tcpdump命令的使用方法

　　Helios 回應(yīng)了8個512字節(jié)的數(shù)據(jù)包. 跟在會話編號(nt: 12266)后的數(shù)字表示該數(shù)據(jù)包在該會話中的順序號.

　　括號中的數(shù)字表示該數(shù)據(jù)包中數(shù)據(jù)的大小, 這不包括atp 的頭部. 在順序號為7數(shù)據(jù)包(第8行)外帶了一個'_號,

　　表示該數(shù)據(jù)包的EOM 標(biāo)志被設(shè)置了.(nt: EOM, End Of Media, 可理解為, 表示一次會話的數(shù)據(jù)回應(yīng)完畢).

　　接下來的第9行表示, Jssmag.209 又向helios 提出了請求: 順序號為3以及5的數(shù)據(jù)包請重新傳送. Helios 收到這個

　　請求后重新發(fā)送了這個兩個數(shù)據(jù)包, jssmag.209 再次收到這兩個數(shù)據(jù)包之后, 主動結(jié)束(release)了此會話.

　　在最后一行, jssmag.209 向helios 發(fā)送了開始下一次會話的請求包. 請求包中的'_表示該包的XO 標(biāo)志沒有被設(shè)置.

　　(nt: XO, exactly once, 可理解為在該會話中, 數(shù)據(jù)包在接受方只被精確地處理一次, 就算對方重復(fù)傳送了該數(shù)據(jù)包,

　　接收方也只會處理一次, 這需要用到特別設(shè)計的數(shù)據(jù)包接收和處理機(jī)制).

　　IP 數(shù)據(jù)包破碎

　　(nt: 指把一個IP數(shù)據(jù)包分成多個IP數(shù)據(jù)包)

　　碎片IP數(shù)據(jù)包(nt: 即一個大的IP數(shù)據(jù)包破碎后生成的小IP數(shù)據(jù)包)有如下兩種顯示格式.

　　(frag id:size@offset+)

　　(frag id:size@offset)

　　(第一種格式表示, 此碎片之后還有后續(xù)碎片. 第二種格式表示, 此碎片為最后一個碎片.)

　　id 表示破碎編號(nt: 從下文來看, 會為每個要破碎的大IP包分配一個破碎編號, 以便區(qū)分每個小碎片是否由同一數(shù)據(jù)包破碎而來).

　　size 表示此碎片的大小 , 不包含碎片頭部數(shù)據(jù). offset表示此碎片所含數(shù)據(jù)在原始整個IP包中的偏移((nt: 從下文來看,

　　一個IP數(shù)據(jù)包是作為一個整體被破碎的, 包括頭和數(shù)據(jù), 而不只是數(shù)據(jù)被分割).

　　每個碎片都會使tcpdump產(chǎn)生相應(yīng)的輸出打印. 第一個碎片包含了高層協(xié)議的頭數(shù)據(jù)(nt:從下文來看, 被破碎IP數(shù)據(jù)包中相應(yīng)tcp頭以及

　　IP頭都放在了第一個碎片中 ), 從而tcpdump會針對第一個碎片顯示這些信息, 并接著顯示此碎片本身的信息. 其后的一些碎片并不包含

　　高層協(xié)議頭信息, 從而只會在顯示源和目的之后顯示碎片本身的信息. 以下有一個例子: 這是一個從arizona.edu 到lbl-rtsg.arpa

　　途經(jīng)CSNET網(wǎng)絡(luò)(nt: CSNET connection 可理解為建立在CSNET 網(wǎng)絡(luò)上的連接)的ftp應(yīng)用通信片段:

　　arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)

　　arizona > rtsg: (frag 595a:204@328)

　　rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560

　　有幾點(diǎn)值得注意:

　　第一, 第二行的打印中, 地址后面沒有端口號.

　　這是因?yàn)門CP協(xié)議信息都放到了第一個碎片中, 當(dāng)顯示第二個碎片時, 我們無法知道此碎片所對應(yīng)TCP包的順序號.

　　第二, 從第一行的信息中, 可以發(fā)現(xiàn)arizona需要向rtsg發(fā)送308字節(jié)的用戶數(shù)據(jù), 而事實(shí)是, 相應(yīng)IP包經(jīng)破碎后會總共產(chǎn)生512字節(jié)

　　數(shù)據(jù)(第一個碎片包含308字節(jié)的數(shù)據(jù), 第二個碎片包含204個字節(jié)的數(shù)據(jù), 這超過了308字節(jié)). 如果你在查找數(shù)據(jù)包的順序號空間中的

　　一些空洞(nt: hole,空洞, 指數(shù)據(jù)包之間的順序號沒有上下銜接上), 512這個數(shù)據(jù)就足夠使你迷茫一陣(nt: 其實(shí)只要關(guān)注308就行,

　　不必關(guān)注破碎后的數(shù)據(jù)總量).

　　一個數(shù)據(jù)包(nt | rt: 指IP數(shù)據(jù)包)如果帶有非IP破碎標(biāo)志, 則顯示時會在最后顯示'(DF)'.(nt: 意味著此IP包沒有被破碎過).

　　時間戳

　　tcpdump的所有輸出打印行中都會默認(rèn)包含時間戳信息.

　　時間戳信息的顯示格式如下

　　hh:mm:ss.frac　(nt: 小時:分鐘:秒.(nt: frac未知, 需補(bǔ)充))

　　此時間戳的精度與內(nèi)核時間精度一致,　反映的是內(nèi)核第一次看到對應(yīng)數(shù)據(jù)包的時間(nt: saw, 即可對該數(shù)據(jù)包進(jìn)行操作).

　　而數(shù)據(jù)包從物理線路傳遞到內(nèi)核的時間, 以及內(nèi)核花費(fèi)在此包上的中斷處理時間都沒有算進(jìn)來.

　　為了表示方便, 同樣的修飾符可以被省略, 如'tcp dst port ftp or ftp-data or domain' 與以下的表達(dá)式含義相同'tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.(nt: 其過濾條件可理解為,包的協(xié)議為tcp, 目的端口為ftp 或 ftp-data 或 domain(端口53) ).

　　借助括號以及相應(yīng)操作符,可把表達(dá)元組合在一起使用(由于括號是shell的特殊字符, 所以在shell腳本或終端中使用時必須對括號進(jìn)行轉(zhuǎn)義, 即'(' 與')'需要分別表達(dá)成'\(' 與 '\)').