुपर-उपयोगकर्ता ने उस इंटरफ़ेस पर कॉपी-ऑल-मोड ऑपरेशन को सक्षम नहीं किया हो pfconfig , इसलिए उपयोगी किसी इंटरफ़ेस पर पैकेट कैप्चर की आवश्यकता होती है कि उस इंटरफ़ेस पर या तो विशिष्ट या मोड-कॉपी-ऑल-मोड ऑपरेशन, या ऑपरेशन के दोनों मोड सक्षम हों।
• बीएसडी: आपको पहुंच को पढ़ना होगा / Dev / bpf * .

टीसीपीडम्प कमांड सिंटेक्स

सभी कंप्यूटर कमांड की तरह, tcpdump कमांड ठीक से काम करता है अगर सिंटैक्स सही है:

tcpdump -adeflnNOpqRStuvxX -सी गिनती

-सी फाइल का आकार एफ फ़ाइल

-मैं इंटरफेस -m मॉड्यूल -r फ़ाइल

-s snaplen -टी प्रकार यू उपयोगकर्ता डब्ल्यू फ़ाइल

-E algo: गुप्त अभिव्यक्ति

टीसीपीडम्प कमांड विकल्प

ये सभी विकल्प हैं जिनका उपयोग आप tcpdump कमांड के साथ कर सकते हैं:

