tcpdump命令的使用方法(10)
tcpdump命令的使用方法
subrulenum num
與 srnr 含義一致.
action act
如果包被記錄時(shí)PF會(huì)執(zhí)行act指定的動(dòng)作, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 有效的動(dòng)作有: pass, block.
(此選項(xiàng)只適用于被OpenBSD中pf程序做過(guò)標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序))
ip, ip6, arp, rarp, atalk, aarp, decnet, iso, stp, ipx, netbeui
與以下表達(dá)元含義一致:
ether proto p
p是以上協(xié)議中的一個(gè).
lat, moprc, mopdl
與以下表達(dá)元含義一致:
ether proto p
p是以上協(xié)議中的一個(gè). 必須要注意的是tcpdump目前還不能分析這些協(xié)議.
vlan [vlan_id]
如果數(shù)據(jù)包為IEEE802.1Q VLAN 數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: IEEE802.1Q VLAN, 即IEEE802.1Q 虛擬網(wǎng)絡(luò)協(xié)議, 此協(xié)議用于不同網(wǎng)絡(luò)的之間的互聯(lián)).
如果[vlan_id] 被指定, 則只有數(shù)據(jù)包含有指定的虛擬網(wǎng)絡(luò)id(vlan_id), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
要注意的是, 對(duì)于VLAN數(shù)據(jù)包, 在表達(dá)式中遇到的第一個(gè)vlan關(guān)鍵字會(huì)改變表達(dá)式中接下來(lái)關(guān)鍵字所對(duì)應(yīng)數(shù)據(jù)包中數(shù)據(jù)的
開始位置(即解碼偏移). 在VLAN網(wǎng)絡(luò)體系中過(guò)濾數(shù)據(jù)包時(shí), vlan [vlan_id]表達(dá)式可以被多次使用. 關(guān)鍵字vlan每出現(xiàn)一次都會(huì)增加
4字節(jié)過(guò)濾偏移(nt: 過(guò)濾偏移, 可理解為上面的解碼偏移).
例如:
vlan 100 && vlan 200
表示: 過(guò)濾封裝在VLAN100中的VLAN200網(wǎng)絡(luò)上的數(shù)據(jù)包
再例如:
vlan && vlan 300 && ip
表示: 過(guò)濾封裝在VLAN300 網(wǎng)絡(luò)中的IPv4數(shù)據(jù)包, 而VLAN300網(wǎng)絡(luò)又被更外層的VLAN封裝
mpls [label_num]
如果數(shù)據(jù)包為MPLS數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: MPLS, Multi-Protocol Label Switch, 多協(xié)議標(biāo)簽交換, 一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)傳輸?shù)募夹g(shù)).
如果[label_num] 被指定, 則只有數(shù)據(jù)包含有指定的標(biāo)簽id(label_num), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
要注意的是, 對(duì)于內(nèi)含MPLS信息的IP數(shù)據(jù)包(即MPLS數(shù)據(jù)包), 在表達(dá)式中遇到的第一個(gè)MPLS關(guān)鍵字會(huì)改變表達(dá)式中接下來(lái)關(guān)鍵字所對(duì)應(yīng)數(shù)據(jù)包中數(shù)據(jù)的
開始位置(即解碼偏移). 在MPLS網(wǎng)絡(luò)體系中過(guò)濾數(shù)據(jù)包時(shí), mpls [label_num]表達(dá)式可以被多次使用. 關(guān)鍵字mpls每出現(xiàn)一次都會(huì)增加
4字節(jié)過(guò)濾偏移(nt: 過(guò)濾偏移, 可理解為上面的解碼偏移).
例如:
mpls 100000 && mpls 1024
表示: 過(guò)濾外層標(biāo)簽為100000 而層標(biāo)簽為1024的數(shù)據(jù)包
再如:
mpls && mpls 1024 && host 192.9.200.1
表示: 過(guò)濾發(fā)往或來(lái)自192.9.200.1的數(shù)據(jù)包, 該數(shù)據(jù)包的內(nèi)層標(biāo)簽為1024, 且擁有一個(gè)外層標(biāo)簽.
pppoed
如果數(shù)據(jù)包為PPP-over-Ethernet的服務(wù)器探尋數(shù)據(jù)包(nt: Discovery packet,
其ethernet type 為0x8863),則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: PPP-over-Ethernet, 點(diǎn)對(duì)點(diǎn)以太網(wǎng)承載協(xié)議, 其點(diǎn)對(duì)點(diǎn)的連接建立分為Discovery階段(地址發(fā)現(xiàn)) 和
PPPoE 會(huì)話建立階段 , discovery 數(shù)據(jù)包就是第一階段發(fā)出來(lái)的包. ethernet type
是以太幀里的一個(gè)字段,用來(lái)指明應(yīng)用于幀數(shù)據(jù)字段的協(xié)議)
pppoes
如果數(shù)據(jù)包為PPP-over-Ethernet會(huì)話數(shù)據(jù)包(nt: ethernet type 為0x8864, PPP-over-Ethernet在上文已有說(shuō)明, 可搜索
關(guān)鍵字'PPP-over-Ethernet'找到其描述), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
要注意的是, 對(duì)于PPP-over-Ethernet會(huì)話數(shù)據(jù)包, 在表達(dá)式中遇到的第一個(gè)pppoes關(guān)鍵字會(huì)改變表達(dá)式中接下來(lái)關(guān)鍵字所對(duì)應(yīng)數(shù)據(jù)包中數(shù)據(jù)的
開始位置(即解碼偏移).
