Tcpdump - لینکس کمانڈر - یونیکس کمانڈ

NAME

tcpdump - نیٹ ورک پر ڈمپ ٹریفک

SYNOPSIS

tcpdump [ -freePnNOpqRStuvxX ] [ -c شمار ]

[ -C file_size ] [ -F فائل ]

[ انٹرفیس ] [ -م ماڈیول ] [ آر فائل ]

[ -s snaplen ] [ -T قسم ] [ -U صارف ] [ -W فائل ]

[- ای الگو: خفیہ ] [ اظہار ]

تفصیل

Tcpdump ایک نیٹ ورک انٹرفیس پر پیک پیکٹ کے ہیڈر کو پرنٹ کرتا ہے جو بولیان اظہار سے ملتا ہے . یہ بھی پرچم کے ساتھ چل سکتا ہے، جس کے نتیجے میں تجزیے کے لئے ایک فائل میں بعد میں تجزیہ کے لئے، اور / یا -R پرچم کے ساتھ، جس میں پیکٹوں کو پڑھنے کے بجائے محفوظ کردہ پیکٹ فائل سے پڑھنا پڑتا ہے. نیٹ ورک انٹرفیس سے. تمام معاملات میں، صرف tcpdump کی طرف سے عمل کے ساتھ اظہار کیا جائے گا پیکٹ کے پیکٹ.

Tcpdump اگر، Cc پرچم کے ساتھ نہیں چلائے گا تو، پیکٹوں پر قبضہ تک جاری رکھیں جب تک کہ یہ سگنل سگنل (مثال کے طور پر، مثال کے طور پر، آپ کے مداخلت کے کردار ٹائپ کرکے، عام طور پر کنٹرول-C) یا ایک SIGTERM سگنل (عام طور پر قتل کے ساتھ پیدا کی طرف سے رکاوٹ ہے) (1) کمانڈ)؛ اگر سی- پرچم کے ساتھ چلائیں تو، یہ پیکٹوں پر قبضہ کر لیں گے جب تک کہ یہ سگنل یا سگنل سگنل کے ذریعے مداخلت نہیں کی جائے یا پیکٹوں کی مخصوص تعداد پر عملدرآمد ہوسکتا ہے.

جب tcpdump پیکٹوں پر قبضہ ختم ہو جاتا ہے، تو اس کی تعداد میں رپورٹ کریں گے:

فلٹر `` فلٹر کی طرف سے موصول '' (اس کا مطلب OS پر منحصر ہے جس پر آپ tcpdump چل رہا ہے، اور ممکنہ طور پر OS ترتیب دیا گیا راستے پر - اگر ایک فلٹر کمانڈ لائن پر مقرر کیا گیا ہے، کچھ اوز پر یہ شمار کرتا ہے قطعے سے قطع نظر یہ ہے کہ فلٹر اظہار کی طرف سے مل کر کیا ملایا گیا ہے، اور دیگر OSES پر یہ صرف پیکٹوں کا تعین کرتا ہے جو فلٹر اظہار کی طرف سے ملایا گیا تھا اور tcpdump کی طرف سے عملدرآمد کیا گیا تھا)؛

اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال کی اطلاع دیتے ہوئے ایرر آ گیا ہے. براہ مہربانی دوبارہ کوشش کریں. اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. اگر نہیں، تو اسے 0 کے طور پر رپورٹ کیا جائے گا).

پلیٹ فارمز جو SIGINFO اشارے کی حمایت کرتے ہیں، اس سے زیادہ بی ایس ڈیز کی حمایت کرتے ہیں، جب وہ SIGINFO سگنل وصول کرتا ہے (مثال کے طور پر، آپ کے `` حیثیت '' کے کردار کو ٹائپ کرکے، عام طور پر کنٹرول-T ٹائپ کرکے) اور پیکٹوں پر قبضہ جاری رکھیں گے. .

کسی نیٹ ورک کے انٹرفیس سے پڑھنا پیکٹوں کو ضرورت ہوسکتی ہے کہ آپ کے پاس خصوصی استحکام ہیں:

این این آئی یا بی پی ایف کے ساتھ سورس 3.x یا 4.x کے تحت:

آپ کو / dev / nit یا / dev / bpf * تک رسائی پڑھنا ضروری ہے.

ڈی ایل پی آئی کے ساتھ شمسی توانائی کے تحت:

نیٹ ورک چھاسو آلہ پر آپ کو پڑھنے / لکھنا پڑھنا ضروری ہے، مثال کے طور پر / dev / le . کم از کم سولرس کے کچھ ورژن پر، ٹی سی پی ڈمپ کو فوری موڈ میں قبضہ کرنے کے لئے کافی نہیں ہے؛ شمسیوں کے ان ورژنوں پر، آپ کو جڑنا ہونا چاہئے، یا tcpdump کو جھوٹ پر نصب کرنے کے لئے لازمی طور پر موثر طریقوں میں قبضہ کرنا چاہئے. یاد رکھیں کہ، بہت سے (شاید تمام) انٹرفیس، اگر آپ کو موثر طریقوں میں نہیں قبضہ کرتے ہیں تو، آپ کو کسی بھی آؤٹ ڈور پیکٹ نہیں ملیں گے، لہذا کسی بھی موثر انداز میں کوئی گرفتاری بہت مفید نہیں ہوسکتی.

ڈی ایچ پی کے ساتھ HP-UX کے تحت:

آپ کو جڑ یا tcpdump ہونا چاہئے سیٹوڈ کو جڑ پر نصب کیا جانا چاہئے.

SnIX کے تحت snoop کے ساتھ:

آپ کو جڑ یا tcpdump ہونا چاہئے سیٹوڈ کو جڑ پر نصب کیا جانا چاہئے.

لینکس کے تحت:

آپ کو جڑ یا tcpdump ہونا چاہئے سیٹوڈ کو جڑ پر نصب کیا جانا چاہئے.

الٹیکس اور ڈیجیٹل UNIX / Tru64 UNIX کے تحت:

کسی بھی صارف کو tcpdump کے ساتھ نیٹ ورک ٹریفک پر قبضہ کر سکتا ہے. تاہم، کوئی صارف (نہیں بھی سپر صارف) ایک انٹرفیس پر فوری موڈ میں قبضہ کر سکتے ہیں جب تک کہ سپر صارف نے اس انٹرفیس پر pfconfig (8) اور کوئی صارف کا استعمال نہیں کیا ہے (نہ ہی سپر صارف) ) کسی انٹرفیس پر موصول ہونے والی یا غیر موثر ٹریفک پر قبضہ کر سکتے ہیں جب تک کہ صارف نے اس انٹرفیس پر پیفconfig کا استعمال کرتے ہوئے اس پر انٹرفیس کو فعال کرنے کی اجازت نہیں دی ہے، تو انٹرفیس پر اتنی مفید پیکٹ پر قبضہ کر سکتا ہے شاید اس کی ضرورت ہوتی ہے کہ کسی بھی موثر یا موڈ - موڈ آپریشن، یا آپریشن کے دونوں موڈ، اس انٹرفیس پر فعال ہو جائیں.

بی ایس ڈی کے تحت:

آپ کو / dev / bpf * تک رسائی پڑھنا ضروری ہے.

ایک محفوظ کردہ پیکٹ فائل کو پڑھنا خاص استحکام کی ضرورت نہیں ہے.

اختیارات

-ا

نیٹ ورک اور نشریات کے پتوں کو ناموں میں تبدیل کرنے کی کوشش

سی

گنتی حاصل کرنے کے بعد سے نکلیں.

سی

محفوظ فیلڈ پر خام پیکٹ لکھنے سے پہلے، یہ چیک کریں کہ فائل فی الحال فائل کے سائز سے بڑا ہے اور اگر ایسا ہے تو، موجودہ savefile کو بند کریں اور ایک نیا کھولیں. بچاؤ پہلے فیلڈ فیلڈ کے بعد اس کا نام اس پرچم کے ساتھ مقرر کیا جائے گا، جس کے بعد اس کے بعد، 2 سے شروع ہونے والے اور آگے بڑھنے کے بعد. file_size کے یونٹس لاکھوں بائٹ ہیں (1،000،000 بائٹس، نہیں 1،048،576 بائٹس).

ڈی

مرتب کردہ پیکیٹ مماثلت کوڈ کو ایک انسانی پڑھنے کے قابل شکل میں معیاری پیداوار تک ڈمپ کریں اور روک دیں.

شامل کریں

ڈمپ پیک - ملٹی کوڈ سی پروگرام کے ٹکڑے ٹکڑے کے طور پر.

-ddd

ڈمپ پیکٹ-مماثلت کوڈ ڈس کلیمر نمبر (ایک شمار سے پہلے) کے طور پر.

-e

ہر ڈمپ لائن پر لنک کی سطح ہیڈر پرنٹ کریں.

- ای

الگو کا استعمال کریں : آئی سی سی ایس ایس ایس ایس پی سی ڈی کے لئے خفیہ. الورتورڈس شاید ڈی سی سی سی ، 3 ڈیز-سی بی سی ، دھواڑ-سی بی سی ، آر سی 3-سی بی سی ، کاسٹ 128-سی بی سی ، یا کوئی بھی نہیں ہو سکتا . ڈیفالٹ ڈی سی سی سی ہے . پیکٹوں کو ضائع کرنے کی صلاحیت صرف اس صورت میں موجود ہے اگر ٹی سی پی ڈیپ کو کریٹٹیوگرافی کے ساتھ مرتب کیا گیا تھا. ایس ایس ایس خفیہ کلید کے لئے آسسی متن کو خفیہ. ہم اس لمحے میں خود مختار بائنری قیمت نہیں لے سکتے ہیں. اختیار RFC2406 ESP فرض کرتا ہے، RFC1827 ESP نہیں. اختیار صرف ڈیبگٹنگ مقاصد کے لئے ہے، اور اس اختیار کا استعمال واقعی 'خفیہ' کی چابی کے ساتھ حوصلہ افزائی ہے. IPsec خفیہ کلید کو کمان لائن پر پیش کرتے ہوئے آپ پی ایس (1) اور دیگر مواقع کے ذریعہ دوسروں کو نظر آتے ہیں.

- ایف

`غیر ملکی 'انٹرنیٹ پر علامتی طور پر علامتی طور سے خطاب کرتے ہیں پرنٹ کریں (اس اختیار کا مقصد سورج کے سرور میں سنجیدگی سے دماغ کے نقصان کو حاصل کرنے کا ارادہ رکھتا ہے --- عام طور پر یہ ہمیشہ مقامی طور پر غیر مقامی مقامی نمبروں پر ترجمانی کرتا ہے).

- ایف

فائل کا فلٹر اظہار کیلئے ان پٹ کے طور پر استعمال کریں. کمانڈ لائن پر دی گئی ایک اضافی اظہار کو نظر انداز کیا جاتا ہے.

-میں

انٹرفیس پر سنیں اگر غیر متعین شدہ، tcpdump سسٹم کی انٹرفیس کی فہرست کو کم سے کم تعداد میں، تشکیل شدہ انٹرفیس (لوپ بیک کے علاوہ) کیلئے تلاش کرتی ہے. سب سے جلد میچ کا انتخاب کرکے ٹوٹ جاتا ہے.

2.2 یا بعد میں دانیوں کے ساتھ لینکس کے نظام پر، `` کسی 'کے انٹرفیس کے نقطہ نظر کو تمام انٹرفیس سے پیکٹوں پر قبضہ کرنے کے لئے استعمال کیا جا سکتا ہے. نوٹ کریں کہ '`کسی' 'آلہ پر قبضہ فروغناک موڈ میں نہیں کیا جائے گا.

ایل

اسٹڈی آؤٹ لائن بنانا. مفید اگر آپ اس پر قابو پانے کے دوران ڈیٹا دیکھنا چاہتے ہیں. مثال کے طور پر،
`` tcpdump -l | آپ کا ڈیٹا 'یا `` tcpdump -l> ڈیٹا & tail -f dat' '.

ایم

فائل ماڈیول سے SMI MIB ماڈیول تعریف لوڈ کریں. یہ اختیار کئی سی سی بی ماڈیولز کو tcpdump میں لوڈ کرنے کے لئے کئی بار استعمال کیا جا سکتا ہے.

این

میزبان کے پتوں کو ناموں میں تبدیل نہ کریں. اس کا استعمال ڈی این ایس کی تلاش سے بچنے کے لئے استعمال کیا جا سکتا ہے.

نہیں

یا تو نام کے لئے پروٹوکول اور پورٹ نمبر وغیرہ تبدیل نہ کریں.

این

میزبان کے ناموں کے ڈومین نام کی اہلیت پرنٹ نہ کریں. مثال کے طور پر، اگر آپ یہ پرچم دیتے ہیں تو tcpdump `` nic.ddn.mil 'بجائے `` نیک' پرنٹ کریں گے.

- اے

پیکٹ سے مماثلت کوڈ مرضی کے مطابق نہیں چلائیں. یہ صرف مفید ہے اگر آپ کو اصلاح کنندہ میں ایک مسئلے پر شک ہے.