• -ए: नेटवर्क और प्रसारण पते को नामों में बदलने का प्रयास।
• -सीप्राप्त करने के बाद बाहर निकलें गिनती पैकेट।
• -सी: एक सेवफाइल पर कच्चे पैकेट लिखने से पहले, जांचें कि फ़ाइल वर्तमान में बड़ी है या नहीं फाइल का आकार और, यदि ऐसा है, तो वर्तमान savefile बंद करें और एक नया खोलें।पहले savefile के बाद Savefiles के साथ निर्दिष्ट नाम होगाडब्ल्यू झंडा, इसके बाद एक संख्या के साथ, 2 से शुरू और ऊपर की ओर बढ़ रहा है। की इकाइयां फाइल का आकार लाखों बाइट हैं (1,000,000 बाइट्स, 1,048,576 बाइट्स नहीं)।
• -d: संकलित पैकेट-मिलान कोड को मानक आउटपुट और स्टॉप पर मानव पठनीय रूप में डंप करें।
• -dd: पैकेट-मिलान कोड को डंप करेंसी कार्यक्रम खंड
• -ddd: पैकेट-मिलान कोड को दशमलव संख्या के रूप में डंप करें (गिनती से पहले)।
• -e: प्रत्येक डंप लाइन पर लिंक-स्तरीय शीर्षलेख मुद्रित करें।
• -E: उपयोग algo: गुप्त IPsec ईएसपी पैकेट डिक्रिप्ट करने के लिए। एल्गोरिदम हो सकता हैdes-सीबीसी, 3DES-सीबीसी, ब्लोफिश-सीबीसी, rc3-सीबीसी, cast128-सीबीसी, याकोई नहीं। डिफ़ॉल्ट हैdes-सीबीसी। पैकेट डिक्रिप्ट करने की क्षमता केवल तभी मौजूद है जब tcpdump क्रिप्टोग्राफी सक्षम के साथ संकलित किया गया था। गुप्त ईएसपी गुप्त कुंजी के लिए ascii पाठ। हम इस समय मनमाने ढंग से बाइनरी मूल्य नहीं ले सकते हैं। विकल्प आरएफसी 2406 ईएसपी मानता है, आरएफसी 1827 ईएसपी नहीं। विकल्प केवल डीबगिंग उद्देश्यों के लिए है, और वास्तव में 'गुप्त' कुंजी के साथ इस विकल्प का उपयोग निराश है। कमांड लाइन पर आईपीसीईसी गुप्त कुंजी पेश करके आप इसे दूसरों के माध्यम से दृश्यमान बनाते हैं ps (1) और अन्य अवसरों।
• -f: प्रतीकात्मक रूप से 'विदेशी' इंटरनेट पते को संख्यात्मक रूप से मुद्रित करें (यह विकल्प सूर्य के वाईपी सर्वर में गंभीर मस्तिष्क क्षति के आसपास होने का इरादा है - आमतौर पर यह हमेशा के लिए nonlocal इंटरनेट नंबरों का अनुवाद करता है)।
• एफ: उपयोग फ़ाइल फ़िल्टर अभिव्यक्ति के लिए इनपुट के रूप में। कमांड लाइन पर दी गई एक अतिरिक्त अभिव्यक्ति को नजरअंदाज कर दिया जाता है।
• -मैं: सुनिए इंटरफेस । यदि निर्दिष्ट नहीं है, tcpdump निम्नतम क्रमांकित, कॉन्फ़िगर किए गए इंटरफ़ेस (लूपबैक को छोड़कर) के लिए सिस्टम इंटरफ़ेस सूची की खोज करता है। शुरुआती मैच चुनकर संबंध टूट गए हैं। 2.2 या बाद के कर्नेल के साथ लिनक्स सिस्टम पर, ए इंटरफेस "किसी भी" का तर्क सभी इंटरफेस से पैकेट को कैप्चर करने के लिए उपयोग किया जा सकता है। ध्यान दें कि "किसी भी" डिवाइस पर कैप्चर विचित्र मोड में नहीं किया जाएगा।
• -l: Stdout लाइन buffered बनाओ। उपयोगी है अगर आप इसे कैप्चर करते समय डेटा देखना चाहते हैं। उदाहरण के लिए, "tcpdump -l | tee dat" या "tcpdump -l> डेटा और पूंछ-डी डेटा"।
• -m: फ़ाइल से एसएमआई एमआईबी मॉड्यूल परिभाषा लोड करें मॉड्यूल । इस विकल्प को कई एमआईबी मॉड्यूल लोड करने के लिए कई बार इस्तेमाल किया जा सकता है tcpdump .
• -n: होस्ट पते को नामों में परिवर्तित न करें। इसका उपयोग DNS लुकअप से बचने के लिए किया जा सकता है।
• -nn: प्रोटोकॉल और पोर्ट नंबर इत्यादि को नामों में परिवर्तित न करें।
• एन: मेजबान नामों के डोमेन नाम योग्यता मुद्रित न करें। उदाहरण के लिए, यदि आप यह ध्वज देते हैं, तो tcpdump "nic.ddn.mil" के बजाय "nic" प्रिंट करेगा।
• -O: पैकेट-मिलान कोड अनुकूलक को न चलाएं। यह केवल तभी उपयोगी होता है जब आपको अनुकूलक में एक बग पर संदेह हो।