例如:
pppoes && ip
表示: 過(guò)濾嵌入在PPPoE數(shù)據(jù)包中的ipv4數(shù)據(jù)包
tcp, udp, icmp
與以下表達(dá)元含義一致:
ip proto p or ip6 proto p
其中p 是以上協(xié)議之一(含義分別為: 如果數(shù)據(jù)包為ipv4或ipv6數(shù)據(jù)包并且其協(xié)議類型為 tcp,udp, 或icmp則與此對(duì)
應(yīng)的條件表達(dá)式為真)
iso proto protocol
如果數(shù)據(jù)包的協(xié)議類型為iso-osi協(xié)議棧中protocol協(xié)議, 則與此對(duì)應(yīng)的條件表達(dá)式為真.(nt: [初解]iso-osi 網(wǎng)絡(luò)模型中每
層的具體協(xié)議與tcp/ip相應(yīng)層采用的協(xié)議不同. iso-osi各層中的具體協(xié)議另需補(bǔ)充 )
protocol 可以是一個(gè)數(shù)字編號(hào), 或以下名字中之一:
clnp, esis, or isis.
(nt: clnp, Connectionless Network Protocol, 這是OSI網(wǎng)絡(luò)模型中網(wǎng)絡(luò)層協(xié)議 , esis, isis 未知, 需補(bǔ)充)
clnp, esis, isis
是以下表達(dá)的縮寫
iso proto p
其中p 是以上協(xié)議之一
l1, l2, iih, lsp, snp, csnp, psnp
為IS-IS PDU 類型 的縮寫.
(nt: IS-IS PDU, Intermediate system to intermediate system Protocol Data Unit, 中間系統(tǒng)到
中間系統(tǒng)的協(xié)議數(shù)據(jù)單元. OSI(Open Systems Interconnection)網(wǎng)絡(luò)由終端系統(tǒng), 中間系統(tǒng)構(gòu)成.
終端系統(tǒng)指路由器, 而終端系統(tǒng)指用戶設(shè)備. 路由器形成的本地組稱之為'區(qū)域'(Area)和多個(gè)區(qū)域組成一個(gè)'域'(Domain).
IS-IS 提供域內(nèi)或區(qū)域內(nèi)的路由. l1, l2, iih, lsp, snp, csnp, psnp 表示PDU的類型, 具體含義另需補(bǔ)充)
vpi n
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 ,
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 并且其虛擬路徑標(biāo)識(shí)為n, 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: ATM, Asychronous Transfer Mode, 實(shí)際上可理解為由ITU-T(國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門)提出的一個(gè)與
TCP/IP中IP層功能等同的一系列協(xié)議, 具體協(xié)議層次另需補(bǔ)充)
vci n
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 ,
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 并且其虛擬通道標(biāo)識(shí)為n, 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: ATM, 在上文已有描述)
lane
如果數(shù)據(jù)包為ATM LANE 數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 要注意的是, 如果是模擬以太網(wǎng)的LANE數(shù)據(jù)包或者
LANE邏輯單元控制包, 表達(dá)式中第一個(gè)lane關(guān)鍵字會(huì)改變表達(dá)式中隨后條件的測(cè)試. 如果沒有
指定lane關(guān)鍵字, 條件測(cè)試將按照數(shù)據(jù)包中內(nèi)含LLC(邏輯鏈路層)的ATM包來(lái)進(jìn)行.
llc
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 ,
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 并且內(nèi)含LLC則與此對(duì)應(yīng)的條件表達(dá)式為真
oamf4s
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是Segment OAM F4 信元(VPI=0 并且 VCI=3), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: OAM, Operation Administration and Maintenance, 操作管理和維護(hù),可理解為:ATM網(wǎng)絡(luò)中用于網(wǎng)絡(luò)
管理所產(chǎn)生的ATM信元的分類方式.
ATM網(wǎng)絡(luò)中傳輸單位為信元, 要傳輸?shù)臄?shù)據(jù)終究會(huì)被分割成固定長(zhǎng)度(53字節(jié))的信元,
(初理解: 一條物理線路可被復(fù)用, 形成虛擬路徑(virtual path). 而一條虛擬路徑再次被復(fù)用, 形成虛擬信道(virtual channel)).
通信雙方的編址方式為:虛擬路徑編號(hào)(VPI)/虛擬信道編號(hào)(VCI)).
OAM F4 flow 信元又可分為segment 類和end-to-end 類, 其區(qū)別未知, 需補(bǔ)充.)
oamf4e
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對(duì)應(yīng)的條件表達(dá)式為真. 對(duì)于Solaris 操作系統(tǒng)上的SunATM設(shè)備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是 end-to-end OAM F4 信元(VPI=0 并且 VCI=4), 則與此對(duì)應(yīng)的條件表達(dá)式為真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來(lái)定位)