پی

انٹرفیس موثر طریقوں میں نہ ڈالو . نوٹ کریں کہ انٹرفیس کسی دوسرے سبب کے لئے فوری موڈ میں ہوسکتا ہے؛ لہذا، `-p 'استعمال نہیں کیا جا سکتا` ایور میزبان {مقامی-ایچ ڈبلیو- اضافی} یا اعلی نشر' کے لئے.

- ق

فوری (خاموش؟) پیداوار کم پروٹوکول کی معلومات پرنٹ کریں تاکہ پیداوار لائنیں کم ہو.

آر

ای ایس ایس / AH پیکٹوں کو پرانے تفصیلات پر مبنی ہونا (RFC1829 پر RFC1825) پر غور کرنا. اگر مخصوص ہو تو، tcpdump دوبارہ چلانے کی روک تھام کا میدان پرنٹ نہیں کرے گا. چونکہ ESP / AH تفصیلات میں کوئی پروٹوکول ورژن فیلڈ نہیں ہے، tcpdump ای ایس پی / AH پروٹوکول کے ورژن کو کم نہیں کر سکتا.

آر

فائل سے پیکیٹ پڑھیں (جس کو پیدا کیا گیا تھا - و اختیار). اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں .

ایس

مطلق پرنٹ، رشتہ داری کے مقابلے میں، ٹی سی سی ترتیب کے نمبر.

ایس

68 کے پہلے سے طے شدہ بجائے ہر پیکٹ کے اعداد و شمار کے سیرف سپنن بٹس (SunOS کی این آئی ٹی کے ساتھ، کم سے کم اصل میں 96 ہے). آئی پی، آئی سی ایم پی، ٹی سی پی اور یو ڈی ڈی کے لئے 68 بائٹس کافی ہیں لیکن نام سرور اور این ایف ایس پیکٹوں سے نیچے پروٹوکول معلومات کو چھوٹ سکتے ہیں. محدود سنیپ شاٹ کی وجہ سے پیکٹوں کو ترک کر دیا گیا ہے تاکہ پیداوار میں `` [| پرومو ] ''، جہاں پرتوٹو پروٹوکول کی سطح کا پروٹوکول ہے جس میں ٹرنکشن واقع ہوا ہے. نوٹ کریں کہ بڑے سنیپشاٹس لے کر دونوں پیکٹوں کو عمل کرنے کے لۓ وقت بڑھاتا ہے اور مؤثر طریقے سے، پیکٹ بفیرنگ کی مقدار کو کم کرتی ہے. اس کی وجہ سے پیکٹوں کو کھو دیا جا سکتا ہے. آپ کو سب سے چھوٹی تعداد میں سنیپین کو محدود کرنا چاہئے جو آپ پروٹوکول کی معلومات میں دلچسپی رکھتا ہے پر قبضہ کرے گا. اس تصویر پر سنیپلیشن کا مطلب ہے کہ پورے پیکٹوں کو پکڑنے کے لئے ضروری لمبائی کا استعمال کریں.

- ٹی

مخصوص اظہار کی وضاحت کرنے کے لئے " اظہار " کی طرف سے منتخب کردہ طاقت پیکٹیں. فی الحال نام سے جانا جاتا اقسام cnfp ہیں (سسکو نیٹ فلو پروٹوکول)، آر پی سی (ریموٹ پروسیسر کال)، آر ٹی پی (ریئل ٹائم ایپلی کیشنز پروٹوکول)، آر ٹی سی پی (ریئل ٹائم ایپلی کیشن کنٹرول پروٹوکول)، ایس ایم پی (سادہ نیٹ ورک مینجمنٹ پروٹوکول)، ویٹ (ویو آڈیو آلے )، اور WB (وائٹ بورڈ تقسیم کیا).

-ٹ

ہر ڈمپ لائن پر ٹائم اسٹراپ پرنٹ نہ کریں.

-ایک

ہر ڈمپ لائن پر ایک غیر مطمئن ٹائمسٹیمپپ پرنٹ کریں.

- یو

روڈ استحقاق کو چھوڑ دیتا ہے اور صارف کے بنیادی گروپ کو صارف اور گروپ کی شناخت میں صارف کی شناخت میں تبدیل کرتا ہے .

نوٹ! ریڈ ٹوپی لینکس خود بخود صارف `` pcap 'کے استحقاق کو چھوڑ دیتا ہے اگر کچھ اور نہیں بیان کیا جاتا ہے.

-ٹٹ

ہر ڈمپ لائن پر موجودہ اور پچھلی لائن کے درمیان ڈیلٹا (مائیکرو سیکنڈ میں) پرنٹ کریں.

-tttt

ہر ڈمپ لائن پر ڈیفالٹ فارمیٹ میں ٹائمسٹیمپپ پرنٹ کریں.

-و

انڈرڈڈ این ایف ایس ہینڈل پرنٹ کریں.

-v

(تھوڑا زیادہ) verbose پیداوار. مثال کے طور پر، ایک IP پیکٹ میں رہنے، شناخت، کل لمبائی اور اختیارات کا وقت پرنٹ کیا جاتا ہے. آئی پی اور آئی سی ایم پی ہیڈر چیکس کی تصدیق کرنے کے لۓ اضافی پیکٹ کی سالمیت چیکوں کو بھی قابل بناتا ہے.

-vv

یہاں تک کہ زیادہ زبانی پیداوار. مثال کے طور پر، اضافی شعبوں کو NFS جواب پیکٹوں سے پرنٹ کیا جاتا ہے، اور SMB پیکٹوں کو مکمل طور پر ڈسپوڈ کیا جاتا ہے.

-vvv

یہاں تک کہ زیادہ زبانی پیداوار. مثال کے طور پر، telnet ایس بی ... مکمل اختیارات میں پرنٹ کئے جاتے ہیں. ایکس کے ساتھ ایکس ٹن کے اختیارات کے ساتھ ساتھ ہییکس میں بھی چھپی ہوئی ہیں.

- وی

خالی پیکٹوں کو پیسہ کرنے اور انہیں چھپانے کے بجائے فائل میں لکھیں. وہ بعد میں آر کے اختیارات کے ساتھ پرنٹ کیا جا سکتا ہے. معیاری پیداوار استعمال کیا جاتا ہے اگر فائل `` - '' ہے.

-ایکس

ہر پیک پرنٹ کریں (ہیس میں اس کا لنک کی سطح کے ہیڈر). پورے پیکٹ یا سنیپین بٹس کو چھوٹا جائے گا. نوٹ کریں کہ یہ پوری لنک پرت پیکٹ ہے، لہذا لنک پرتوں کے لئے یہ پیڈ (مثال کے طور پر ایتھرنیٹ)، پیڈنگ بٹس کو بھی پرنٹ کیا جائے گا جب اعلی پرت پیک ضروری ضرورت سے کم ہے.

-ایکس

جب ہیکس چھپانا، تو بھی اسکی پرنٹ کریں. اس طرح اگر X- بھی مقرر کیا جاتا ہے تو، ہییکس / ascii میں پیکٹ پرنٹ کیا جاتا ہے. یہ نئے پروٹوکول کا تجزیہ کرنے کے لئے بہت آسان ہے. یہاں تک کہ اگر - X بھی سیٹ نہیں کیا جاتا ہے، کچھ پیکٹوں کے کچھ حصوں کو ہییکس / ایسسیسی میں پرنٹ کیا جا سکتا ہے.

اظہار

منتخب کردہ پیکٹوں کو ڈمپ کیا جائے گا. اگر کوئی اظہار نہیں دیا جاتا ہے، نیٹ پر تمام پیکٹوں کو ڈمپ کیا جائے گا. دوسری صورت میں، صرف پیکٹ جن کے اظہار کا اظہار ہے 'صحیح' ڈمپ کیا جائے گا.

اظہار ایک یا زیادہ پرائمری پر مشتمل ہے . عموما عموما ایک یا زیادہ سے زیادہ کوالٹیئرز سے پہلے ایک ID (نام یا نمبر) پر مشتمل ہوتا ہے. تین مختلف قسم کے قابلیت ہیں:

قسم

کوالیفائرز کا کہنا ہے کہ آئی ڈی کا نام یا نمبر کس قسم کی ہے. ممکنہ قسم میزبان ، نیٹ اور بندرگاہ ہیں . مثال کے طور پر، `میزبان فو '،` نیٹ 128.3'، `پورٹ 20 '. اگر کوئی قسم کی قابلیت نہیں ہے تو، میزبان فرض کیا جاتا ہے.

dir

کوالیفائرز ایک خاص منتقلی کی سمت کو بتاتی ہے اور / یا آئی ڈی سے . ممنوع ہدایات ایس ایس ایس ، ڈی ایس ، ایس ایس ایس یا ڈی ایس ایس اور ایس آر ایس اور ڈی ایس ایس ہیں . مثال کے طور پر، `ایس بی ایس ایفو '،` dst نیٹ 128.3'، `ایس بی ایس یا ڈی ایس ایس بندرگاہ ایف ٹی پی ڈیٹا '. اگر کوئی ڈیمو کوالیفائر نہیں ہے تو، ایس ایس ایس یا ڈی ایس فرض کیا جاتا ہے. `نپل 'لنک تہوں کے لئے (یعنی مثلا پروٹوکولز جیسے پرچی کی طرح اشارہ کریں) انباون اور آؤٹ باؤنڈ کوالیفائرز کو مطلوبہ سمت کی وضاحت کرنے کے لئے استعمال کیا جا سکتا ہے.

پروٹو

کوالیفائرز نے ایک خاص پروٹوکول کو محدود کر دیا. ممنوع پرنٹس یہ ہیں: ایتھر ، ایفڈیڈی ، ٹری ، آئی پی ، آئی پی 6 ، آر پی ، rarp ، ڈیکیٹ ، ٹی سی پی اور udp . مثال کے طور پر، `اتھارٹی ایسکیو ایفو '،` آر پی نیٹ 128.3'، `ٹی سی پورٹ پورٹ 21 '. اگر کوئی پروٹوکول قابلیت نہیں ہے، تو قسم کے مطابق تمام پروٹوکول فرض کیے جاتے ہیں. EG، `src foo 'کا مطلب یہ ہے کہ` (آئی پی آر آر آر یا rarp) کے ذریعہ ایس ایس ایف ایف (' اختتامی طور پر قانونی نحو نہیں ہے ')، `خالص بار' کا مطلب` (آئی پی آر آر آر یا rarp) خالص بار 'اور `پورٹ 53' کا مطلب ہے `(TCP یا udp) بندرگاہ 53 '.

[`fddi 'اصل میں ایک' عرف 'کے لئے ہے؛ فارس ان کو ایک ہی معقول طور پر علاج کرتا ہے جس کا مطلب '`نیٹ ورک انٹرفیس پر استعمال کردہ ڈیٹا لنک کی سطح ہے.' 'FDDI ہیڈرز ایتھرنیٹ جیسے ذریعہ اور منزل پتے پر مشتمل ہے، اور اکثر ایتھرنیٹ کی طرح پیکٹ اقسام پر مشتمل ہے، لہذا آپ ان FDDI شعبوں پر فلٹر کرسکتے ہیں. اسی طرح کے مطابق ایتھرنیٹ کے شعبوں کے ساتھ. FDDI ہیڈر میں دیگر شعبوں میں بھی شامل ہے، لیکن آپ فلٹر اظہار میں واضح طور پر ان کا نام نہیں لیتے ہیں.

اسی طرح، `tr 'ایک' عرف 'کے لئے ہے. FDDI ہیڈر کے بارے میں پچھلے پیراگراف کے بیانات ٹوکن رنگ کے ہیڈر پر بھی لاگو ہوتے ہیں.]

مندرجہ بالا کے علاوہ، کچھ خاص `پرائمری 'مطلوبہ الفاظ ہیں جو پیٹرن پر عمل نہیں کرتے ہیں: گیٹ وے ، نشریات ، کم ، زیادہ سے زیادہ اور ریاضی کا اظہار. یہ سب ذیل میں بیان کی گئی ہیں.

مزید پیچیدہ فلٹر اظہار الفاظ کا استعمال کرکے، یا پرائمریوں کو جمع کرنے کے لئے تیار نہیں ہیں . مثال کے طور پر، `میزبان فو اور نہ بندرگاہ ایف ٹی پی اور بندرگاہ ایف ٹی پی کے اعداد و شمار '. ٹائپنگ کو بچانے کے لئے، جیسی کوالیفائزر فہرستوں کو اتار دیا جا سکتا ہے. مثال کے طور پر، `ٹی سی پی ڈی ایس پورٹ پورٹ ایف پی یا ایف ٹی پی - ڈیٹا یا ڈومین 'بالکل وہی ہے جیسے' ٹی سی پی ڈی ایس پورٹ پورٹ ایف پی یا ٹی سی پی ڈی ایس پورٹ پورٹ ایف پی پی 'یا ٹی سی پی ڈیسٹ پورٹ ڈومین'.