• -p: नहीं इंटरफेस को विचित्र मोड में डालें। ध्यान दें कि कुछ अन्य कारणों से इंटरफ़ेस विशिष्ट मोड में हो सकता है; इसलिए, '-p' का उपयोग 'ईथर होस्ट {स्थानीय-एचडब्ल्यू-एडीआर} या ईथर प्रसारण' के संक्षेप में नहीं किया जा सकता है।
• -qत्वरित (शांत) आउटपुट। कम प्रोटोकॉल जानकारी प्रिंट करें ताकि आउटपुट लाइनें कम हों।
• आर: पुराने विनिर्देश पर आधारित ईएसपी / एएच पैकेट मानें: आरएफसी 1825 से आरएफसी 1829। यदि निर्दिष्ट है, tcpdump रीप्ले रोकथाम क्षेत्र मुद्रित नहीं करेगा। चूंकि ईएसपी / एएच विनिर्देश में कोई प्रोटोकॉल संस्करण फ़ील्ड नहीं है, tcpdump ईएसपी / एएच प्रोटोकॉल के संस्करण को कम नहीं कर सकते हैं।
• -r: से पैकेट पढ़ें फ़ाइल (जो -w विकल्प के साथ बनाया गया था)। मानक इनपुट का उपयोग किया जाता है अगर फ़ाइल है "-''।
• -S: रिश्तेदार, टीसीपी अनुक्रम संख्या के बजाय पूर्ण प्रिंट करें।
• -s: स्नार्फ snaplen 68 के डिफ़ॉल्ट के बजाय प्रत्येक पैकेट से डेटा के बाइट; सनोस के एनआईटी के साथ, न्यूनतम वास्तव में 96 है। आईपी, आईसीएमपी, टीसीपी, और यूडीपी के लिए साठ आठ बाइट पर्याप्त हैं लेकिन नाम सर्वर और एनएफएस पैकेट से प्रोटोकॉल जानकारी को कम कर सकते हैं (नीचे देखें)। सीमित स्नैपशॉट के कारण आउटपुट में संकेत दिए गए पैकेट को "| आद्य '', कहा पे आद्य प्रोटोकॉल स्तर का नाम है जिस पर छंटनी हुई है। ध्यान दें कि बड़े स्नैपशॉट्स लेने से पैकेट को संसाधित करने में कितना समय लगता है और प्रभावी रूप से पैकेट बफरिंग की मात्रा कम हो जाती है। इससे पैकेट खो जाएंगे। आपको सीमित करना चाहिए snaplen उस छोटी संख्या में जो आपके द्वारा रुचि रखने वाली प्रोटोकॉल जानकारी को कैप्चर करेगा। सेटिंग snaplen 0 से पूरे पैकेट को पकड़ने के लिए आवश्यक लंबाई का उपयोग करना है।
• -टी: फोर्स पैकेट द्वारा चुने गए " अभिव्यक्ति "निर्दिष्ट व्याख्या करने के लिए प्रकार । वर्तमान में ज्ञात प्रकार हैंcnfp (सिस्को नेटफ्लो प्रोटोकॉल),RPC (दुरस्तह प्रकिया कॉल),आरटीपी (रीयल-टाइम एप्लीकेशन प्रोटोकॉल),RTCP (रीयल-टाइम एप्लीकेशन कंट्रोल प्रोटोकॉल)SNMP (साधारण नेटवर्क प्रबंधन प्रोटोकॉल),टब (विजुअल ऑडियो उपकरण), औरपश्चिम बंगाल (वितरित व्हाइट बोर्ड)।
• आयकर: नहीं प्रत्येक डंप लाइन पर एक टाइमस्टैम्प प्रिंट करें।
• -tt: प्रत्येक डंप लाइन पर एक unformatted टाइमस्टैम्प मुद्रित करें।
• यू: रूट विशेषाधिकारों को छोड़ देता है और उपयोगकर्ता आईडी को बदल देता है उपयोगकर्ता और प्राथमिक समूह के लिए समूह आईडी उपयोगकर्ता .
• ध्यान दें: अगर कुछ और निर्दिष्ट नहीं किया गया है तो Red Hat Linux स्वचालित रूप से विशेषाधिकारों को उपयोगकर्ता "पॅक" पर छोड़ देता है।
• -ttt: प्रत्येक डंप लाइन पर वर्तमान और पिछली पंक्ति के बीच एक डेल्टा (माइक्रोसेकंड में) प्रिंट करें।
• -tttt: प्रत्येक डंप लाइन पर दिनांक के अनुसार आगे बढ़े डिफ़ॉल्ट प्रारूप में एक टाइमस्टैम्प प्रिंट करें।
• -u: अनिश्चित एनएफएस हैंडल प्रिंट करें।
• -v: (थोड़ा अधिक) वर्बोज़ आउटपुट। उदाहरण के लिए, आईपी पैकेट में रहने, पहचान, कुल लंबाई और विकल्पों को मुद्रित करने का समय मुद्रित किया जाता है। आईपी ​​और आईसीएमपी हेडर चेकसम को सत्यापित करने जैसे अतिरिक्त पैकेट अखंडता जांच भी सक्षम करता है।
• -vv: यहां तक ​​कि अधिक verbose आउटपुट। उदाहरण के लिए, एनएफएस उत्तर पैकेट से अतिरिक्त फ़ील्ड मुद्रित किए जाते हैं, और एसएमबी पैकेट पूरी तरह से डीकोड किए जाते हैं।
