tcpdump命令的使用方法

　　AFS 請(qǐng)求和回應(yīng)

　　AFS(nt: Andrew 文件系統(tǒng), Transarc , 未知, 需補(bǔ)充)請(qǐng)求和回應(yīng)有如下的答應(yīng)

　　src.sport > dst.dport: rx packet-type

　　src.sport > dst.dport: rx packet-type service call call-name args

　　src.sport > dst.dport: rx packet-type service reply call-name args

　　elvis.7001 > pike.afsfs:

　　rx data fs call rename old fid 536876964/1/1 ".newsrc.new"

　　new fid 536876964/1/1 ".newsrc"

　　pike.afsfs > elvis.7001: rx data fs reply rename

　　在第一行, 主機(jī)elvis 向pike 發(fā)送了一個(gè)RX數(shù)據(jù)包.

　　這是一個(gè)對(duì)于文件服務(wù)的請(qǐng)求數(shù)據(jù)包(nt: RX data packet, 發(fā)送數(shù)據(jù)包 , 可理解為發(fā)送包過(guò)去, 從而請(qǐng)求對(duì)方的服務(wù)), 這也是一個(gè)RPC

　　調(diào)用的開(kāi)始(nt: RPC, remote procedure call). 此RPC 請(qǐng)求pike 執(zhí)行rename(nt: 重命名) 操作, 并指定了相關(guān)的參數(shù):

　　原目錄描述符為536876964/1/1, 原文件名為 '.newsrc.new', 新目錄描述符為536876964/1/1, 新文件名為 '.newsrc'.

　　主機(jī)pike 對(duì)此rename操作的RPC請(qǐng)求作了回應(yīng)(回應(yīng)表示rename操作成功, 因?yàn)榛貞?yīng)的是包含數(shù)據(jù)內(nèi)容的包而不是異常包).

　　一般來(lái)說(shuō), 所有的'AFS RPC'請(qǐng)求被顯示時(shí), 會(huì)被冠以一個(gè)名字(nt: 即decode, 解碼), 這個(gè)名字往往就是RPC請(qǐng)求的操作名.

　　并且, 這些RPC請(qǐng)求的部分參數(shù)在顯示時(shí), 也會(huì)被冠以一個(gè)名字(nt | rt: 即decode, 解碼, 一般來(lái)說(shuō)也是取名也很直接, 比如,

　　一個(gè)interesting 參數(shù), 顯示的時(shí)候就會(huì)直接是'interesting', 含義拗口, 需再翻).

　　這種顯示格式的設(shè)計(jì)初衷為'一看就懂', 但對(duì)于不熟悉AFS 和 RX 工作原理的人可能不是很

　　有用(nt: 還是不用管, 書(shū)面嚇嚇你的, 往下看就行).

　　如果 -v(詳細(xì))標(biāo)志被重復(fù)給出(nt: 如-vv), tcpdump 會(huì)打印出確認(rèn)包(nt: 可理解為, 與應(yīng)答包有區(qū)別的包)以及附加頭部信息

　　(nt: 可理解為, 所有包, 而不僅僅是確認(rèn)包的附加頭部信息), 比如, RX call ID(請(qǐng)求包中'請(qǐng)求調(diào)用'的ID),

　　call number('請(qǐng)求調(diào)用'的編號(hào)), sequence number(nt: 包順序號(hào)),

　　serial number(nt | rt: 可理解為與包中數(shù)據(jù)相關(guān)的另一個(gè)順信號(hào), 具體含義需補(bǔ)充), 請(qǐng)求包的標(biāo)識(shí). (nt: 接下來(lái)一段為重復(fù)描述,

　　所以略去了), 此外確認(rèn)包中的MTU協(xié)商信息也會(huì)被打印出來(lái)(nt: 確認(rèn)包為相對(duì)于請(qǐng)求包的確認(rèn)包, Maximum Transmission Unit, 最大傳輸單元).

　　如果 -v 選項(xiàng)被重復(fù)了三次(nt: 如-vvv), 那么AFS應(yīng)用類型數(shù)據(jù)包的'安全索引'('security index')以及'服務(wù)索引'('service id')將會(huì)

　　被打印.

　　對(duì)于表示異常的數(shù)據(jù)包(nt: abort packet, 可理解為, 此包就是用來(lái)通知接受者某種異常已發(fā)生), tcpdump 會(huì)打印出錯(cuò)誤號(hào)(error codes).

　　但對(duì)于Ubik beacon packets(nt: Ubik 燈塔指示包, Ubik可理解為特殊的通信協(xié)議, beacon packets, 燈塔數(shù)據(jù)包, 可理解為指明通信中

　　關(guān)鍵信息的一些數(shù)據(jù)包), 錯(cuò)誤號(hào)不會(huì)被打印, 因?yàn)閷?duì)于Ubik 協(xié)議, 異常數(shù)據(jù)包不是表示錯(cuò)誤, 相反卻是表示一種肯定應(yīng)答(nt: 即, yes vote).