قابل اطلاق قدیمہ ہیں:

dst میزبان میزبان

سچ ہے اگر پیکٹ کے IPv4 / v6 منزل فیلڈ میزبان ہے ، جو یا تو ایک ایڈریس یا ایک نام ہوسکتا ہے.

src کے ہوسٹ میزبان

سچ ہے اگر پیکٹ کے IPv4 / v6 ذریعہ میدان میزبان ہے .

میزبان میزبان

سچ ہے کہ اگر IPv4 / v6 ذریعہ یا پیکٹ کی منزل میزبان ہے . مندرجہ بالا میزبان کے اظہار میں سے کوئی مطلوبہ الفاظ، آئی پی ، آر پی ، rarp ، یا ip6 کے ساتھ پیش کیا جا سکتا ہے.

آئی پی میزبان میزبان

جس کے برابر ہے:

ایتھر پرٹو \ آئی پی اور ہوسٹ میزبان

اگر میزبان ایک سے زیادہ IP پتوں کا نام ہے، تو ہر ایڈریس کو ایک میچ کے لئے چیک کیا جائے گا.

ایسٹ ڈیسٹ ehost

یہ سچ ہے کہ ایتھرنیٹ منزل کا پتہ پتہ ہے. ہوسٹ یا تو وغیرہ / وغیرہ / اخالقوں کا نام یا ایک نمبر ہو سکتا ہے (عدالتی شکل کے لئے اخلاقیات (3N) دیکھیں.

ایتھرنییشن

سچ ہے اگر ایتھرنیٹ کا ذریعہ پتہ ehost ہے .

ایسٹ میزبان ehost

یہ سچ ہے کہ یا تو ایتھرنیٹ ذریعہ یا منزل کا پتہ ایہسٹ ہے .

گیٹ وے میزبان

سچ ہے اگر پیکٹ نے گیٹ وے کے طور پر میزبان کا استعمال کیا. یعنی، ایتھرنیٹ ذریعہ یا منزل کا ایڈریس میزبان تھا لیکن نہ ہی آئی پی ذریعہ اور نہ ہی آئی پی منزل میزبان تھی . میزبان ایک نام ہونا لازمی ہے اور مشین کے میزبان کے نام سے آئی پی ایڈریس کے حل میکانیزم (میزبان نام فائل، ڈی این ایس، این ایس آئی، وغیرہ وغیرہ) کے ذریعہ اور مشین کے میزبان نام سے-این-ایتھرنیٹ ایڈریس قرارداد کی طرف سے دونوں کو ملنا چاہئے. میکانزم (/ وغیرہ / اخلاقیات، وغیرہ). (ایک برابر اظہار ہے

ایسٹ میزبان ehost اور ہوسٹ میزبان نہیں

جو میزبان / ehost کے لئے نام یا نمبر کے ساتھ استعمال کیا جا سکتا ہے.) یہ نحو اس IPV6 فعال ترتیب میں اس لمحے میں کام نہیں کرتا.

dst نیٹ نیٹ

سچ ہے اگر پیکٹ کے IPv4 / v6 منزل کا پتہ نیٹ ورک نمبر نیٹ ہے . نیٹ یا تو / وغیرہ / نیٹ ورکوں سے ایک نام یا تفصیلات کے لئے نیٹ ورک نمبر ( نیٹ ورکس دیکھیں (4) ہوسکتا ہے.

ایس ایس ایس نیٹ نیٹ

سچ ہے اگر پیکٹ کے IPv4 / v6 ذریعہ پتہ نیٹ نیٹ ورک نمبر ہے.

نیٹ نیٹ

سچ ہے کہ اگر پیکٹ کے کسی بھی IPv4 / v6 ذریعہ یا منزل کا ایڈریس نیٹ نیٹ ورک نمبر ہے.

نیٹ نیٹ ماسک نیٹ ورک

سچ ہے اگر آئی پی ایڈریس مخصوص نیٹ ورک کے ساتھ خالص ہو . ایس ایس ایس یا ڈی ایس ایس کے ساتھ اہل ہوسکتا ہے. نوٹ کریں کہ یہ نحوق IPv6 نیٹ کیلئے درست نہیں ہے.

خالص نیٹ / لین

یہ سچ ہے کہ IPv4 / v6 ایڈریس وسیع نیٹ ورکاس لین بٹس کے ساتھ خالص ہوتا ہے. ایس ایس ایس یا ڈی ایس ایس کے ساتھ اہل ہوسکتا ہے.

ڈی ایس پورٹ پورٹ

یہ سچ ہے کہ اگر پیکٹ ip / tcp، ip / udp، ip6 / tcp یا ip6 / udp ہے اور پورٹ کی ایک منزل پورٹ کی قیمت ہے. پورٹ ایک نمبر یا ایک نام / وغیرہ / خدمات میں استعمال کیا جا سکتا ہے ( ٹی سی پی (4 پی ) اور udp (4P) دیکھیں. اگر ایک نام استعمال کیا جاتا ہے تو، پورٹ نمبر اور پروٹوکول دونوں کی جانچ پڑتال کی جاتی ہے. اگر کوئی نمبر یا نامکمل نام استعمال کیا جاتا ہے تو، صرف پورٹ نمبر کی جانچ پڑتال کی جاتی ہے (مثال کے طور پر، ڈی ایس پورٹ 513 دونوں ٹی سی پی / لاگ ان ٹریفک اور udp / جو ٹریفک، اور پورٹ ڈومین کو ٹی سی پی / ڈومین اور udp / domain ٹریفک دونوں پرنٹ کریں گے.

ایس ایس ایس پورٹ پورٹ

یہ سچ ہے کہ پیکٹ میں بندرگاہ کا ذریعہ پورٹ قدر ہے.

بندرگاہ بندرگاہ

سچ ہے کہ اگر پیکٹ کے ذریعہ یا منزل مقصود بندرگاہ بندرگاہ ہے. مندرجہ ذیل بندرگاہ کے کسی بھی اظہار مطلوبہ الفاظ، ٹی سی پی یا udp کے ساتھ پیش کیا جا سکتا ہے، جیسا کہ:

ٹی سی پی ایس ایس پورٹ بندرگاہ

جو صرف ٹی سی پی پیکٹوں سے ملتا ہے جن کا ذریعہ پورٹ بندرگاہ ہے.

کم لمبائی

یہ سچ ہے کہ پیکٹ میں لمبائی سے زیادہ یا اس کے برابر لمبائی ہے . اس کے برابر ہے:

لین <= لمبائی

زیادہ لمبائی

سچ ہے اگر پیکٹ لمبائی سے زیادہ یا اس سے زیادہ لمبائی ہے . اس کے برابر ہے:

لین> = لمبائی

آئی پی پراٹو پروٹوکول

یہ سچ ہے کہ پیکٹ ایک آئی پی پییٹ ہے ( آئی پی (4 پی ) دیکھیں پروٹوکول ٹائپ پروٹوکول . پروٹوکول ایک نمبر یا ایک نام کے IPP ، icmp6 ، igmp ، igrp ، پم ، آ ، esp ، vrrp ، udp ، یا tcp میں سے ایک ہو سکتا ہے . نوٹ کریں کہ شناختی کاریں TCP ، udp ، اور icmp بھی مطلوبہ الفاظ ہیں اور بیکسلاش (\) کے ذریعہ فرار ہونا ضروری ہے، جو \\ سی سی میں ہے. نوٹ کریں کہ یہ پرائمری پروٹوکول ہیڈر چین کا پیچھا نہیں کرتا.

ip6 پروٹوکول

یہ سچ ہے کہ پیکٹ پروٹوکول قسم پروٹوکول کے IPv6 پیکٹ ہے. نوٹ کریں کہ یہ پرائمری پروٹوکول ہیڈر چین کا پیچھا نہیں کرتا.

ip6 پروٹوچین پروٹوکول

سچ ہے اگر پیکٹ IPv6 پیکٹ ہے، اور اس پروٹوکول ہیڈر چین میں ٹائپ پروٹوکول کے ساتھ پروٹوکول ہیڈر پر مشتمل ہے. مثال کے طور پر،

ip6 پروٹوچین 6

پروٹوکول ہیڈر چین میں TCP پروٹوکول ہیڈر کے ساتھ کسی IPv6 پیکٹ سے ملتا ہے. پیکٹ میں آئی پی وی 6 ہیڈر اور ٹی سی پی ہیڈر کے درمیان، مثال کے طور پر، توثیق ہیڈر، رائٹنگ ہیڈر، یا ہاپ-ہاپ ہاپ آپشن ہیڈر پر مشتمل ہوسکتا ہے. اس آدم کی طرف سے منسلک بی پی ایف کوڈ پیچیدہ ہے اور TCPdump میں BPF اصلاح کنندہ کوڈ کی طرف سے مرضی کے مطابق نہیں کیا جا سکتا ہے، لہذا یہ کچھ سست ہو سکتا ہے.

آئی پی پروٹوچین پروٹوکول

ip6 پروٹوچین پروٹوکول کے برابر، لیکن یہ IPv4 کے لئے ہے.

آسمان نشر

یہ سچ ہے کہ پیکٹ ایک ایتھرنیٹ براڈکاسٹ پیکٹ ہے. آسمانی مطلوبہ الفاظ اختیاری ہے.

آئی پی براڈکاسٹر

یہ سچ ہے کہ پیکٹ ایک IP نشر پیکٹ ہے. یہ تمام زرو اور سبھی نشر کنونشن دونوں کے لئے چیک کرتا ہے اور مقامی سبٹ ماسک کو دیکھتا ہے.

آسمان multicast

یہ سچ ہے کہ پیکٹ ایک ایتھرنیٹ ملٹیسٹ پیکٹ ہے. آسمانی مطلوبہ الفاظ اختیاری ہے. یہ ` ether [0] اور 1! = 0 'کے لئے آثار قدیمہ ہے.

آئی پی ملٹیسٹ

سچ ہے اگر پیکٹ آئی پی ملٹیسٹ پیکٹ ہے.

ip6 ملٹیسٹ

سچ ہے اگر پیکٹ IPv6 ملٹیسٹ پیکٹ ہے.

ایور پرتو پروٹوکول

یہ سچ ہے کہ پیکٹ اتنی قسم پروٹوکول کی ہے . پروٹوکول نام یا آئی پی ، ip6 ، آرپی ، rarp ، اٹلانٹ ، یار ، ڈیکنٹ ، سکا ، لطیف ، موپڈل ، موپرا ، آاسو ، STP ، ipx ، یا netbeui میں سے ایک یا ایک نمبر ہو سکتا ہے . نوٹ کریں کہ یہ شناختی الفاظ بھی مطلوبہ الفاظ ہیں اور بیکسلاش (\) کے ذریعہ فرار ہونا ضروری ہے.

[FDDI کے معاملے میں (مثال کے طور پر `` ` ڈیڈی ڈی پروٹوکول آر پی ') اور ٹوکن رنگ (مثال کے طور پر،' ٹر پرو پروٹوکول آر پی ')، ان میں سے اکثر پروٹوکولز کے لئے، پروٹوکول کی شناخت 802.2 منطقی لنک کنٹرول (LLC) ہیڈر سے آتا ہے، جو عام طور پر FDDI یا ٹوکن رنگ کے ہیڈر کے اوپر سطح پر ہوتا ہے.

جب FDDI یا ٹوکن رنگ پر سب سے زیادہ پروٹوکول شناختی کے لئے فلٹرنگ، tcpdump انفرادی سیٹ کے لئے 0x000000 کے تنظیم سازی یونٹ شناختی (OUI) کے ساتھ نام نہاد SNAP کی شکل میں ایک ایل ایل ایل ہیڈر کے صرف پروٹوکول ID فیلڈ کی جانچ پڑتا ہے؛ یہ چیک نہیں کرتا کہ پیکٹ SNAP کی شکل میں 0x000000 کے OUI کے ساتھ ہے.

استثنائیات آئو ہیں ، جس کے لئے یہ ایل ایل ایل (منزل سروس تک رسائی پوائنٹ) اور ایس ایس اے پی (ماخذ سروس تک رسائی پوائنٹ) ایل ایل ایل کے ہیڈر، STP اور netbeui ہے ، جہاں یہ ایل ایل ایل ہیڈر کے ڈی ایس اے پی کی جانچ پڑتال کرتا ہے، اور اسکی OUI 0x080007 اور Appletalk etype کے ساتھ ایک SNAP فارمیٹ پیکٹ کے لئے چیک کرتا ہے.