• -vvv: यहां तक ​​कि अधिक verbose आउटपुट। उदाहरण के लिए, टेलनेटएस.बी. … एसई विकल्प पूर्ण रूप से मुद्रित हैं। साथ में -एक्स टेलनेट विकल्प हेक्स में भी मुद्रित होते हैं।
• डब्ल्यू: कच्चे पैकेट को लिखें फ़ाइल पार्सिंग और उन्हें प्रिंट करने के बजाय। बाद में उन्हें -r विकल्प के साथ मुद्रित किया जा सकता है। मानक आउटपुट का उपयोग किया जाता है अगर फ़ाइल है "-''।
• -एक्स: हेक्स में प्रत्येक पैकेट (इसके लिंक स्तर शीर्षलेख को घटाएं) प्रिंट करें। पूरे पैकेट के छोटे या snaplen बाइट मुद्रित किया जाएगा। ध्यान दें कि यह संपूर्ण लिंक-लेयर पैकेट है, इसलिए लिंक परतों के लिए पैड (उदा।, ईथरनेट), पैडिंग बाइट भी मुद्रित किए जाएंगे जब उच्च परत पैकेट आवश्यक पैडिंग से छोटा होता है।
• -एक्स: हेक्स प्रिंट करते समय, एसीआईआई भी प्रिंट करें। इस प्रकार अगर-एक्स यह भी सेट है, पैकेट हेक्स / एएससीआई में मुद्रित है। यह नए प्रोटोकॉल का विश्लेषण करने के लिए बहुत आसान है। भले ही-एक्स सेट भी नहीं है, कुछ पैकेट के कुछ हिस्सों को हेक्स / एएससीआई में मुद्रित किया जा सकता है।
• अभिव्यक्ति : चुनता है कि कौन से पैकेट डंप किए जाएंगे। यदि नही अभिव्यक्ति दिया जाता है, नेट पर सभी पैकेट डंप किया जाएगा। अन्यथा, केवल पैकेट जिसके लिए अभिव्यक्ति 'सच' डंप किया जाएगा। अभिव्यक्ति एक या अधिक होते हैं पुरातन। Primitives आमतौर पर एक होते हैं आईडी (नाम या संख्या) एक या अधिक क्वालिफायर से पहले। तीन अलग-अलग प्रकार के क्वालीफायर हैं:
• प्रकार : क्वालीफायर कहते हैं कि आईडी नाम या संख्या किस प्रकार की बात है। संभावित प्रकार हैंमेज़बान, जाल, तथाबंदरगाहउदाहरण के लिए, 'होस्ट फू', 'नेट 128.3', 'पोर्ट 20'। यदि कोई प्रकार क्वालीफायर नहीं है,मेज़बान माना जाता है।
• dir : क्वालीफायर एक विशेष स्थानांतरण दिशा निर्दिष्ट करते हैं और / या से आईडी । संभावित दिशाएं हैंsrc, डीएसटी, src या dst तथाsrc और डीएसटी (उदाहरण के लिए, 'src foo', 'dst net 128.3', 'src या dst port ftp-data')। यदि कोई डीआईआर क्वालीफायर नहीं है,src या dst माना जाता है। 'शून्य' लिंक परतों के लिए (यानी, पर्ची जैसे पॉइंट-टू-पॉइंट प्रोटोकॉल) भीतर का तथा आउटबाउंड वांछित दिशा निर्दिष्ट करने के लिए क्वालीफायर का उपयोग किया जा सकता है।
• आद्य : क्वालीफायर मैच को किसी विशेष प्रोटोकॉल पर प्रतिबंधित करते हैं। संभावित प्रोटोज हैं: ईथर, एफडीडीआई, टीआर, आईपी, ip6, एआरपी, RARP, DECNET, टीसीपी, तथायूडीपीउदाहरण के लिए, 'ether src foo', 'arp net 128.3', 'tcp port 21'। यदि कोई प्रोटो क्वालीफायर नहीं है, तो इस प्रकार के अनुरूप सभी प्रोटोकॉल ग्रहण किए जाते हैं। उदाहरण के लिए, 'src foo' का अर्थ है '(आईपी या arp या rarp) src foo' (बाद वाले को छोड़कर कानूनी वाक्यविन्यास नहीं है), 'नेट बार' का अर्थ है '(आईपी या अर्प या रारप) नेट बार' और 'पोर्ट 53' मतलब '(टीसीपी या udp) पोर्ट 53'।
  • 'fddi' वास्तव में 'ईथर' के लिए एक उपनाम है; पार्सर उन्हें समान रूप से "निर्दिष्ट नेटवर्क इंटरफ़ेस पर उपयोग किए गए डेटा लिंक स्तर" के रूप में मानता है। 'एफडीडीआई हेडर में ईथरनेट-जैसे स्रोत और गंतव्य पते होते हैं, और अक्सर ईथरनेट-जैसे पैकेट प्रकार होते हैं, ताकि आप इन एफडीडीआई फ़ील्ड पर फ़िल्टर कर सकें समान ईथरनेट फ़ील्ड्स के साथ। एफडीडीआई हेडर में अन्य फ़ील्ड भी होते हैं, लेकिन आप स्पष्ट रूप से फ़िल्टर अभिव्यक्ति में उनका नाम नहीं दे सकते हैं।
  • इसी तरह, 'ईआर' 'ईथर' के लिए एक उपनाम है; एफडीडीआई हेडर के बारे में पिछले पैराग्राफ के बयान टोकन रिंग हेडर पर भी लागू होते हैं।

