tcpdump命令的使用方法(7)
tcpdump命令的使用方法
Helios 回應(yīng)了8個512字節(jié)的數(shù)據(jù)包. 跟在會話編號(nt: 12266)后的數(shù)字表示該數(shù)據(jù)包在該會話中的順序號.
括號中的數(shù)字表示該數(shù)據(jù)包中數(shù)據(jù)的大小, 這不包括atp 的頭部. 在順序號為7數(shù)據(jù)包(第8行)外帶了一個'_號,
表示該數(shù)據(jù)包的EOM 標志被設(shè)置了.(nt: EOM, End Of Media, 可理解為, 表示一次會話的數(shù)據(jù)回應(yīng)完畢).
接下來的第9行表示, Jssmag.209 又向helios 提出了請求: 順序號為3以及5的數(shù)據(jù)包請重新傳送. Helios 收到這個
請求后重新發(fā)送了這個兩個數(shù)據(jù)包, jssmag.209 再次收到這兩個數(shù)據(jù)包之后, 主動結(jié)束(release)了此會話.
在最后一行, jssmag.209 向helios 發(fā)送了開始下一次會話的請求包. 請求包中的'_表示該包的XO 標志沒有被設(shè)置.
(nt: XO, exactly once, 可理解為在該會話中, 數(shù)據(jù)包在接受方只被精確地處理一次, 就算對方重復(fù)傳送了該數(shù)據(jù)包,
接收方也只會處理一次, 這需要用到特別設(shè)計的數(shù)據(jù)包接收和處理機制).
IP 數(shù)據(jù)包破碎
(nt: 指把一個IP數(shù)據(jù)包分成多個IP數(shù)據(jù)包)
碎片IP數(shù)據(jù)包(nt: 即一個大的IP數(shù)據(jù)包破碎后生成的小IP數(shù)據(jù)包)有如下兩種顯示格式.
(frag id:size@offset+)
(frag id:size@offset)
(第一種格式表示, 此碎片之后還有后續(xù)碎片. 第二種格式表示, 此碎片為最后一個碎片.)
id 表示破碎編號(nt: 從下文來看, 會為每個要破碎的大IP包分配一個破碎編號, 以便區(qū)分每個小碎片是否由同一數(shù)據(jù)包破碎而來).
size 表示此碎片的大小 , 不包含碎片頭部數(shù)據(jù). offset表示此碎片所含數(shù)據(jù)在原始整個IP包中的偏移((nt: 從下文來看,
一個IP數(shù)據(jù)包是作為一個整體被破碎的, 包括頭和數(shù)據(jù), 而不只是數(shù)據(jù)被分割).
每個碎片都會使tcpdump產(chǎn)生相應(yīng)的輸出打印. 第一個碎片包含了高層協(xié)議的頭數(shù)據(jù)(nt:從下文來看, 被破碎IP數(shù)據(jù)包中相應(yīng)tcp頭以及
IP頭都放在了第一個碎片中 ), 從而tcpdump會針對第一個碎片顯示這些信息, 并接著顯示此碎片本身的信息. 其后的一些碎片并不包含
高層協(xié)議頭信息, 從而只會在顯示源和目的之后顯示碎片本身的信息. 以下有一個例子: 這是一個從arizona.edu 到lbl-rtsg.arpa
途經(jīng)CSNET網(wǎng)絡(luò)(nt: CSNET connection 可理解為建立在CSNET 網(wǎng)絡(luò)上的連接)的ftp應(yīng)用通信片段:
arizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
arizona > rtsg: (frag 595a:204@328)
rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560
有幾點值得注意:
第一, 第二行的打印中, 地址后面沒有端口號.
這是因為TCP協(xié)議信息都放到了第一個碎片中, 當顯示第二個碎片時, 我們無法知道此碎片所對應(yīng)TCP包的順序號.
第二, 從第一行的信息中, 可以發(fā)現(xiàn)arizona需要向rtsg發(fā)送308字節(jié)的用戶數(shù)據(jù), 而事實是, 相應(yīng)IP包經(jīng)破碎后會總共產(chǎn)生512字節(jié)
數(shù)據(jù)(第一個碎片包含308字節(jié)的數(shù)據(jù), 第二個碎片包含204個字節(jié)的數(shù)據(jù), 這超過了308字節(jié)). 如果你在查找數(shù)據(jù)包的順序號空間中的
一些空洞(nt: hole,空洞, 指數(shù)據(jù)包之間的順序號沒有上下銜接上), 512這個數(shù)據(jù)就足夠使你迷茫一陣(nt: 其實只要關(guān)注308就行,
不必關(guān)注破碎后的數(shù)據(jù)總量).
一個數(shù)據(jù)包(nt | rt: 指IP數(shù)據(jù)包)如果帶有非IP破碎標志, 則顯示時會在最后顯示'(DF)'.(nt: 意味著此IP包沒有被破碎過).
時間戳
tcpdump的所有輸出打印行中都會默認包含時間戳信息.
時間戳信息的顯示格式如下
hh:mm:ss.frac (nt: 小時:分鐘:秒.(nt: frac未知, 需補充))
此時間戳的精度與內(nèi)核時間精度一致, 反映的是內(nèi)核第一次看到對應(yīng)數(shù)據(jù)包的時間(nt: saw, 即可對該數(shù)據(jù)包進行操作).
而數(shù)據(jù)包從物理線路傳遞到內(nèi)核的時間, 以及內(nèi)核花費在此包上的中斷處理時間都沒有算進來.
為了表示方便, 同樣的修飾符可以被省略, 如'tcp dst port ftp or ftp-data or domain' 與以下的表達式含義相同'tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.(nt: 其過濾條件可理解為,包的協(xié)議為tcp, 目的端口為ftp 或 ftp-data 或 domain(端口53) ).
借助括號以及相應(yīng)操作符,可把表達元組合在一起使用(由于括號是shell的特殊字符, 所以在shell腳本或終端中使用時必須對括號進行轉(zhuǎn)義, 即'(' 與')'需要分別表達成'\(' 與 '\)').