ایتھرنیٹ کے معاملے میں، tcpdump ان پروٹوکول کے زیادہ تر کے لئے ایتھرنیٹ قسم کا میدان چیک کرتا ہے؛ استثنائیوں میں آئو ، ایسپ ، اور netbeui ہیں ، جس کے لئے یہ ایک 802.3 فریم چیک کرتا ہے اور اس کے بعد ایل ایل ایل ہیڈر کی جانچ پڑتا ہے جیسا کہ یہ FDDI اور ٹوکن رنگ کے لئے کرتا ہے، اسکی ، جہاں یہ ایک ایتھرنیٹ فریم میں Appletalk etype کے لئے دونوں کی جانچ پڑتال کرتا ہے. SNAP فارمیٹ پیکٹ کے طور پر یہ FDDI اور ٹوکن رنگ کے لئے کرتا ہے، AARP، جہاں یہ کسی بھی ایتھرنیٹ فریم میں یا 02000000 اور OIP کے OI کے ساتھ ایک 802.2 SNAP فریم میں Appletalk آر پی etype کے لئے چیک کرتا ہے، جہاں یہ IPX کی قسم کے لئے چیک کرتا ہے. ایک ایتھرنیٹ فریم، ایل ایل ایل ہیڈر میں آئی پی ایکس ڈی ایس اے پی، 802.3 ایل پی ایل کے ہیڈر encapsulation کے ساتھ، اور ایک SNAP فریم میں آئی پی ایکس کی قسم.]

decnet src کے میزبان

سچ ہے اگر ڈیکنی ذریعہ پتہ میزبان ہے ، جو فارم `` 10.123 '' فارم، یا ڈیکنی میزبان کے نام کا پتہ ہوسکتا ہے. [ڈیکنی میزبان کا نام سپورٹ صرف الیکروکس سسٹم پر دستیاب ہے جو ڈییکن چلانے کے لئے ترتیب دیا جاتا ہے.]

ڈاٹ نیٹ ڈاٹ میزبان

یہ سچ ہے کہ ڈیکنی منزل منزل ایڈریس میزبان ہے .

ڈیکنی میزبان میزبان

سچ ہے اگر یا تو ڈیکنی ذریعہ یا منزل کا پتہ ہوسٹ میزبان ہے .

آئی پی ، آئی پی 6 ، آر پی ، rarp ، اٹلانٹ ، ڈراپ ، ڈیکیٹ ، آئی او ، STP ، آئی پی ایکس ، نیٹ بیبی

کے لئے عدد:

ایور پرتو پی

جہاں پی اوپر اوپر پروٹوکول میں سے ایک ہے.

لاطینی ، موپرا ، موپڈی

کے لئے عدد:

ایور پرتو پی

جہاں پی اوپر اوپر پروٹوکول میں سے ایک ہے. نوٹ کریں کہ tcpdump اس وقت پتہ نہیں ہے کہ ان پروٹوکول کو کیسے پار کرنا ہے.

vlan [vlan_id]

یہ سچ ہے کہ پیکٹ ایک IEEE 802.1Q وی ایلان پیکیٹ ہے. اگر [vlan_id] متعین کیا جاتا ہے تو، صرف سچ ہے کہ پیکٹ میں مخصوص vlan_id ہے . نوٹ کریں کہ پہلے ولانہ مطلوبہ الفاظ میں اظہار کا سامنا کرنا پڑتا ہے کہ اس تصور پر باقی اظہار کے لئے ڈسنگ آفس سیٹ کرتا ہے کہ پیکٹ ایک VLAN پیکٹ ہے.

TCP ، udp ، icmp

کے لئے عدد:

ip proto p یا ip6 proto p

جہاں پی اوپر اوپر پروٹوکول میں سے ایک ہے.

Io Proto پروٹوکول

سچ ہے اگر پیکٹ پروٹوکول ٹائپ پروٹوکول کے او ایس آئی پیکٹ ہے. پروٹوکول ایک نام یا ایک کل clp ، ایسس ، یا IISIS میں سے ایک ہو سکتا ہے.

clnp ، esis ، isis

کے لئے عدد:

Io Proto p

جہاں پی اوپر اوپر پروٹوکول میں سے ایک ہے. نوٹ کریں کہ tcpdump ان پروٹوکولز کو پسماندہ کرنے کے ناممکن کام کرتا ہے.

expr relop expr

یہ سچ ہے کہ اگر رشتہ برقرار رکھتا ہے، تو اس میں سے ایک تعلق ہے، <،> =، <=، =،! =، اور expr ایک عددی اظہار ہے جس میں انوگر constants (معیاری سی نحو میں اظہار کیا گیا) سے متعلق، عام بائنری آپریٹرز [+ ، -، *، /، اور، |]]، ایک لمبائی آپریٹر، اور خصوصی پیکٹ ڈیٹا کنیکٹر. پیکٹ کے اندر ڈیٹا تک رسائی حاصل کرنے کے لئے، مندرجہ ذیل نحوط کا استعمال کریں:

پرنٹ [ expr : سائز ]

پراٹو ایتھر، ایفڈیڈی، ٹری، پی پی پی، پرچی، لنک، آئی پی، آر پی، rarp، tcp، udp، icmp یا ip6 میں سے ایک ہے ، اور انڈیکس آپریشن کے لئے پروٹوکول پرت کی طرف اشارہ کرتا ہے. ( ether، fddi، tr، ppp، slip، and link all link link layer.) نوٹ کریں کہ tcp، udp اور دوسرے اوپری پرت پروٹوکول کی اقسام صرف IPv4 پر لاگو ہوتا ہے، IPv6 نہیں (یہ مستقبل میں مقرر کیا جائے گا). اشارہ کردہ پروٹوکول پرت سے متعلق بائٹ آفسیٹ، expr کی طرف سے دیا جاتا ہے. سائز اختیاری ہے اور دلچسپی کے میدان میں بٹس کی تعداد کو اشارہ کرتا ہے؛ یہ یا تو ایک، دو، یا چار ہوسکتا ہے، اور ایک سے غلطی ہوسکتی ہے. مطلوبہ الفاظ کے لین کی طرف سے اشارہ لمبائی آپریٹر، پیکٹ کی لمبائی دیتا ہے.

مثال کے طور پر، ` آسمان [0] اور 1! = 0 'تمام ملٹی ٹریفک کو پکڑتا ہے. اظہار ` IP [0] اور 0xf! = 5 'اختیارات کے ساتھ تمام IP پیکٹوں کو پکڑتا ہے. اظہار ` ip [6: 2] اور 0x1fff = 0 'صرف الگ شدہ ڈیاتگرام کو پکڑتا ہے اور ٹکڑے ٹکڑے ٹکڑے ٹکڑے ٹکڑے کے صفر کو ٹکڑے ٹکڑے کر دیتا ہے. یہ چیک TCP اور udp انڈیکس کے آپریشنز پر لاگو ہوتا ہے. مثال کے طور پر، TCP [0] ہمیشہ TCP ہیڈر کے پہلے بائٹ کا مطلب ہے، اور کبھی مداخلت کے ٹکڑے کی پہلی بائٹ کبھی نہیں مطلب ہے.

کچھ آفس اور فیلڈ اقدار نامیاتی اقدار کے بجائے نام کے طور پر ظاہر کئے جا سکتے ہیں. مندرجہ ذیل پروٹوکول ہیڈر فیلڈ آفس دستیاب ہیں: آئی ایم ایمپٹائپ (آئی سی ایم پی قسم کے فیلڈ)، آئمپوپڈکو (آئی سی ایم پی کوڈ فیلڈ)، اور tcpflags (ٹی سی سی پرچم میدان).

مندرجہ ذیل آئی سی ایم پی قسم کے فیلڈ اقدار دستیاب ہیں: icmp-echoreply ، icmp-unreach ، icmp-sourcequench ، icmp-redirect ، icmp-echo ، icmp-routeradvert ، icmp-routersolicit ، icmp-timxceed ، icmp-paramprob ، icmp-tstamp ، icmp -ٹسٹمپیٹ بس ، آئی ایم پی ایم- آرکیف ، آئی ایم پی ایم-آریرقے ، آئی ایم پی ایم-ماسکراق ، آئی ایم پی ایم-ماسکری بس .

مندرجہ ذیل ٹی سی سی پرچم فیلڈ اقدار دستیاب ہیں: TCP-Fin ، TCP-Syn ، TCP-RST ، TCP-push ، TCP-push ، TCP-Ack ، TCP-urg .

پرائمریوں کو استعمال کیا جا سکتا ہے:

پریمیٹیوپس اور آپریٹروں کے ایک پیسنے والی گروپ (پیرسیں خاص طور پر شیل کے لئے خاص ہیں اور فرار ہو جائیں).

منفی (` ! 'یا' نہیں ').

مواصلات (` && 'یا` اور ').

متبادل (` || 'یا` یا ').

منفی ترجیح ہے. متبادل اور مواصلات کے برابر عزم ہے اور دائیں طرف بائیں مل کر. یاد رکھیں کہ واضح اور ٹکنز، جکس ٹیپٹیشن نہیں، کنکشن کے لئے اب ضرورت ہوتی ہے.

اگر ایک شناخت کنندہ کو کسی مطلوبہ الفاظ کے بغیر دیا جائے تو، سب سے حالیہ مطلوبہ الفاظ کو فرض کیا جاتا ہے. مثال کے طور پر،

میزبان بمقابلہ اور اکاونٹ نہیں

مختصر ہے

میزبان بمقابلہ میزبان اور میزبانی نہیں کریں گے

جس کے ساتھ الجھن نہیں ہونا چاہئے

نہیں (میزبان بمقابلہ یا اککا)

اظہار دلائل tcpdump یا تو ایک دلیل کے طور پر یا ایک سے زیادہ دلائل کے طور پر منتقل کیا جاسکتا ہے، جو کہیں زیادہ آسان ہے. عام طور پر، اگر شیل میٹچراک میں اظہار ہے، تو یہ ایک واحد، حوالہ بحث کے طور پر منتقل کرنا آسان ہے. ایک سے زیادہ دلائل پیرس ہونے سے پہلے خالی جگہوں کے ساتھ منسلک ہیں.

مثال

آس پاس سے آنے والے تمام پیکٹوں کو پرنٹ کرنے یا پرنٹ کرنے کیلئے:

tcpdump میزبان سوڈاؤن

ہیلو یا تو گرم یا اککا کے درمیان ٹریفک کو پرنٹ کرنے کے لئے:

tcpdump میزبان ہیلیوس اور \ (گرم یا اکسی \)

ہیلو اور سوا کسی میزبان کے درمیان تمام IP پیکٹوں کو پرنٹ کرنے کے لئے:

tcpdump آئی پی میزبان Ace اور ہیلو نہیں

برکلے میں مقامی میزبان اور میزبان کے درمیان تمام ٹریفک پرنٹ کرنے کے لئے:

tcpdump نیٹ یکسب ایشر

انٹرنیٹ گیٹ وے سنیپ کے ذریعہ تمام فوٹ ٹریفک کو پرنٹ کرنے کے لئے: (نوٹ کریں کہ قارئین کی شیل کی تفریح ​​سے شیل کو روکنے کے لئے اظہار کیا گیا ہے):

tcpdump 'گیٹ وے سنیپ اور (بندرگاہ ftp یا ftp- ڈیٹا)'

ٹریفک کو پرنٹ کرنے کے لۓ نہ ہی مقامی میزبانوں کے لۓ گھاٹ لیا گیا ہے (اگر آپ ایک دوسرے نیٹ ورک کے دروازے پر جائیں گے تو یہ سامان آپ کو مقامی نیٹ ورک پر نہیں بنانا چاہئے).

tcpdump آئی پی اور نیٹ مقامی نیٹ نہیں

ہر ٹی سی سی کی گفتگو کے آغاز اور اختتام پیکٹ (SYN اور FIN پیکٹ) پرنٹ کرنے کے لئے غیر مقامی میزبان شامل ہے.

tcpdump 'tcp [tcpflags] اور (tcp-syn | tcp-fin)! = 0 اور نہ ہی ایس سی ایس اور نیٹ مقامی نیٹ ورک '

576 بائٹس سے زیادہ آئی پی پیکٹوں کو گیٹ وے سنیپ کے ذریعے بھیجنے کے لئے:

tcpdump 'گیٹ وے سنیپ اور آئی پی [2: 2]> 576'

آئی پی براڈکاسٹ یا ملٹیسٹیٹ پیکٹوں کو پرنٹ کرنے کے لئے جو ایتھرنیٹ براڈکاسٹر یا ملٹیسٹیٹ کے ذریعہ نہیں بھیجے گئے تھے:

tcpdump 'ether [0] اور 1 = 0 اور آئی پی [16]> = 224'

تمام ICMP پیکٹوں کو پرنٹ کرنے کے لئے جو درخواستوں / جوابوں کو گونج نہیں دیتے ہیں (یعنی، پنگ پیکٹ نہیں):

tcpdump 'icmp [icmptype]! = icmp-echo اور icmp [icmptype]! = icmp-echoreply'

باہر فاریٹ

tcpdump کی پیداوار پروٹوکول انحصار ہے. مندرجہ ذیل فارمیٹس کی ایک مختصر وضاحت اور مثالیں فراہم کرتی ہیں.

لنک سطح کے ہیڈر

اگر 'اے' کا اختیار دیا جاتا ہے، تو لنک سطح ہیڈر پرنٹ کیا جاتا ہے. ایتھرنیٹس پر، ذریعہ اور منزل کا پتہ، پروٹوکول، اور پیکٹ کی لمبائی پرنٹ کی جاتی ہیں.