उपरोक्त के अलावा, कुछ विशेष "आदिम" कीवर्ड हैं जो पैटर्न का पालन नहीं करते हैं:द्वार, प्रसारण, कम से, अधिक से अधिक, तथा अंकगणित भाव। इन सभी को नीचे वर्णित किया गया है।

शब्दों का उपयोग करके अधिक जटिल फ़िल्टर अभिव्यक्तियां बनाई गई हैंतथा, या, तथानहीं प्राइमेटिव को गठबंधन करने के लिए - उदाहरण के लिए, "होस्ट फू और पोर्ट पोर्ट नहीं है और पोर्ट पोर्ट-डेटा नहीं है"। टाइपिंग को सहेजने के लिए, समान क्वालीफायर सूचियों को छोड़ा जा सकता है (उदा।, "टीसीपी डीएसटी पोर्ट एफटीपी या एफटीपी-डेटा या डोमेन" बिल्कुल "टीसीपी डीएसटी पोर्ट एफटीपी या टीसीपी डीएसटी पोर्ट एफटीपी-डेटा या टीसीपी डीएसटी पोर्ट डोमेन" जैसा ही है।)

ये tcpdump कमांड के साथ अनुमत प्राइमेटिव हैं:

• डीएसटी मेजबान मेज़बान
  • सच है कि पैकेट का आईपीवी 4 / वी 6 गंतव्य क्षेत्र है मेज़बान , जो या तो एक पता या नाम हो सकता है।
• src होस्ट मेज़बान
  • सच है कि पैकेट का IPv4 / v6 स्रोत फ़ील्ड है मेज़बान .
• मेज़बान मेज़बान
  • यह सच है कि या तो पैकेट का IPv4 / v6 स्रोत या गंतव्य है मेज़बान । उपर्युक्त होस्ट अभिव्यक्तियों में से कोई भी कीवर्ड के साथ प्रीपेड किया जा सकता है,आईपी, एआरपी, RARP, याip6, जैसे की आईपी ​​होस्ट मेज़बान (जो बराबर है ईथर प्रोटो आईपी और मेजबान मेज़बान)।
  • अगर मेज़बान एक से अधिक आईपी पते वाला नाम है, प्रत्येक पते को एक मैच के लिए चेक किया जाएगा।
• ईथर डीएसटी ehost
  • सही है कि ईथरनेट गंतव्य पता है ehost . Ehost या तो / etc / ethers या संख्या से एक नाम हो सकता है (देखें ईथर (3 एन) संख्यात्मक प्रारूप के लिए)।
• ईथर स्रोत ehost
  • सही है अगर ईथरनेट स्रोत पता है ehost .
• ईथर मेजबान ehost
  • सही है अगर ईथरनेट स्रोत या गंतव्य पता है ehost .
• द्वार मेज़बान
  • सही है अगर पैकेट इस्तेमाल किया मेज़बान गेटवे के रूप में (यानी, ईथरनेट स्रोत या गंतव्य पता था मेज़बान लेकिन न तो आईपी स्रोत और न ही आईपी गंतव्य था मेज़बान ).
  • मेज़बान एक नाम होना चाहिए और मशीन के होस्ट-नाम-टू-आईपी-एड्रेस रिज़ॉल्यूशन मैकेनिज्म (होस्ट नाम फ़ाइल, डीएनएस, एनआईएस, इत्यादि) और मशीन के होस्ट-नाम-टू-ईथरनेट-एड्रेस रिज़ॉल्यूशन तंत्र द्वारा दोनों को मिलना चाहिए (/ आदि / ईथर, आदि)।
  • एक समकक्ष अभिव्यक्ति है ईथर मेजबान ehost और अब मेजबान मेज़बान , जिसका उपयोग किसी भी नाम या संख्या के साथ किया जा सकता है मेजबान / अहोस्ट ।) इस वाक्यविन्यास इस पल में आईपीवी 6-सक्षम विन्यास में काम नहीं करता है।
• डीएसटी नेट जाल
  • यह सही है कि पैकेट के आईपीवी 4 / वी 6 गंतव्य पते में नेटवर्क नंबर है जाल . जाल या तो / etc / network या नेटवर्क नंबर से एक नाम हो सकता है (देखें नेटवर्क (4) ब्योरा हेतु)।
• स्रोत नेट जाल
  • यह सही है कि पैकेट के आईपीवी 4 / वी 6 स्रोत पते में नेटवर्क नंबर है जाल .