　　AFS 請(qǐng)求數(shù)據(jù)量大, 參數(shù)也多, 所以要求tcpdump的 snaplen 比較大, 一般可通過(guò)啟動(dòng)tcpdump時(shí)設(shè)置選項(xiàng)'-s 256' 來(lái)增大snaplen, 以

　　監(jiān)測(cè)AFS 應(yīng)用通信負(fù)載.

　　AFS 回應(yīng)包并不顯示標(biāo)識(shí)RPC 屬于何種遠(yuǎn)程調(diào)用. 從而, tcpdump 會(huì)跟蹤最近一段時(shí)間內(nèi)的請(qǐng)求包, 并通過(guò)call number(調(diào)用編號(hào)), service ID

　　(服務(wù)索引) 來(lái)匹配收到的回應(yīng)包. 如果回應(yīng)包不是針對(duì)最近一段時(shí)間內(nèi)的請(qǐng)求包, tcpdump將無(wú)法解析該包.

　　KIP AppleTalk協(xié)議

　　(nt | rt: DDP in UDP可理解為, DDP, The AppleTalk Data Delivery Protocol,

　　相當(dāng)于支持KIP AppleTalk協(xié)議棧的網(wǎng)絡(luò)層協(xié)議, 而DDP 本身又是通過(guò)UDP來(lái)傳輸?shù)?

　　即在UDP 上實(shí)現(xiàn)的用于其他網(wǎng)絡(luò)的網(wǎng)絡(luò)層，KIP AppleTalk是蘋(píng)果公司開(kāi)發(fā)的整套網(wǎng)絡(luò)協(xié)議棧).

　　AppleTalk DDP 數(shù)據(jù)包被封裝在UDP數(shù)據(jù)包中, 其解封裝(nt: 相當(dāng)于解碼)和相應(yīng)信息的轉(zhuǎn)儲(chǔ)也遵循DDP 包規(guī)則.

　　(nt:encapsulate, 封裝, 相當(dāng)于編碼, de-encapsulate, 解封裝, 相當(dāng)于解碼, dump, 轉(zhuǎn)儲(chǔ), 通常就是指對(duì)其信息進(jìn)行打印).

　　/etc/atalk.names 文件中包含了AppleTalk 網(wǎng)絡(luò)和節(jié)點(diǎn)的數(shù)字標(biāo)識(shí)到名稱的對(duì)應(yīng)關(guān)系. 其文件格式通常如下所示:

　　number name

　　1.254 ether

　　16.1 icsd-net

　　1.254.110 ace

　　頭兩行表示有兩個(gè)AppleTalk 網(wǎng)絡(luò). 第三行給出了特定網(wǎng)絡(luò)上的主機(jī)(一個(gè)主機(jī)會(huì)用3個(gè)字節(jié)來(lái)標(biāo)識(shí),

　　而一個(gè)網(wǎng)絡(luò)的標(biāo)識(shí)通常只有兩個(gè)字節(jié), 這也是兩者標(biāo)識(shí)的主要區(qū)別)(nt: 1.254.110 可理解為ether網(wǎng)絡(luò)上的ace主機(jī)).

　　標(biāo)識(shí)與其對(duì)應(yīng)的名字之間必須要用空白分開(kāi). 除了以上內(nèi)容, /etc/atalk.names中還包含空行以及注釋行(以'#'開(kāi)始的行).

　　AppleTalk 完整網(wǎng)絡(luò)地址將以如下格式顯示:

　　net.host.port

　　以下為一段具體顯示:

　　144.1.209.2 > icsd-net.112.220

　　office.2 > icsd-net.112.220

　　jssmag.149.235 > icsd-net.2

　　(如果/etc/atalk.names 文件不存在, 或者沒(méi)有相應(yīng)AppleTalk 主機(jī)/網(wǎng)絡(luò)的條目, 數(shù)據(jù)包的網(wǎng)絡(luò)地址將以數(shù)字形式顯示).

　　在第一行中, 網(wǎng)絡(luò)144.1上的節(jié)點(diǎn)209通過(guò)2端口,向網(wǎng)絡(luò)icsd-net上監(jiān)聽(tīng)在220端口的112節(jié)點(diǎn)發(fā)送了一個(gè)NBP應(yīng)用數(shù)據(jù)包

　　(nt | rt: NBP, name binding protocol, 名稱綁定協(xié)議, 從數(shù)據(jù)來(lái)看, NBP服務(wù)器會(huì)在端口2提供此服務(wù).