FDDI نیٹ ورکوں پر، 'اے' اختیار tcpdump `فریم کنٹرول 'فیلڈ، ذریعہ اور منزل پتے کے پتے، اور پیکٹ کی لمبائی کو پرنٹ کرنے کا سبب بنتا ہے. (`فریم کنٹرول 'فیلڈ باقی پیکٹ کی تشریح کو برقرار رکھتا ہے. عام پیکٹ (جیسے جیسے آئی پی ڈیٹگرام) کے ساتھ' عینک 'پیکٹ ہیں، جو 0 اور 7 کے درمیان ترجیحی قیمت کے ساتھ ہیں؛ مثال کے طور پر،` async4 '. پیکٹوں کو 802.2 منطقی لنک کنٹرول (ایل ایل ایل) کے پیکٹ میں شامل کرنے کا فرض کیا جاتا ہے؛ ایل ایل ایل ہیڈر پرنٹ کیا جاتا ہے اگر یہ ایک آئی ایس ڈی ڈیٹاگرام یا نام نہاد SNAP پیکٹ نہیں ہے.

ٹوکن رنگ کے نیٹ ورک پر، 'اے' کا اختیار tcpdump `رسائی کنٹرول 'اور` فریم کنٹرول' شعبوں، ذریعہ اور منزل پتے کے پتے، اور پیکٹ کی لمبائی کو پرنٹ کرنے کا سبب بنتا ہے. FDDI نیٹ ورکوں کے طور پر، پیکٹوں کو ایک LLC پیکیٹ میں شامل کرنے کا فرض کیا جاتا ہے. اس کے باوجود کہ 'اے' اختیار کی وضاحت کی گئی ہے یا نہیں، ذریعہ روٹنگ کی معلومات کے ذریعہ روٹنگ کی معلومات پرنٹ کی جاتی ہے.

(این بی: درج ذیل وضاحت RFC-1144 میں بیان کردہ سلیپ کمپریشن الگورتھم کے ساتھ واقفیت رکھتا ہے.)

سلیپ لنکس پر، ایک سمت اشارے (`` I '' انباؤن کے لئے، '`اے' 'آؤٹباؤنڈ کے لئے)، پیکٹ کی قسم، اور کمپریشن کی معلومات پرنٹ کی جاتی ہیں. پیکٹ کی قسم پہلے پرنٹ کی گئی ہے. تین اقسام IP ، utcp ، اور ctcp ہیں . IP پیکٹ کے لئے مزید لنک کی معلومات پرنٹ نہیں کی جاتی ہے. ٹی سی پی پیکٹوں کے لئے، قسم کے بعد کنکشن کی شناخت کو پرنٹ کیا جاتا ہے. اگر پیکٹ کمپیکٹ ہے، اس کے انکوڈ ہیڈر پرنٹ کیا جاتا ہے. خصوصی مقدمات * S + n اور * SA + n کے طور پر پرنٹ کئے جاتے ہیں، جہاں ن کی رقم ہے جس کے ذریعے ترتیب نمبر (یا ترتیب نمبر اور ایکک) بدل گیا ہے. اگر یہ ایک خاص کیس نہیں ہے، صفر یا زیادہ تبدیلی پرنٹ کی جاتی ہیں. یو تبدیلی (اشارہ پوائنٹر)، ڈبلیو (ونڈو)، اے (ایکک)، ایس (ترتیب نمبر)، اور میں (پیک ID)، ایک ڈیلٹا (+ این یا این) کے بعد، یا ایک نئی قدر کی طرف اشارہ کیا جاتا ہے. (= n). آخر میں، پیکیٹ اور کمپریسڈ ہیڈر کی لمبائی میں ڈیٹا کی رقم طباعت کی جاتی ہے.

مثال کے طور پر، مندرجہ بالا ایک آؤٹ باؤنڈ کمپریسڈ ٹی سی پی پیکٹ ظاہر کرتا ہے، جس میں ایک منسلک کنکشن کی شناختی والا؛ نقطہ 6 کی طرف سے تبدیل کر دیا گیا ہے، 49 کی طرف سے ترتیب نمبر، اور پیکٹ کی شناخت 6 سے؛ اعداد و شمار کے 3 بائٹس اور کمپریسڈ ہیڈر کے 6 بائٹس موجود ہیں:

اے ctcp * A + 6 S + 49 I + 6 3 (6)

ARP / RARP پیکٹ

اے آرپی / rarp آؤٹ پٹ درخواست اور اس کے دلائل کی قسم کو ظاہر کرتا ہے. شکل خود کو تشریح کرنے کا ارادہ رکھتا ہے. یہاں میزبان کی میزبانی کرنے کے لۓ 'rlogin' شروع سے لے لیا ایک مختصر نمونہ ہے.

آر ایس ایس پر آر ایس پی جو ایس ایس ایس نے ایس ایس ایس آر ایس ایس آر پی جواب دینے کا کہا ہے

پہلی لائن کا کہنا ہے کہ Rtsg نے انٹرنیٹ میزبان سی ایس ایس کے ایتھرنیٹ ایڈریس کے لئے پوچھا آر آر پی پیکٹ بھیجا. ایس ایس ایس اس کے ایتھرنیٹ ایڈریس کے ساتھ جواب دیتا ہے (اس مثال میں، ایتھرنیٹ کے پتوں میں کم کیس میں کیپس اور انٹرنیٹ پتے ہیں).

اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں. غلط استعمال رپورٹ نہیں کیا جا سکا. ایک یا زیادہ ایرر آ گئے ہیں.

آر ایف پی جو 128.3.254.6 ہے 128.3.254.68 آرپی جواب 128.3.254.6 ہے 02: 07: 01: 00: 01: 01:

اگر ہم نے Tcpdump -E کیا ہے، حقیقت یہ ہے کہ پہلا پیکٹ نشر کیا جاتا ہے اور دوسرا پوائنٹ نقطہ نظر نظر آئے گا:

آر ایس ایس جی براڈکاسٹ 0806 64: آر ایس پی کونسل ہے جسے RTSG کہتے ہیں CSAM RTSG 0806 64: آر ایس ایس جواب سی ایس ایس ہے CSAM

پہلی پیکٹ کے لئے یہ کہتا ہے کہ ایتھرنیٹ ذریعہ ایڈریس ایڈریس RTSG ہے، منزل کا ایٹھریٹ براڈکاسٹ ایڈریس ہے، قسم کے فیلڈ میں موجود ہیلس 0806 (ETHER_ARP ٹائپ) اور کل لمبائی 64 بائٹس تھی.

ٹی سی پی پیکٹ

(این بی: مندرجہ ذیل وضاحت RFC-793 میں بیان کردہ ٹی سی پی پروٹوکول کے ساتھ واقفیت کو قبول کرتا ہے. اگر آپ پروٹوکول سے واقف نہیں ہیں تو، اور نہ ہی اس کی وضاحت اور نہ ہی Tcpdump آپ کو بہت زیادہ استعمال کرے گا.)

ایک ٹی سی پی پروٹوکول لائن کی عام شکل ہے:

ایس ایس ایس> ڈی ایس ایس: جھنگوں کے اعداد و شمار - سیمکنوک اکیک ونڈو فوری اختیارات

ایس آر سی اور ڈی ایس ایس ذریعہ اور منزل IP پتے اور بندرگاہوں ہیں. پرچم ایس (SYN)، F (FIN)، P (پوس) یا R (RST) یا سنگل `ے کے کچھ مجموعہ ہیں. (کوئی پرچم). ڈیٹا سیقنو اس پیکٹ میں اعداد و شمار سے متعلق ترتیب ترتیب کا حصہ بیان کرتا ہے (ذیل میں مثال کے طور پر ملاحظہ کریں). Ack اس کنکشن پر دوسرا سمت متوقع اگلے اعداد و شمار کی ترتیب نمبر ہے. اس سلسلے پر ونڈو دستیاب دوسری سمت موصول ہونے والے بفر اسپیکر کی بٹس کی تعداد ہے. Urg اشارہ کرتا ہے کہ پیکٹ میں 'فوری' ڈیٹا ہے. اختیارات کو زاویہ بریکٹ میں منسلک ٹی سی پی کے اختیارات ہیں (مثال کے طور پر ).

ایس آر سی، ڈی ایس اور پرچم ہمیشہ موجود ہیں. دیگر شعبوں کے پیکٹ کے ٹی سی پی پروٹوکول ہیڈر کے مواد پر منحصر ہے اور پیداوار صرف اس صورت میں ہے جب تک.

سی ایس ایس کی میزبانی کرنے کے لئے میزبان RTSG سے ایک ریلین کے افتتاحی حصہ یہاں موجود ہے.

rtsg.1023> csam.login: S 768512: 768512 (0) جیت 4096 <ایس ایس 1024> csam.login> rtsg.1023: S 947648: 947648 (0) آک 768513 جیت 4096 <ایس ایس 1024> rtsg.1023> سیمس. میں لاگ ان کریں: . Ack 1 جیت 4096 rtsg.1023> csam.login: P 1: 2 (1) ack 1 win 4096 csam.login> rtsg.1023:. Ack 2 win 4096 rtsg.1023> csam.login: P 2:21 (19) ack 1 win 4096 csam.login> rtsg.1023: p 1: 2 (1) ack 21 win 4077 csam.login> rtsg.1023: پی 2: 3 (1) پوائنٹ 21 جیت 4077 فوری 1 سیمسنگ .login> rtsg.1023: پی 3: 4 (1) ایکٹ 21 جیت 4077 فوری 1

پہلی سطر کا کہنا ہے کہ ٹی سی پی پورٹ 1023 نے ایس ایس ایس پر رتنگ پر بندرگاہ لاگ ان کو ایک پیکٹ بھیج دیا. ایس اشارہ کرتا ہے کہ ایس این این پرچم مقرر کیا گیا تھا. پیکیٹ ترتیب نمبر 768512 تھی اور اس میں کوئی ڈیٹا موجود نہیں تھا. (نوشن `سب سے پہلے ہے: آخری (نبیٹس) 'جس کا مطلب ہے' سب سے پہلے ترتیب ترتیب نمبر لیکن آخری شامل نہیں جس میں صارف کے اعداد و شمار کے nbytes بائٹ ہے. ') وہاں سورجی بیک بیک نہیں تھا، دستیاب موصول 4096 بائٹس تھا اور 1024 بائٹس کے ایم ایس ایس کی درخواست کرنے والے ایک زیادہ سے زیادہ طبقہ سائز اختیار تھا.

سی ایس ایس اسی طرح کے پیکٹ کے ساتھ جواب دیتے ہیں، اس کے علاوہ اس میں Rtsg کے SYN کے لئے سورجی بیکڈ ایکک شامل ہے. RTSG پھر سی ایس ایس کی SYN کی طرف اشارہ کرتا ہے. `. ' اس کا مطلب کوئی پرچم مقرر نہیں کیا گیا. پیکٹ میں کوئی ڈیٹا موجود نہیں ہے لہذا وہاں کوئی ڈیٹا ترتیب نمبر نہیں ہے. نوٹ کریں کہ ایکک ترتیب نمبر ایک چھوٹا سا انوزر ہے (1). پہلی بار tcpdump ایک TCP `بات چیت 'دیکھتا ہے، یہ پیکٹ سے ترتیب نمبر پرنٹ کرتا ہے. بات چیت کے بعد پیکٹوں پر، موجودہ پیکٹ کی ترتیب نمبر اور اس ابتدائی ترتیب نمبر کے درمیان فرق پرنٹ کیا جاتا ہے. اس کا مطلب یہ ہے کہ سب سے پہلے کے بعد ترتیب کے اعداد و شمار بات چیت کے اعداد و شمار کے سلسلے میں رشتہ دار بھوکے عہدوں کے طور پر تفسیر کی جا سکتی ہے (پہلے اعداد و شمار کے ساتھ ہر طرف `1 'جارہا ہے). `-S 'اس خصوصیت کو اوورائڈ کرے گا، جس میں اصل ترتیب نمبر پیداوار ہونے کے سبب بنائے گی.

6th لائن پر، RTSG ڈیٹا بیس کے 19 بائٹ بھیجتا ہے (بٹس 2 سے 20 rtsg میں - بات چیت کے سی ایس ایس کی طرف). پش پرچم پیکٹ میں مقرر کیا گیا ہے. 7th ویں لائن پر، سیم کا کہنا ہے کہ یہ اعداد و شمار کے ذریعے Rtsg تک بھیج دیا گیا ہے لیکن بائٹ بھی شامل نہیں ہے 21. اس اعداد و شمار کے زیادہ تر ساکٹ بفر میں بیٹھ کر چونکہ ایس ایس کے حاصل کردہ ونڈو نے ونڈوز حاصل کی ہے 19 بٹس چھوٹے. سی ایس ایس ڈیٹا بیس کے ایک بائٹ کو بھی اس پیکٹ میں rtsg بھیجتا ہے. 8 ویں اور 9 ویں لائنوں پر، سی ایس ایس کو فوری طور پر، دھکا دیا ڈیٹا کے دو بٹس بھیجتا ہے.