• जाल जाल
  • यह सही है कि या तो पैकेट के IPv4 / v6 स्रोत या गंतव्य पते की नेटवर्क संख्या है जाल .
• जाल जाल मुखौटा नेटमास्क
  • सही है अगर आईपी पता मेल खाता है जाल विशिष्ट के साथ नेटमास्क । के साथ योग्य हो सकता हैsrc याडीएसटी। ध्यान दें कि यह वाक्यविन्यास आईपीवी 6 के लिए मान्य नहीं है जाल .
• जाल जाल / लेन
  • सही है अगर आईपीवी 4 / वी 6 पता मेल खाता है जाल नेटमास्क के साथ लेन बिट्स चौड़ा के साथ योग्य हो सकता हैsrc याडीएसटी.
• डीएसटी पोर्ट बंदरगाह
  • यह सही है कि पैकेट आईपी / टीसीपी, आईपी / udp, ip6 / tcp, या ip6 / udp है और इसका गंतव्य पोर्ट मान है बंदरगाह । बंदरगाह / etc / सेवाओं में उपयोग की जाने वाली संख्या या नाम हो सकता है (देखें टीसीपी (4 पी) और यूडीपी (4P))। यदि कोई नाम उपयोग किया जाता है, तो पोर्ट नंबर और प्रोटोकॉल दोनों की जांच की जाती है। यदि कोई संख्या या संदिग्ध नाम उपयोग किया जाता है, तो केवल पोर्ट नंबर चेक किया जाता है (उदा।डीएसटी पोर्ट 513 दोनों टीसीपी / लॉगिन यातायात और udp / यातायात, और दोनों मुद्रित करेंगेबंदरगाह डोमेन दोनों टीसीपी / डोमेन और udp / डोमेन यातायात मुद्रित करेंगे)।
• src पोर्ट बंदरगाह
  • यह सही है कि पैकेट का स्रोत पोर्ट मान है बंदरगाह .
• बंदरगाह बंदरगाह
  • सच है कि या तो पैकेट का स्रोत या गंतव्य पोर्ट है बंदरगाह । उपरोक्त पोर्ट एक्सप्रेशन में से कोई भी कीवर्ड के साथ प्रीपेड किया जा सकता है,टीसीपी यायूडीपी, जैसे की टीसीपी src पोर्ट बंदरगाह , जो केवल टीसीपी पैकेट से मेल खाता है जिसका स्रोत पोर्ट है बंदरगाह .
• कम से लंबाई
  • यह सच है कि पैकेट की लंबाई कम या उसके बराबर है लंबाई । यह बराबर है लेन <= लंबाई .
• अधिक से अधिक लंबाई
  • यह सच है कि पैकेट की लम्बाई लंबाई या उससे अधिक है लंबाई । यह बराबर है लेन> = लंबाई .
• आईपी ​​प्रोटो मसविदा बनाना
  • यह सच है कि पैकेट एक आईपी पैकेट है (देखें आईपी (4 पी)) प्रोटोकॉल प्रकार के मसविदा बनाना . मसविदा बनाना नामों में से एक या एक हो सकता है ICMP , icmp6 , IGMP , IGRP , पीआईएम , आह , esp , VRRP , यूडीपी , या टीसीपी । ध्यान दें कि पहचानकर्ता टीसीपी , यूडीपी , तथा ICMP कीवर्ड भी हैं और बैकस्लैश () के माध्यम से बच जाना चाहिए, जो सी-शैल में है। ध्यान दें कि यह आदिम प्रोटोकॉल हेडर श्रृंखला का पीछा नहीं करता है।
• आईपी ​​6 प्रोटो मसविदा बनाना
  • यह सही है कि पैकेट प्रोटोकॉल प्रकार का आईपीवी 6 पैकेट है मसविदा बनाना । ध्यान दें कि यह आदिम प्रोटोकॉल हेडर श्रृंखला का पीछा नहीं करता है।
• आईपी ​​6 प्रोटोकैन मसविदा बनाना
