tcpdump命令的使用方法(11)
tcpdump命令的使用方法
oamf4
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0 并且 VCI=3 或者 VCI=4), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來(lái)定位)
oam
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0 并且 VCI=3 或者 VCI=4), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: 此選項(xiàng)與oamf4重復(fù), 需確認(rèn))
metac
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'元信令線路'(nt: VPI=0 并且 VCI=1, '元信令線路', meta signaling circuit, 具體含義未知, 需補(bǔ)充),
則與此對(duì)應(yīng)的條件表達(dá)式為真.
bcc
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'廣播信令線路'(nt: VPI=0 并且 VCI=2, '廣播信令線路', broadcast signaling circuit, 具體含義未知, 需補(bǔ)充),
則與此對(duì)應(yīng)的條件表達(dá)式為真.
sc
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'信令線路'(nt: VPI=0 并且 VCI=5, '信令線路', signaling circuit, 具體含義未知, 需補(bǔ)充),
則與此對(duì)應(yīng)的條件表達(dá)式為真.
ilmic
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'ILMI線路'(nt: VPI=0 并且 VCI=16, 'ILMI', Interim Local Management Interface , 可理解為
基于SNMP(簡(jiǎn)易網(wǎng)絡(luò)管理協(xié)議)的用于網(wǎng)絡(luò)管理的接口)
則與此對(duì)應(yīng)的條件表達(dá)式為真.
connectmsg
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'信令線路'并且是Q.2931協(xié)議中規(guī)定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: Q.2931 為ITU(國(guó)際電信聯(lián)盟)制定的信令協(xié)議. 其中規(guī)定了在寬帶綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)的用戶接口層建立, 維護(hù), 取消
網(wǎng)絡(luò)連接的相關(guān)步驟.)
metaconnect
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來(lái)自'元信令線路'并且是Q.2931協(xié)議中規(guī)定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對(duì)應(yīng)的條件表達(dá)式為真.
expr relop expr
如果relop 兩側(cè)的操作數(shù)(expr)滿足relop 指定的關(guān)系, 則與此對(duì)應(yīng)的條件表達(dá)式為真.
relop 可以是以下關(guān)系操作符之一: >, <, <=, =, !=.
expr 是一個(gè)算術(shù)表達(dá)式. 此表達(dá)式中可使用整型常量(表示方式與標(biāo)準(zhǔn)C中一致), 二進(jìn)制操作符(+, -, _ /, &, |,
<<, >>), 長(zhǎng)度操作符, 以及對(duì)特定數(shù)據(jù)包中數(shù)據(jù)的引用操作符. 要注意的是, 所有的比較操作都默認(rèn)操作數(shù)是無(wú)符號(hào)的,
例如, 0x80000000 和 0xffffffff 都是大于0的(nt: 對(duì)于有符號(hào)的比較, 按照補(bǔ)碼規(guī)則, 0xffffffff
會(huì)小于0). 如果要引用數(shù)據(jù)包中的數(shù)據(jù), 可采用以下表達(dá)方式:
proto [expr : size]
proto 的取值可以是以下取值之一:ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp,
tcp, udp, icmp, ip6 或者 radio. 這指明了該引用操作所對(duì)應(yīng)的協(xié)議層.(ether, fddi, wlan,
tr, ppp, slip and link 對(duì)應(yīng)于數(shù)據(jù)鏈路層, radio 對(duì)應(yīng)于802.11(wlan,無(wú)線局域網(wǎng))某些數(shù)據(jù)包中的附帶的
"radio"頭(nt: 其中描述了波特率, 數(shù)據(jù)加密等信息)).
要注意的是, tcp, udp 等上層協(xié)議目前只能應(yīng)用于網(wǎng)絡(luò)層采用為IPv4或IPv6協(xié)議的網(wǎng)絡(luò)(此限制會(huì)在tcpdump未來(lái)版本中
進(jìn)行修改). 對(duì)于指定協(xié)議的所需數(shù)據(jù), 其在包數(shù)據(jù)中的偏移字節(jié)由expr 來(lái)指定.
以上表達(dá)中size 是可選的, 用來(lái)指明我們關(guān)注那部分?jǐn)?shù)據(jù)段的長(zhǎng)度(nt:通常這段數(shù)據(jù)
是數(shù)據(jù)包的一個(gè)域), 其長(zhǎng)度可以是1, 2, 或4個(gè)字節(jié). 如果不給定size, 默認(rèn)是1個(gè)字節(jié). 長(zhǎng)度操作符的關(guān)鍵字為len,
這代碼整個(gè)數(shù)據(jù)包的長(zhǎng)度.
例如, 'ether[0] & 1 != 0' 將會(huì)使tcpdump 抓取所有多點(diǎn)廣播數(shù)據(jù)包.(nt: ether[0]字節(jié)的最低位為1表示
數(shù)據(jù)包目的地址是多點(diǎn)廣播地址). 'ip[0] & 0xf != 5' 對(duì)應(yīng)抓取所有帶有選項(xiàng)的
IPv4數(shù)據(jù)包. 'ip[6:2] & 0x1fff = 0'對(duì)應(yīng)抓取沒(méi)被破碎的IPv4數(shù)據(jù)包或者
其片段編號(hào)為0的已破碎的IPv4數(shù)據(jù)包. 這種數(shù)據(jù)檢查方式也適用于tcp和udp數(shù)據(jù)的引用,
即, tcp[0]對(duì)應(yīng)于TCP 頭中第一個(gè)字節(jié), 而不是對(duì)應(yīng)任何一個(gè)中間的字節(jié).
一些偏移以及域的取值除了可以用數(shù)字也可用名字來(lái)表達(dá). 以下為可用的一些域(協(xié)議頭中的域)的名字: icmptype (指ICMP 協(xié)議頭
中type域), icmpcode (指ICMP 協(xié)議頭code 域), 以及tcpflags(指TCP協(xié)議頭的flags 域)
以下為ICMP 協(xié)議頭中type 域的可用取值:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply,
icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
以下為T(mén)CP 協(xié)議頭中flags 域的可用取值:tcp-fin, tcp-syn, tcp-rst, tcp-push,
tcp-ack, tcp-urg.
看過(guò)“tcpdump命令的使用方法”的人還看了:
1.linux下free命令使用方法
2.Linux下nl命令怎么用
3.Linux命令如何連接
4.Linux下traceroute命令怎么用
5.mv命令怎么用
6.11個(gè)很有用的Linux 命令