اگر سنیپ شاٹ کافی ہی چھوٹا تھا تو tcpdump مکمل TCP ہیڈر پر قبضہ نہیں کیا، اس کے طور پر زیادہ ہی ہیڈر کی تفسیر کرتا ہے اور اس کے بعد `` [| tcp ] '' باقی کی نشاندہی کرنے کے لئے تشریح نہیں کیا جا سکتا. اگر ہیڈر ایک باگس اختیار اختیار کرتا ہے (اس کی لمبائی یا اس سے زیادہ ہی ہیڈر کے اختتام تک ہے)، Tcpdump اسے `` [ خراب آپٹ ] '' کے طور پر رپورٹ کرتا ہے اور کسی اور اختیارات کی تفسیر نہیں کرتا ہے (کیونکہ یہ بتانا ناممکن ہے جہاں وہ شروع کرتے ہیں). اگر ہیڈر کی لمبائی کے اختیارات موجود ہیں تو آئی پی ڈییٹگرام لمبائی کافی عرصہ تک اختیارات کے لۓ کافی نہیں ہے، tcpdump اسے `` [ خراب HDR لمبائی ] '' کے طور پر رپورٹ کرتی ہے.

خاص طور پر پرچم کے مجموعے کے ساتھ ٹی سی پی پیکٹوں کو پکڑنے (SYN-ACK، URG-ACK، وغیرہ)

TCP ہیڈر کے کنٹرول بٹس سیکشن میں 8 بٹس ہیں:

CWR | ای سی ای | URG | ACK | پی ایس ایچ | آر ایس ایس | SYN | FIN

آتے ہیں کہ ہم ٹی سی پی کنکشن قائم کرنے میں استعمال ہونے والی پیکٹوں کو دیکھنا چاہتے ہیں. یاد رکھیں کہ ٹی سی سی 3-ہینڈ ورکیک پروٹوکول کا استعمال کرتا ہے جب یہ ایک نیا کنکشن شروع کرتا ہے؛ TCP کنٹرول بٹس کے سلسلے میں کنکشن ترتیب ہے

1) کالر SYN بھیجتا ہے

2) وصول کنندگان SYN، ACK کے ساتھ جواب دیتے ہیں

3) کالر ACK بھیجتا ہے

اب ہم پیکٹوں پر قابو پانے میں دلچسپی رکھتے ہیں جو صرف SYN بٹ سیٹ (مرحلے 1) ہے. نوٹ کریں کہ ہم 2 مرحلے سے پیکیٹ نہیں چاہتے ہیں (ایس این این - ACK)، صرف ایک سادہ ابتدائی SYN. ہمیں کیا ضرورت ہے tcpdump کے لئے ایک درست فلٹر اظہار ہے.

بغیر کسی اختیارات کے ٹی سی پی ہیڈر کی ساخت یاد رکھیں:

0 15 31 ----------------------------------------------- ------------------ | منبع پورٹ | منزل پورٹ | -------------------------------------------------- --------------- | ترتیب نمبر | -------------------------------------------------- --------------- | اعتراف نمبر | -------------------------------------------------- --------------- | ایچ ایل | rsvd | C | E | U | A | P | R | S | F | ونڈو کا سائز | -------------------------------------------------- --------------- | ٹی سی پی چیکس | فوری پوائنٹر | -------------------------------------------------- ---------------

ٹی ٹی سی ہیڈر عام طور پر ڈیٹا بیس کے 20 آکٹٹ رکھتا ہے، جب تک کہ اختیارات موجود نہیں ہیں. گراف کی پہلی سطر آکٹیٹ 0 - 3 پر مشتمل ہے، دوسری لائن آکٹیٹ 4 - 7 وغیرہ سے ظاہر ہوتا ہے.

0 کے ساتھ شمار کرنے کے لئے شروع، متعلقہ ٹی سی پی کنٹرول بٹس آکٹیٹ 13 میں موجود ہیں:

0 7 | 15 | 23 | 31 ---------------- | --------------- | --------------- | ---------------- | ایچ ایل | rsvd | C | E | U | A | P | R | S | F | ونڈو کا سائز | ---------------- | --------------- | --------------- | - --------------- | | 13th آکٹیٹ | | |

آکٹیٹ نمبر پر قریبی نظر آتے ہیں. 13:

| | | --------------- | | C | E | U | A | P | R | S | F | | --------------- | | 7 5 3 0 |

یہ TCP کنٹرول بٹس ہیں جو ہم دلچسپی رکھتا ہے. ہم اس آکٹیٹ میں 0 سے 7، بائیں دائیں سے بائیں شمار ہیں، تو پی ایس ایچ بٹ تھوڑا نمبر 3 ہے، جبکہ یو آر جی بٹ نمبر 5 ہے.

یاد رکھیں کہ ہم صرف SYN سیٹ کے ساتھ پیکیٹ پر قبضہ کرنا چاہتے ہیں. آئیے دیکھتے ہیں کہ آکٹیٹ 13 کا کیا ہوتا ہے اگر ٹی ٹی سی ڈیٹیٹگرام SYN تھوڑا سا اس کے ہیڈر میں سیٹ کے ساتھ آتا ہے:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 0 0 0 | | --------------- | | 7 6 5 4 3 2 1 0 |

کنٹرول بٹس سیکشن کو دیکھتے ہوئے ہم دیکھتے ہیں کہ صرف تھوڑا نمبر 1 (ایس این این) مقرر کیا گیا ہے.

یہ سمجھتے ہیں کہ آکٹیٹ نمبر 13 نیٹ ورک بائٹ آرڈر میں ایک 8 بٹ غیر آئین شدہ اشارے ہے، اس آکٹیٹ کے بائنری قیمت ہے.

00000010

اور اس کی بارش کی نمائندگی ہے

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 2

ہم تقریبا کام کر رہے ہیں، کیونکہ اب ہم جانتے ہیں کہ اگر صرف SYN مقرر کیا جاتا ہے تو، ٹی ٹی پی ہیڈر میں 13th آکٹیٹ کی قدر، جب نیٹ ورک بائٹ آرڈر میں 8 بٹ غیر آئندہ شدہ انترج کی حیثیت سے تفسیر ہو تو، ضرور 2.

اس تعلقات کا اظہار کیا جا سکتا ہے

TCP [13] == 2

ہم اس اظہار کو استعمال کرسکتے ہیں کیونکہ ٹی سی پیمپ کے فلٹر کے لئے صرف پیکٹوں کو دیکھنے کے لئے جو صرف SYN سیٹ ہے.

tcpdump -i xl0 tcp [13] == 2

اظہار کا کہنا ہے کہ "ایک ٹی سی پی ڈیٹیٹگرام کے 13 ویں اوٹیٹ میں ڈیڈیم قیمت 2" ہے، جو بالکل وہی ہے جو ہم چاہتے ہیں.

اب، ہم سمجھتے ہیں کہ ہمیں SYN پیکٹوں پر قبضہ کرنے کی ضرورت ہے، لیکن ہم اس کی پرواہ نہیں کرتے ہیں کہ ACK یا کسی دوسرے ٹی سی پی کنٹرول بٹ کو ایک ہی وقت میں مقرر کیا جائے. آتے ہیں کہ آکٹیٹ 13 کے بارے میں کیا ہوتا ہے جب SYN-ACK سیٹ کے ساتھ TCP ڈیٹاگرام آتا ہے:

| C | E | U | A | P | R | S | F | | --------------- | 0 0 0 0 0 0 0 | --------------- | | 7 6 5 4 3 2 1 0 |

اب بٹس 1 اور 4 13th آکٹیٹ میں قائم ہیں. آکٹیٹ 13 کی بائنری قیمت ہے

00010010

جس میں ڈس کلیمر کا ترجمہ ہے

7 6 5 4 3 2 1 0 0 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 + 0 * 2 + 1 * 2 + 0 * 2 = 18

اب ہم 'tcp [13] == 18' کو صرف tcpdump فلٹر اظہار میں استعمال نہیں کر سکتے ہیں، کیونکہ وہ صرف ان پیکٹوں کو منتخب کریں گے جو SYN-ACK سیٹ ہیں، لیکن وہ صرف SYN سیٹ کے ساتھ نہیں ہیں. یاد رکھیں کہ ہم پرواہ نہیں کرتے ہیں کہ اگر ACK یا کسی دوسرے کنٹینٹ بٹ کو سیٹ کیا جاتا ہے جب تک کہ SYN مقرر ہوجائے.

ہمارے مقصد کو حاصل کرنے کے لئے، ہمیں منطقی طور پر اور آٹھ سیٹ کے بائنری قدر SYN تھوڑا سا بچانے کے لئے کچھ اور قیمت کے ساتھ کی ضرورت ہے. ہم جانتے ہیں کہ ہم کسی بھی صورت میں SYN کو مقرر کرنا چاہتے ہیں، لہذا ہم منطقانہ طور پر اور 13 ویں آکٹٹ میں قیمت SYN کے بائنری قیمت کے ساتھ کریں گے:

00010010 SYN-ACK 00000010 SYN اور 00000010 (ہم SYN چاہتے ہیں اور 00000010 (ہم SYN چاہتے ہیں) -------- -------- = 00000010 = 00000010

ہم دیکھتے ہیں کہ یہ اور آپریشن اسی نتیجہ سے بچاتا ہے کہ آیا ACK یا کسی دوسرے ٹی سی سی کنٹرول تھوڑا سا مقرر کیا جائے گا. AND قدر کی بیزاری نمائندگی کے ساتھ ساتھ اس آپریشن کے نتیجے میں 2 (بائنری 00000010) ہے، لہذا ہم جانتے ہیں کہ SYN کے ساتھ پیکٹوں کے لئے مندرجہ ذیل رشتہ قائم کرنا صحیح ہے.

((اوکیٹ 13 کی قیمت) اور (2)) == (2)

یہ ہمیں tcpdump فلٹر اظہار پر اشارہ کرتا ہے

tcpdump -i xl0 'tcp [13] & 2 == 2'

نوٹ کریں کہ آپ کو شیل سے AND ('&') خاص کردار کو چھپانے کے لئے اظہار میں اکیلے ایک کوٹ یا بیک بیک اپ استعمال کرنا چاہئے.

UDP پیکٹ

اس پی ایچ پی کے پیکٹ کی طرف سے UDP فارمیٹ کی وضاحت کی گئی ہے:

actinide.who> نشر کریں .ho: udp 84

یہ کہتا ہے کہ بندرگاہ جو میزبان ایٹینائڈ پر میزبان نشریات پر بندرگاہ پر ایک udp ڈاٹگرام بھیجتا ہے، انٹرنیٹ براڈ براڈ کاسٹ ایڈریس. پیکٹ میں صارف کی ڈیٹا کی 84 بٹس شامل ہیں.

کچھ UDP کی خدمات کو تسلیم کیا جاتا ہے (ماخذ یا منزل مقصود پورٹ نمبر) اور ہائی سطح پر پروٹوکول کی معلومات پرنٹ. خاص طور پر، ڈومین نام سروس کی درخواستوں (آر ایف سی -1034 / 1035) اور سورج آر پی سی کالز (آر ایف سی -1050) این ایف ایس میں.

UDP نام سرور کی درخواستیں

(این بی: مندرجہ ذیل وضاحت RFC-1035 میں بیان کردہ ڈومین سروس پروٹوکول کے ساتھ واقفیت کو قبول کرتا ہے. اگر آپ پروٹوکول سے واقف نہیں ہیں تو، مندرجہ بالا بیان میں یوکرائن میں لکھا جائے گا.)

نام سرور کی درخواستوں کے طور پر فارمیٹ کی جاتی ہیں

src = dst: id op؟ پرچم QType qclass نام (لین) h2opolo.1538> helios.domain: 3 + ایک؟ ucbvax.berkeley.edu. (37)

میزبان H2opolo نام ایڈریس ریکارڈ کے لئے ہیلوس پر ڈومین سرور سے پوچھا (qtype = A) ucbvax.berkeley.edu کے ساتھ منسلک . سوال کی شناخت `3 'تھی. `+ 'کی طرف اشارہ کرتا ہے جس میں دوبارہ پرچم مقرر کیا گیا تھا. سوال کی لمبائی 37 بائٹس تھی، جن میں UDP اور آئی پی پروٹوکول ہیڈر شامل نہیں ہیں. سوال کا عمل معمولی ایک تھا، سوال ، لہذا آپشن فیلڈ کو اتار دیا گیا تھا. اگر اختتام کچھ اور تھا تو، `` 3 اور `+ 'کے درمیان پرنٹ کیا جائے گا. اسی طرح، qclass عام ایک، C_IN تھا ، اور اتار دیا. کسی دوسرے qclass `A 'کے فورا بعد پرنٹ کیا جائے گا.