  • यह सही है कि पैकेट आईपीवी 6 पैकेट है, और इसमें टाइप के साथ प्रोटोकॉल हेडर शामिल है मसविदा बनाना अपने प्रोटोकॉल हेडर श्रृंखला में। उदाहरण के लिए, ipv6 protochain 6 प्रोटोकॉल हेडर श्रृंखला में टीसीपी प्रोटोकॉल हेडर के साथ किसी भी आईपीवी 6 पैकेट से मेल खाता है। पैकेट में, उदाहरण के लिए, आईपीवी 6 हेडर और टीसीपी हेडर के बीच प्रमाणीकरण हेडर, रूटिंग हेडर, या हॉप-बाय-हॉप विकल्प हेडर हो सकता है। इस आदिम द्वारा उत्सर्जित बीपीएफ कोड जटिल है और इसे बीपीएफ अनुकूलक कोड द्वारा अनुकूलित नहीं किया जा सकता है tcpdump , तो यह कुछ हद तक धीमा हो सकता है।
• आईपी ​​protochain मसविदा बनाना
  • के बराबरआईपी ​​6 प्रोटोकैन मसविदा बनाना , लेकिन यह आईपीवी 4 के लिए है।
• ईथर प्रसारण
  • यह सच है कि पैकेट एक ईथरनेट प्रसारण पैकेट है। ईथर कीवर्ड वैकल्पिक है।
• आईपी ​​प्रसारण
  • यह सच है कि पैकेट एक आईपी प्रसारण पैकेट है। यह सभी ज़ीरो और सभी प्रसारण प्रसारण सम्मेलनों के लिए जांच करता है, और स्थानीय सबनेट मास्क को देखता है।
• ईथर मल्टीकास्ट
  • यह सच है कि पैकेट एक ईथरनेट मल्टीकास्ट पैकेट है। ईथर कीवर्ड वैकल्पिक है। यह 'के लिए लघुरूप हैईथर 0 और 1! = 0'.
• आईपी ​​मल्टीकास्ट
  • यह सच है कि पैकेट एक आईपी मल्टीकास्ट पैकेट है।
• आईपी ​​6 मल्टीकास्ट
  • सच है कि पैकेट एक आईपीवी 6 मल्टीकास्ट पैकेट है।
• ईथर प्रोटो मसविदा बनाना
  • सच है कि पैकेट ईथर प्रकार का है मसविदा बनाना . मसविदा बनाना नामों में से एक या एक हो सकता है आईपी , ip6 , एआरपी , RARP , बात , AARP , DECNET , एससीए , अक्षां , mopdl , moprc , आईएसओ , एसटीपी , IPX , या NetBEUI । ध्यान दें कि ये पहचानकर्ता भी कीवर्ड हैं और बैकस्लैश () के माध्यम से बच जाना चाहिए।
  • एफडीडीआई के मामले में (उदाहरण के लिए, 'fddi प्रोटोकॉल arp') और टोकन रिंग (उदाहरण के लिए,'टी प्रोटोकॉल arp'), उन अधिकांश प्रोटोकॉल के लिए, प्रोटोकॉल पहचान 802.2 लॉजिकल लिंक कंट्रोल (एलएलसी) हेडर से आता है, जो आमतौर पर एफडीडीआई या टोकन रिंग हेडर के शीर्ष पर स्तरित होती है।
  • एफडीडीआई या टोकन रिंग पर अधिकांश प्रोटोकॉल पहचानकर्ताओं के लिए फ़िल्टर करते समय, tcpdump encapsulated ईथरनेट के लिए 0x000000 के एक संगठनात्मक इकाई पहचानकर्ता (ओयूआई) के साथ तथाकथित एसएनएपी प्रारूप में एक एलएलसी शीर्षलेख के प्रोटोकॉल आईडी फ़ील्ड की जांच करता है; यह जांच नहीं करता है कि पैकेट 0x000000 के ओयूआई के साथ एसएनएपी प्रारूप में है या नहीं।
  • अपवाद हैं आईएसओ , जिसके लिए यह एलएलसी हेडर के डीएसएपी (गंतव्य सेवा पहुंच बिंदु) और एसएसएपी (स्रोत सेवा एक्सेस प्वाइंट) फ़ील्ड की जांच करता है, एसटीपी तथा NetBEUI , जहां यह एलएलसी हेडर के डीएसएपी की जांच करता है, और बात , जहां यह 0x080007 और ऐप्पलटॉक एटइप के ओयूआई के साथ एक एसएनएपी प्रारूप प्रारूप के लिए जांच करता है।