　　'DDP port 2' 可理解為'DDP 對(duì)應(yīng)傳輸層的端口2', DDP本身沒(méi)有端口的概念, 這點(diǎn)未確定, 需補(bǔ)充).

　　第二行與第一行類似, 只是源的全部地址可用'office'進(jìn)行標(biāo)識(shí).

　　第三行表示: jssmag網(wǎng)絡(luò)上的149節(jié)點(diǎn)通過(guò)235向icsd-net網(wǎng)絡(luò)上的所有節(jié)點(diǎn)的2端口(NBP端口)發(fā)送了數(shù)據(jù)包.(需要注意的是,

　　在AppleTalk 網(wǎng)絡(luò)中如果地址中沒(méi)有節(jié)點(diǎn), 則表示廣播地址, 從而節(jié)點(diǎn)標(biāo)識(shí)和網(wǎng)絡(luò)標(biāo)識(shí)最好在/etc/atalk.names有所區(qū)別.

　　nt: 否則一個(gè)標(biāo)識(shí)x.port 無(wú)法確定x是指一個(gè)網(wǎng)絡(luò)上所有主機(jī)的port口還是指定主機(jī)x的port口).

　　tcpdump 可解析NBP (名稱綁定協(xié)議) and ATP (AppleTalk傳輸協(xié)議)數(shù)據(jù)包, 對(duì)于其他應(yīng)用層的協(xié)議, 只會(huì)打印出相應(yīng)協(xié)議名字(

　　如果此協(xié)議沒(méi)有注冊(cè)一個(gè)通用名字, 只會(huì)打印其協(xié)議號(hào))以及數(shù)據(jù)包的大小.

　　NBP 數(shù)據(jù)包會(huì)按照如下格式顯示:

　　icsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@_

　　jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@_ 250

　　techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@_ 186

　　第一行表示: 網(wǎng)絡(luò)icsd-net 中的節(jié)點(diǎn)112 通過(guò)220端口向網(wǎng)絡(luò)jssmag 中所有節(jié)點(diǎn)的端口2發(fā)送了對(duì)'LaserWriter'的名稱查詢請(qǐng)求(nt:

　　此處名稱可理解為一個(gè)資源的名稱, 比如打印機(jī)). 此查詢請(qǐng)求的序列號(hào)為190.

　　第二行表示: 網(wǎng)絡(luò)jssmag 中的節(jié)點(diǎn)209 通過(guò)2端口向icsd-net.112節(jié)點(diǎn)的端口220進(jìn)行了回應(yīng): 我有'LaserWriter'資源, 其資源名稱

　　為'RM1140', 并且在端口250上提供改資源的服務(wù). 此回應(yīng)的序列號(hào)為190, 對(duì)應(yīng)之前查詢的序列號(hào).

　　第三行也是對(duì)第一行請(qǐng)求的回應(yīng): 節(jié)點(diǎn)techpit 通過(guò)2端口向icsd-net.112節(jié)點(diǎn)的端口220進(jìn)行了回應(yīng):我有'LaserWriter'資源, 其資源名稱

　　為'techpit', 并且在端口186上提供改資源的服務(wù). 此回應(yīng)的序列號(hào)為190, 對(duì)應(yīng)之前查詢的序列號(hào).

　　ATP 數(shù)據(jù)包的顯示格式如下:

　　jssmag.209.165 > helios.132: atp-req 12266<0-7> 0xae030001

　　helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp_2266:7 (512) 0xae040000

　　jssmag.209.165 > helios.132: atp-req 12266<3,5> 0xae030001

　　helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000

　　helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000

　　jssmag.209.165 > helios.132: atp-rel 12266<0-7> 0xae030001

　　jssmag.209.133 > helios.132: atp-req_12267<0-7> 0xae030002

　　第一行表示節(jié)點(diǎn) Jssmag.209 向節(jié)點(diǎn)helios 發(fā)送了一個(gè)會(huì)話編號(hào)為12266的請(qǐng)求包, 請(qǐng)求helios

　　回應(yīng)8個(gè)數(shù)據(jù)包(這8個(gè)數(shù)據(jù)包的順序號(hào)為0-7(nt: 順序號(hào)與會(huì)話編號(hào)不同, 后者為一次完整傳輸?shù)木幪?hào),

　　前者為該傳輸中每個(gè)數(shù)據(jù)包的編號(hào). transaction, 會(huì)話, 通常也被叫做傳輸)). 行尾的16進(jìn)制數(shù)字表示

　　該請(qǐng)求包中'userdata'域的值(nt: 從下文來(lái)看, 這并沒(méi)有把所有用戶數(shù)據(jù)都打印出來(lái) ).