快捷搜索:   服务器  安全  linux 安全  MYSQL  dedecms
笨牛网>服务器>Linux> > TCPDUMP中文手册(2) >

TCPDUMP中文手册(2)

发布者: 匿名 围观 点赞:0

  它 只匹配 源端口 是 port 的 TCP 报文.
  less length
  如果 报文 的 长度 小于等于 length, 则 逻辑 为 真. 它等同于:
  len = length.
  
  ip proto protocol
  如果 报文 是 IP 数据报(参见 ip(4P)), 其 内容 的 协议类型 是 protocol, 则 逻辑 为 真. Protocol 可以是 数字, 也可以是 下列 名称 中的 一个: icmp, igrp, udp, nd, 或 tcp. 注意 这些 标识符 tcp, udp, 和 icmp 也同样是 关键字, 所以 必须 用 反斜杠(\) 转义, 在 C-shell 中 应该是 \\ .
  ether broadcast
  如果 报文 是 以太广播报文, 则 逻辑 为 真. 关键字 ether 是 可选的.
  ip broadcast
  如果 报文 是 IP广播报文, 则 逻辑 为 真. Tcpdump 检查 全0 和 全1 广播约定, 并且 检查 本地 的 子网掩码.
  ether multicast
  如果 报文 是 以太多目传送报文(multicast), 则 逻辑 为 真. 关键字 ether 是 可选的. 这实际上 是 `ether[0] & 1 != 0' 的简写.
  ip multicast
  如果 报文 是 IP多目传送报文, 则 逻辑 为 真.
  ether proto protocol
  如果 报文协议 属于 以太类型 的 protocol, 则 逻辑 为 真. Protocol 可以是 数字, 也可以是 名字, 如 ip, arp, 或 rarp. 注意 这些 标识符 也是 关键字, 所以 必须 用 反斜杠(\) 转义. [如果是 FDDI (例如, `fddi protocol arp'), 协议 标识 来自 802.2 逻辑链路控制(LLC)报头, 它 通常 位于 FDDI 报头 的 顶层. 当 根据 协议标识过滤 报文 时, Tcpdump 假设 所有的 FDDI 报文 含有 LLC 报头, 而且 LLC 报头 用的是 SNAP 格式.]
  
  decnet src host
  如果 DECNET 的 源地址 是 host, 则 逻辑 为 真, 该 主机地址 的 形式 可能 是 ``10.123'', 或者是 DECNET 主机名. [只有 配置成 运行 DECNET 的 Ultrix 系统 支持 DECNET 主机名.]
  decnet dst host
  如果 DECNET 的 目的地址 是 host, 则 逻辑 为 真.
  decnet host host
  如果 DECNET 的 源地址 或 目的地址 是 host, 则 逻辑 为 真.
  ip, arp, rarp, decnet
  是:
  ether proto p
  
  的 简写 形式, 其中 p 为 上述 协议 的 一种.
  lat, moprc, mopdl
  是:
  ether proto p
  
  的 简写 形式, 其中 p 为 上述 协议 的 一种. 注意 tcpdump 目前 不知道 如何 分析 这些 协议.
  tcp, udp, icmp
  是:
  ip proto p
  
  的 简写 形式, 其中 p 为 上述 协议 的 一种.
  expr relop expr
  如果 这个 关系 成立, 则 逻辑 为 真, 其中 relop 是 >, =, 576'
  
  显示 IP 广播 或 多目传送 的 数据报, 这些 报文 不是 通过 以太网 的 广播 或 多目传送 形式 传送的:
  
  tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
  
  显示 所有 不是 回响请求/应答 的 ICMP 报文 (也就是说, 不是 ping 报文):
  
  tcpdump 'icmp[0] != 8 and icmp[0] != 0"
  
  输出格式 (OUTPUT FORMAT)
  tcpdump 的 输出格式 取决于 协议. 下面的 描述 给出 大多数 格式 的简要说明 和 范例.
  
  链路层报头 (Link Level Headers)
  
  如果 给出 '-e' 选项 就 显示 链路层报头. 在 以太网上, 显示 报文的 源目地址, 协议 和 报文长度.
  
  在 FDDI 网络上, '-e' 选项 导致 tcpdump 显示出 `帧控制(frame control)' 域, 源目地址 和 报文长度. (`帧控制' 域 负责 解释 其余的 报文. 普通报文 (比如说 载有 IP数据报) 是 `异步' 报文, 优先级 介于 0 到 7; 例如, `async4'. 这些 被认为 载有 802.2 逻辑链路控制(LLC) 报文; 如果 它们 不是 ISO 数据报 或者 所谓的 SNAP 报文, 就显示出 LLC 报头.
  
  (注意: 以下 描述中 假设 你 熟悉 RFC-1144 中说明的 SLIP 压缩算法.)
  
顶(0)
踩(0)
搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论