  • ईथरनेट के मामले में, tcpdump उन प्रोटोकॉल के अधिकांश के लिए ईथरनेट प्रकार फ़ील्ड की जांच करता है; अपवाद हैं आईएसओ , पौधों का रस , तथा NetBEUI , जिसके लिए यह 802.3 फ्रेम के लिए जांच करता है और फिर एलएलसी हेडर की जांच करता है क्योंकि यह एफडीडीआई और टोकन रिंग के लिए करता है; बात , जहां यह ईथरनेट फ्रेम में और एसएनएपी-प्रारूप पैकेट के लिए ऐप्पलटॉक एटइप के लिए दोनों की जांच करता है क्योंकि यह एफडीडीआई और टोकन रिंग के लिए करता है; AARP , जहां यह ऐप्पलटॉक एआरपी एटइप के लिए या तो ईथरनेट फ्रेम या 0x000000 के ओयूआई के साथ 802.2 एसएनएपी फ्रेम में जांच करता है; तथा IPX , जहां यह ईथरनेट फ्रेम में आईपीएक्स एटइप की जांच करता है, एलएलसी हेडर में आईपीएक्स डीएसएपी, आईपीएक्स के एलएलसी हेडर एनकैप्यूलेशन के साथ 802.3, और एसएनएपी फ्रेम में आईपीएक्स एटइप।
• decnet src मेज़बान
  • सही है कि DECNET स्रोत पता है मेज़बान , जो "10.123", या एक DECNET होस्ट नाम का पता हो सकता है। DECNET होस्ट नाम समर्थन केवल उन Ultrix सिस्टम पर उपलब्ध है जो DECNET चलाने के लिए कॉन्फ़िगर किए गए हैं।
• decnet dst मेज़बान
  • सही है कि DECNET गंतव्य पता है मेज़बान .
• डीकनेट मेजबान मेज़बान
  • यह सही है कि या तो DECNET स्रोत या गंतव्य पता है मेज़बान .
• आईपी, ip6, एआरपी, RARP, बात, AARP, DECNET, आईएसओ, एसटीपी, IPX, NetBEUI
  • के लिए संक्षेप ईथर प्रोटो पी कहा पे पी उपर्युक्त प्रोटोकॉल में से एक है।
• अक्षां, moprc, mopdl
  • के लिए संक्षेप ईथर प्रोटो पी कहा पे पी उपर्युक्त प्रोटोकॉल में से एक है। ध्यान दें कि tcpdump वर्तमान में इन प्रोटोकॉल को पार्स करने का तरीका नहीं जानता है।
• VLAN Vlan_id
  • यह सच है कि पैकेट एक आईईईई 802.1Q वीएलएएन पैकेट है। अगर Vlan_id निर्दिष्ट है, केवल पैकेट निर्दिष्ट है अगर सच है vlan_id । ध्यान दें कि पहलेVLAN कीवर्ड में सामना करना पड़ा अभिव्यक्ति शेष के लिए डिकोडिंग ऑफसेट बदलता है अभिव्यक्ति इस धारणा पर कि पैकेट एक वीएलएएन पैकेट है।
• टीसीपी, यूडीपी, ICMP
  • के लिए संक्षेप आईपी ​​प्रोटो पी या आईपी 6 प्रोटो पी कहा पे पी उपर्युक्त प्रोटोकॉल में से एक है।
• आईएसओ प्रोटो मसविदा बनाना
  • यह सच है कि पैकेट प्रोटोकॉल प्रकार का ओएसआई पैकेट है मसविदा बनाना . मसविदा बनाना नामों में से एक या एक हो सकता है clnp , ESIS , या आइसिस .
• clnp, ESIS, आइसिस
  • के लिए संक्षेप आईएसओ प्रोटो पी कहा पे पी उपर्युक्त प्रोटोकॉल में से एक है। ध्यान दें कि tcpdump इन प्रोटोकॉल को पार्स करने का अपूर्ण काम करता है।
• expr relop expr
  • सच है अगर संबंध रखता है, कहां relop > में से एक है, <,> =, <=, =,! =, और expr पूर्णांक स्थिरांक (मानक सी वाक्यविन्यास में व्यक्त), सामान्य बाइनरी ऑपरेटरों +, -, *, /, &, |, एक लम्बा ऑपरेटर, और विशेष पैकेट डेटा एक्सेसर्स से बना एक अंकगणितीय अभिव्यक्ति है। पैकेट के अंदर डेटा तक पहुंचने के लिए, निम्न वाक्यविन्यास का उपयोग करें: proto expr: आकार .

आद्य में से एक हैईथर, एफडीडीआई, टीआर, पीपीपी, चूक, संपर्क, आईपी<