کچھ تجزیے کی جانچ پڑتال کی جاتی ہے اور اس کے نتیجے میں اضافی شعبوں میں مربع بریکٹ شامل ہیں: اگر کوئی سوال جواب میں، اتھارٹی ریکارڈز یا اضافی ریکارڈ سیکشن، اکاؤنٹس ، نچاس ، یا آرکیٹ کو پرنٹ کیا جاتا ہے `` n ']'، `[n ] 'یا `[au]' جہاں مناسب نمبر ہے. اگر کسی بھی جواب کے بٹس مقرر کئے جاتے ہیں (اے اے، RA یا Rcode) یا `صفر ہونا چاہئے 'بٹس بٹس میں دو اور تین سیٹ کیے جائیں گے،` [b2 & 3 = x ]' پرنٹ کیا جاتا ہے، جہاں ایکس ایکس ایکس ایکس ہیڈر بٹس دو اور تین.

UDP نام سرور کے جوابات

نام سرور کے جوابات کے طور پر فارمیٹ کی جاتی ہیں

src = dst: id op rcode flags a / n / au type class data (len) helios.domain> h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273) helios.domain> h2opolo.1537: 2 NXDomain * 0/1/0 (97)

پہلی مثال میں، ہیلیو نے H2opolo سے 3 جواب ریکارڈ، 3 نام سرور ریکارڈ اور 7 اضافی ریکارڈز کے ساتھ سوال ID 3 کے سوال کا جواب دیا. پہلا جواب ریکارڈ قسم A (ایڈریس) ہے اور اس کا ڈیٹا انٹرنیٹ ایڈریس 128.32.137.3 ہے. جواب کے کل سائز 273 بائٹس تھے، UDP اور آئی پی ہیڈرز کو چھوڑ کر. اخت (سوال) اور جواب کوڈ (NoError) کو اتار دیا گیا تھا، جیسا کہ A ریکارڈ کی کلاس (C_IN) تھی.

دوسرا مثال میں، ہیلوس غیر حاضر ڈومین (این ایکس ایکسومین) کے جوابی کوڈ کے ساتھ سوال 2 پر جواب دیتا ہے، کوئی جواب نہیں، ایک نام سرور اور کوئی اختیار ریکارڈ نہیں ہے. `* 'سے پتہ چلتا ہے کہ مستند جواب سا مقرر کیا گیا تھا. چونکہ کوئی جواب نہیں تھے، کوئی قسم، کلاس یا ڈیٹا چھپی ہوئی.

دوسرے پرچم والے حروف جو ظاہر ہو سکتے ہیں `- '(دوبارہ تلاوت دستیاب، RA، نہیں مقرر) اور` |' (ٹرانسمیشن پیغام، ٹی سی، سیٹ). اگر `سوال 'کے حصے میں بالکل ایک اندراج نہیں ہے تو،` [ ن q]' چھپی ہوئی ہے.

نوٹ کریں کہ نام سرور کی درخواستیں اور جوابات بڑے ہوتے ہیں اور 68 بٹس کی ڈیفالٹ سنیپلیٹ پرنٹ کرنے کے لئے کافی پیکٹ پر قبضہ نہیں کرسکتے ہیں. اگر آپ سنجیدہ طور پر نام سرور ٹریفک کی تحقیقات کرنے کی ضرورت ہے تو اس تصویر کو بڑھانے کے لئے -S پرچم استعمال کریں. ` 128 'نے میرے لئے اچھا کام کیا ہے.

SMB / CIFS ڈسنگ

tcpdump اب UDP / 137، UDP / 138 اور TCP / 139 پر اعداد و شمار کے لئے کافی وسیع پیمانے پر SMB / CIFS / NBT ڈسپوزنگ شامل ہے. آئی پی ایکس اور NetBEUI SMB ڈیٹا کے کچھ ابتدائی کوڈنگ بھی کیا جاتا ہے.

پہلے سے طے شدہ طور پر ایک کم سے کم ڈوڈڈ کیا جاتا ہے، اگر استعمال کیا جاتا ہے تو زیادہ تفصیلی ڈوڈ کے ساتھ. خبردار کیا جاسکے کہ واحد SMB پیکٹ ایک صفحہ یا زیادہ ہوسکتا ہے، لہذا صرف اس کا استعمال کرتے ہیں- وی اگر آپ واقعی تمام گوری تفصیلات چاہتے ہیں.

اگر آپ یونیسیڈ ڈور پر مشتمل SMB سیشن ضابطہ کر رہے ہیں تو آپ ماحول ماحول متغیر کرنے کے لئے چاہتے ہیں USE_UNICODE 1. ایک یونیسیڈ کی چشموں کو خود کار طریقے سے پتہ لگانے کا ایک پیچ خوش آمدید ہو گا.

SMB پیکٹ فارمیٹیٹس اور آپ کے تمام پسندیدہ شعبوں کے بارے میں معلومات کے لئے www.cifs.org یا pub / samba / specs / directory آپ کے پسندیدہ samba.org آئینہ سائٹ پر دیکھیں. ایس بی ایم پیچ اینڈریو ٹرڈگل (tridge@samba.org) کی طرف سے لکھا گیا تھا.

این ایف ایس کی درخواستیں اور جواب

سورج این ایف ایس (نیٹ ورک فائل سسٹم) کے درخواستوں اور جوابات پرنٹ کئے گئے ہیں:

src.xid> dst.nfs: len op args src.nfs> dst.xid: stat len ​​op کے نتائج جواب sushi.6709> wrl.nfs: 112 readlink fh 21،24 / 10.73165 wrl.nfs> sushi.6709: جواب ٹھیک ہے 40 پڑھنے والی لنک ../var "سشی.201.201b> wrl.nfs: 144 نظر آتے ہیں 9،74 / 4096.6878" xcolors "wrl.nfs> سشی.201.201b: جواب دیں 128 128 اپ ڈیٹ کریں fh 9،74 / 4134.3150

پہلی لائن میں، میزبان سشی نے 6 6 6 9 کے ساتھ قربانی کرنے کے لئے ایک ٹرانزیکشن بھیج دیا (نوٹ کریں کہ ایس سی ایس میزبان مندرجہ ذیل نمبر ایک ٹرانزیکشن کی شناخت ہے، ذریعہ پورٹ نہیں ہے). درخواست UDP اور آئی پی ہیڈرز کو چھوڑ کر 112 بائٹس تھی. آپریشن فائل فائل ہینڈل ( ایف ایچ ) 21،24 / 10.731657119 پر پڑھنے والا لنکس (علامتی لنک پڑھ) تھا. (اگر ایک خوش قسمت ہے تو، اس معاملے میں، فائل ہینڈل ایک بڑے، معمولی آلہ نمبر جوڑی کے بعد، انوڈ نمبر اور نسل نمبر کے طور پر تفسیر کی جا سکتی ہے.) جواب کے مواد کے ساتھ غلط جواب `ٹھیک '.

تیسری سطر میں، سشی نے ڈویلپر فائل 9،74 / 4096.6878 میں ' ایکسچیکل ' کا نام تلاش کرنے کے لئے کشتی سے پوچھتا ہے. نوٹ کریں کہ چھپی ہوئی اعدادوشمار آپریشن کی قسم پر منحصر ہے. اگرچہ این ایف ایس پروٹوکول کی نمائش کے ساتھ مل کر پڑھتے ہیں تو فارمیٹ خود تشہیر بنانا چاہتا ہے.

اگر -V (verbose) پرچم دیا جاتا ہے تو، اضافی معلومات پرنٹ کی جاتی ہے. مثال کے طور پر:

سشی.1372a> wrl.nfs: 148 پڑھ fh 21،11 / 12.195 8192 بائٹس @ 24576 wrl.nfs> sushi.1372a: جواب ٹھیک 1472 ریگ 100664 ایڈ 417/0 ایسز 29388 پڑھیں

(-v آئی پی ہیڈر TTL، ID، لمبائی اور ٹکڑے ٹکڑے کے شعبوں کو بھی پرنٹ کرتا ہے، جو اس مثال سے نکال دیا گیا ہے.) پہلی سطر میں، سشی نے 8192 بائٹس کو فائل 21،11 / 12.195 سے پڑھی ہے، بائٹ آفسیٹ پر 24576. غلط جوابات `ٹھیک '؛ دوسری سطر پر دکھایا گیا پیکٹ کا پہلا ٹکڑا جواب کا پہلا ٹکڑا ہے، لہذا صرف 1472 بائٹ لمبی ہے (اگلے حصے میں دوسرے بٹس کی پیروی کریں گی، لیکن یہ ٹکڑے ٹکڑے این ایف ایس یا یہاں تک کہ یو ڈی ڈی ہیڈر نہیں ہیں اور اس سے بھی پرنٹ نہیں کیا جا سکتا ہے، استعمال کیا جاتا فلٹر اظہار پر منحصر ہے). کیونکہ -V پرچم دیا جاتا ہے، کچھ فائل کی خاصیت (جو فائل کے اعداد و شمار کے علاوہ واپس آتے ہیں) پرنٹ کیے جاتے ہیں: فائل کی قسم (`` REG ''، باقاعدگی سے فائل کے لئے)، فائل موڈ (آکٹٹ میں) uid اور gid، اور فائل کا سائز.

اگر -V پرچم ایک بار سے زیادہ دیا جاتا ہے تو، یہاں تک کہ مزید تفصیلات پرنٹ کی جاتی ہیں.

نوٹ کریں کہ این ایف ایس کی درخواستیں بہت بڑی ہیں اور بہت زیادہ تفصیل پرنٹ نہیں کی جائے گی جب تک کہ سنیپلن میں اضافہ نہ ہو. این ایف ایس ٹریفک دیکھنے کے لئے ` -192 'کا استعمال کرنے کی کوشش کریں.

NFS جواب پیکٹوں کو واضح طور پر RPC آپریشن کی نشاندہی نہیں ہے. اس کے بجائے، tcpdump `` حالیہ 'کی درخواستوں کا سراغ لگاتا ہے، اور ٹرانزیکشن کی شناخت کے ذریعے ان کے جوابات سے ملتا ہے. اگر جواب کسی بھی متعلقہ درخواست کی پیروی نہیں کرتا تو یہ ممکن نہیں ہوسکتا.

AFS کی درخواستیں اور جوابات

ٹرانسارک اے ایف ایس (اینڈریو فائل سسٹم) کی درخواستوں اور جوابات پرنٹ کئے گئے ہیں:

src.sport> dst.dport: rx packet type src.sport> dst.dport: rx packet-type service call call-name argssport> dst.dport: rx packet-type service reply call-name args elvis. 7001> pike.afsfs: RX ڈیٹا FS کال پرانے فڈ کا نام تبدیل کریں 536876964/1/1 ".newsrc.new" نئے فڈ 536876964/1/1 ".newsrc" pike.afsfs> elvis 7001: rx ڈیٹا ایف ایس جواب کا نام تبدیل

پہلی سطر میں، میزبان ایلیس نے پکی پر RX پیکٹ بھیجے ہیں. یہ ایف ایکس (فائلورور) سروس میں ایک RX ڈیٹا پیکٹ تھا، اور آر پی سی کال کی شروعات ہے. آر پی سی کال کا نام تبدیل کیا گیا تھا، پرانی ڈائرکٹری فائل آئی ڈی 536876964/1/1 اور ''newsrc.new' کے ایک پرانا فائل نام، اور 536876964/1/1 کی ایک نیا ڈائرکٹری فائل اور `` کے ایک نیا نام کا نام. newsrc '. میزبان کی پائیدار کا نام تبدیل کرنے والی کال کے جواب میں آر پی سی کے جواب کے ساتھ جواب دیا گیا ہے (جس کا کامیاب تھا، کیونکہ یہ ایک ڈیٹا پیکٹ تھا اور نہ ہی ایک حرمت پیکٹ).

عام طور پر، تمام افواج آر پی سی کم از کم آر پی سی کے کال کا نام کی طرف سے کم از کم ڈیمو کر رہے ہیں. زیادہ تر اے ایف ایس آر پی سی کم از کم کچھ دلائل ہیں (عام طور پر صرف 'دلچسپ' دلائل، دلچسپ کی تعریف کے لئے).

فارمیٹ خود کار طریقے سے بیان کرنے کا ارادہ رکھتا ہے، لیکن شاید ان لوگوں کے لئے یہ فائدہ مند نہیں ہوگا جو AFS اور RX کے کاموں سے واقف نہیں ہیں.

اگر -V (verbose) پرچم دو مرتبہ دیا جاتا ہے تو، تسلیم شدہ پیکٹ اور اضافی ہیڈر کی معلومات پرنٹ کی جاتی ہے، جیسے آر ایکس کال ID، کال نمبر، ترتیب نمبر، سیریل نمبر، اور RX پیکٹ جھنڈا.

اگر -v پرچم دو بار دیا جاتا ہے تو، اضافی معلومات پرنٹ کی جاتی ہے، جیسے RX کال کی شناخت، سیریل نمبر، اور RX پیکٹ پرچم. MTU مذاکرات کی معلومات بھی RX Ack پیکٹوں سے چھپی ہوئی ہے.

اگر -v پرچم کو تین بار دیا جاتا ہے تو، سیکورٹی انڈیکس اور سروس کی شناخت کی جاتی ہے.

غلطی کوڈز پرور پیکٹوں کے لئے پرنٹ کیا جاتا ہے، یوبی بیکن پیکٹوں کے استثناء کے ساتھ (کیونکہ ابڑے پیکٹوں کو یوبی پروٹوکول کے لئے ہاں ووٹ کی نشاندہی کرنے کے لئے استعمال کیا جاتا ہے).

نوٹ کریں کہ اے ایف ایس کی درخواستیں بہت بڑی ہیں اور بہت سے دلائل پرنٹ نہیں کیے جائیں گے جب تک کہ سنیپلن میں اضافہ نہ ہو. AFS ٹریفک کو دیکھنے کے لئے ` 256 'کا استعمال کرنے کی کوشش کریں.

AFS جواب پیکٹوں کو واضح طور پر RPC آپریشن کی نشاندہی نہیں ہے. اس کے بجائے، Tcpdump `` حالیہ '' درخواستوں کا سراغ لگاتا ہے، اور کال نمبر اور سروس کی شناخت کا استعمال کرکے ان سے ملتا ہے. اگر جواب کسی بھی متعلقہ درخواست کی پیروی نہیں کرتا تو یہ ممکن نہیں ہوسکتا.

کیپ ایپلٹک (یو ڈی ڈی میں ڈی ڈی ڈی)

UDP ڈیٹاگرام میں الگ کردہ Appletalk ڈی ڈی ڈی پیکٹ ڈی ڈی ڈی پی پیکٹ کے طور پر خارج کر دیا اور ڈمپ کیے گئے ہیں (یعنی، تمام UDP ہیڈر کی معلومات کو مسترد کر دیا گیا ہے). فائل /etc/atalk.names کے نام کے نام کے لئے نیٹ اور نوڈ نمبرز ترجمہ کرنے کے لئے استعمال کیا جاتا ہے. اس فائل میں لائنز کی شکل ہے

نمبر نام 1.254 ایتھر 16.1 ixd نیٹ 1.254.110 ace

پہلی دو لائنز ایپلپل نیٹ ورک کے ناموں کو دیتے ہیں. تیسری سطر کسی خاص میزبان کا نام دیتا ہے (میزبان نیٹ ورک سے نمبر میں تیسری آکٹیٹ کی طرف سے ممتاز ہے - نیٹ نمبر میں ہونا چاہئے دو آکٹس اور میزبان نمبر میں تین آکٹس ہونا چاہئے .) نمبر اور نام کو الگ کیا جاسکتا ہے. وائٹ اسپیس (ٹینک یا ٹیب) کی طرف سے. /etc/atalk.names فائل میں خالی لائنوں یا تبصرہ لائنز (`# 'سے شروع ہونے والی لائنیں) ہوسکتی ہیں.

Appletalk ایڈریس فارم میں چھپی ہوئی ہیں:

net.host.port 144.1.209.2> icsd-net.112.220 office.2> icsd-net.112.220 jssmag.149.235> icsd-net.2

(اگر /etc/atalk.names موجود نہیں ہے یا کچھ appletalk میزبان / خالص نمبر کے لئے اندراج شامل نہیں ہے، پتوں کو عددی فارم میں پرنٹ کیا جاتا ہے.) پہلی مثال میں، این بی پی (ڈی ڈی ڈی پورٹ 2) نیٹ 144.1 پر نوڈ 209 نیٹ ورک جو نیٹ ورک کے نوڈ 112 کے بارے میں سن رہا ہے اس کو بھیج رہا ہے 112. دوسری لائن ایک ہی ہے مگر ذریعہ نوڈ کے مکمل نام سے جانا جاتا ہے (`آفس '). تیسری لائن پورٹ 235 سے نیٹ جاسمگ نوڈ 149 پر بھیجنے کے لئے ہے- نیٹ نیٹ نیٹ ورک پر نشر کرنے کے لئے (نوٹ کریں کہ نشریات کا پتہ (255) کسی میزبان نمبر کے ساتھ خالص نام سے اشارہ نہیں کیا جاتا ہے - اس وجہ سے یہ ایک اچھا خیال ہے /etc/atalk.names میں الگ نوڈ نام اور خالص نام رکھنے کے لئے).

این بی پی (نام پابند پروٹوکول) اور اے ٹی پی (Appletalk ٹرانزیکشن پروٹوکول) کے پیکٹوں نے ان کی مواد کی تشریح کی ہے. دیگر پروٹوکول صرف پروٹوکول کا نام ڈومپ (یا نمبر اگر پروٹوکول کے لئے کوئی نام درج نہیں کیا جاتا ہے) اور پیکٹ کا سائز.

مندرجہ بالا مثال کے طور پر این بی پی پیکٹوں کی شکلیں بنائی جاتی ہیں:

ixd-net.112.220> jssmag.2: nbp-lkup 190: "=: لیزر وائٹر @ *" jssmag.209.2> icsd-net.112.220: این بی پی-جواب 190: "RM1140: لیزر وائٹر @ *" 250 ٹیکچیٹس.> icsd اینٹ 1212.220: این بی پی-جواب 190: "ٹیکچپٹ: لیزر وائٹر @ *" 186

پہلی لائن نیٹ ورک کے میزبان 112 کے ذریعہ بھیجے گئے لیزر مصنفوں کے لئے ایک نامی لیونپ کی درخواست ہے اور نیٹ جے ایس ایم ایس پر نشر کیا جاتا ہے. تلاش کے لئے این بی پی آئی ڈی 190 ہے. دوسری لائن میزبان jssmag.209 سے یہ درخواست کے لئے ایک جواب ظاہر کرتا ہے (یہ بتانا کہ) اس کے پاس ایک لیزر مصنف کے ذریعہ ہے جس میں "RM1140" پورٹ 250 پر رجسٹرڈ ہے. تیسرے نمبر پر لائن ایک ہی درخواست کے لئے ایک اور جواب ہے کہ میزبان ٹیکچیٹیٹ نے 186 186 پر رجسٹرزر "ٹیکچیٹ" درج کیا ہے.

مندرجہ ذیل مثال کے مطابق ATP پیکٹ فارمیٹنگ کا مظاہرہ کیا جاتا ہے:

jssmag.209.165> helios.132: atp-req 12266 <0-7> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 0 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 1 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 2 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios.132> jssmag.209.165: atp- resp 12266: 4 (512) 0xae040000 ہیلیو 1.32> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 helios.132> jssmag.209.165: atp-resp 12266: 6 (512) 0xae040000 helios.132> jssmag. 209.165: atp-resp * 12266: 7 (512) 0xae040000 jssmag.209.165> ہیلیوس32: atp-req 12266 <3،5> 0xae030001 helios.132> jssmag.209.165: atp-resp 12266: 3 (512) 0xae040000 helios .132> jssmag.209.165: atp-resp 12266: 5 (512) 0xae040000 jssmag.209.165> helios.132: atp-rel 12266 <0-7> 0xae030001 jssmag.209.133> helios.132: atp-req * 12267 <0 -7> 0xae030002

Jssmag.209 8 پیکٹوں (`` 0-7> ') کی درخواست کرتے ہوئے میزبان ہیلیو کے ساتھ ٹرانزیکشن ID 12266 شروع کرتا ہے. لائن کے اختتام پر ہییکس نمبر درخواست میں `صارف ڈیٹا 'فیلڈ کی قدر ہے.

ہیلیوس نے 8 512 بائٹ پیکیٹ کے ساتھ جواب دیا. ٹرانزیکشن کی شناخت کے بعد `digit 'مندرجہ بالا ٹرانزیکشن میں پیکٹ ترتیب دیتا ہے اور پیرس میں نمبر پیکٹ میں اعداد و شمار کی مقدار ہے، جس میں اے پی پی ہیڈر شامل ہے. پیکٹ 7 پر `* 'سے پتہ چلتا ہے کہ EOM بٹ مقرر کیا گیا تھا.

Jssmag.209 پھر درخواست کرتا ہے کہ 3 اور 5 پیکیٹ دوبارہ رجسٹرڈ ہوں. اس کے بعد ہیلس نے اس کا استقبال کیا، اس کے بعد Jssmag.209 ٹرانزیکشن جاری کرتا ہے. آخر میں، jssmag.209 اگلی درخواست شروع. درخواست پر `* 'سے پتہ چلتا ہے کہ XO (` بالکل ایک بار') مقرر نہیں کیا گیا تھا.

آئی پی فرجمنٹ

منجمد انٹرنیٹ ڈیٹاگرام پرنٹ کیا جاتا ہے

(باگ ID : سائز @ آفسیٹ +) (باگ ID : سائز @ آفسیٹ )

(پہلا فارم یہ بتاتا ہے کہ وہاں زیادہ ٹکڑے ٹکڑے ہیں. دوسرا اشارہ آخری ٹکڑا ہے.)

آئی ڈی ٹکڑے ٹکڑے آئی ڈی ہے. آئی پی ہیڈر کے سائز میں ٹکڑا ٹکڑا (بائٹ میں) ہے. آفسیٹ یہ ٹکڑا آفسیٹ ہے (بٹس میں) اصل ڈیٹاگرام میں.

ٹکڑا ہر ایک ٹکڑے کے لئے معلومات کی پیداوار ہے. پروٹوکول کی معلومات کے بعد پہلا ٹکڑا اعلی درجے کی پروٹوکول ہیڈر پر مشتمل ہوتا ہے اور اس کے فر معلومات کو پرنٹ کیا جاتا ہے. سب سے پہلے کے بعد ٹکڑے ٹکڑے کوئی اعلی درجے کی پروٹوکول ہیڈر پر مشتمل نہیں ہیں اور ذریعہ اور منزل پتے کے پتے کے بعد ذرا معلومات پرنٹ کی جاتی ہیں. مثال کے طور پر، یہاں CSNET کنکشن پر lbl-rtsg.ARpa سے arizona.edu سے ایک فوٹ پی کا حصہ ہے جس میں 576 بائٹ ڈیٹاگرام کو ہینڈل کرنے کے لئے ظاہر نہیں ہوتا ہے:

آرزوونا.فت پی ڈیٹا> rtsg.1170:. 1024: 1332 (308) آک 1 جیت 4096 (بک 595 الف: 328 @ 0 +) آرزونا> رٹسگ: (5،55 الف: 204 @ 328) آرٹسونا 1170> آرزونا.فت پی ڈیٹا:. ایکک 1536 جیت 2560

یہاں نوٹ کرنے کے لئے کچھ چیزیں ہیں: سب سے پہلے، دوسری لائن میں پتے پورٹ پورٹ نمبر شامل نہیں ہیں. یہ وجہ ہے کہ ٹی سی پی پروٹوکول کی معلومات سبھی پہلی ٹکڑے میں ہے اور ہم اس بات کو نہیں سمجھتے کہ بندرگاہ یا ترتیب نمبر کب ہم ٹکڑے ٹکڑے پرنٹ کرتے ہیں. دوسرا، پہلی سطر میں ٹی سی پی کی ترتیب کی معلومات پرنٹ کی گئی ہے جیسے اگر صارف کے اعداد و شمار کے 308 بٹس ہوتے ہیں تو، حقیقت میں، 512 بٹس ہیں (پہلے فرش میں 308 اور دوسرا نمبر 204). اگر آپ ترتیب کے سوراخ میں سوراخ کی تلاش کر رہے ہیں یا پیکٹوں کے ساتھ بیک اپ ملنے کی کوشش کر رہے ہیں، تو یہ آپ کو بیوقوف بنا سکتے ہیں.

آئی پی کے ساتھ ایک پیکٹ ٹکڑا نہیں پرچم نشان لگا دیا گیا ہے (ڈی ایف) .

Timestamps

ڈیفالٹ کے مطابق، سب آؤٹ پٹ لائنوں سے پہلے ٹائمسٹیمپ کے ذریعہ ہیں. ٹائمسٹیمپ فارم میں موجودہ گھڑی وقت ہے

hh: mm: ss.frac

اور دانی کے گھڑی کے طور پر درست ہے. ٹائمسٹیمپ اس وقت کی عکاس کرتا ہے جب دانی نے پہلے پیکٹ دیکھا. ایتھرنیٹ انٹرفیس نے تار سے پیکٹ کو ہٹا دیا اور جب کونے نے `نئی پیکٹ 'کی خدمت میں مداخلت کی ہے تو اس کے درمیان وقت کی حدود کے لئے اکاؤنٹ کی کوئی کوشش نہیں کی جاتی ہے.

بھی دیکھو

ٹریفک (1C)، نائٹ (4 پی)، بی پی ایف (4)، پی سی اے (3)

اہم: انسان کے کمانڈر ( ٪ انسان ) کا استعمال کریں کہ کس طرح کمانڈ آپ کے مخصوص کمپیوٹر پر استعمال کیا جاتا ہے.