【正文】 果數(shù)據(jù)包為ipv4或ipv6數(shù)據(jù)包并且其協(xié)議類型為 tcp,udp, 或icmp則與此對 應(yīng)的條件表達(dá)式為真) iso proto protocol 如果數(shù)據(jù)包的協(xié)議類型為isoosi協(xié)議棧中protocol協(xié)議, 則與此對應(yīng)的條件表達(dá)式為真.(nt: [初解]isoosi 網(wǎng)絡(luò)模型中每 層的具體協(xié)議與tcp/ip相應(yīng)層采用的協(xié)議不同. isoosi各層中的具體協(xié)議另需補(bǔ)充 ) protocol 可以是一個數(shù)字編號, 或以下名字中之一: clnp, esis, or isis. (nt: clnp, Connectionless Network Protocol, 這是OSI網(wǎng)絡(luò)模型中網(wǎng)絡(luò)層協(xié)議 , esis, isis 未知, 需補(bǔ)充) clnp, esis, isis 是以下表達(dá)的縮寫 iso proto p 其中p 是以上協(xié)議之一 l1, l2, iih, lsp, snp, csnp, psnp 為ISIS PDU 類型 的縮寫. (nt: ISIS PDU, Intermediate system to intermediate system Protocol Data Unit, 中間系統(tǒng)到 中間系統(tǒng)的協(xié)議數(shù)據(jù)單元. OSI(Open Systems Interconnection)網(wǎng)絡(luò)由終端系統(tǒng), 中間系統(tǒng)構(gòu)成. 終端系統(tǒng)指路由器, 而終端系統(tǒng)指用戶設(shè)備. 路由器形成的本地組稱之為39。 mpls 1024 表示: 過濾外層標(biāo)簽為100000 而層標(biāo)簽為1024的數(shù)據(jù)包 再如: mpls amp。. 該含義屬初步理解階段, 需補(bǔ)充). deet src host 如果數(shù)據(jù)包中DECNET源地址為host, 則與此對應(yīng)的條件表達(dá)式為真. (nt:deet, 由Digital Equipment Corporation 開發(fā), 最早用于PDP11 機(jī)器互聯(lián)的網(wǎng)絡(luò)協(xié)議) deet dst host 如果數(shù)據(jù)包中DECNET目的地址為host, 則與此對應(yīng)的條件表達(dá)式為真. (nt: deet 在上文已有說明) deet host host 如果數(shù)據(jù)包中DECNET目的地址或DECNET源地址為host, 則與此對應(yīng)的條件表達(dá)式為真. (nt: deet 在上文已有說明) ifname interface 如果數(shù)據(jù)包已被標(biāo)記為從指定的網(wǎng)絡(luò)接口中接收的, 則與此對應(yīng)的條件表達(dá)式為真. (此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) on interface 與 ifname interface 含義一致. rnr num 如果數(shù)據(jù)包已被標(biāo)記為匹配PF的規(guī)則, 則與此對應(yīng)的條件表達(dá)式為真. (此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) rulenum num 與 rulenum num 含義一致. reason code 如果數(shù)據(jù)包已被標(biāo)記為包含PF的匹配結(jié)果代碼, : match, badoffset, fragment, short, normalize, 以及memory. (此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) rset name 如果數(shù)據(jù)包已被標(biāo)記為匹配指定的規(guī)則集, 則與此對應(yīng)的條件表達(dá)式為真. (此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) ruleset name 與 rset name 含義一致. srnr num 如果數(shù)據(jù)包已被標(biāo)記為匹配指定的規(guī)則集中的特定規(guī)則(nt: specified PF rule number, 特定規(guī)則編號, 即特定規(guī)則), 則與此對應(yīng)的條件表達(dá)式為真.(此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) subrulenum num 與 srnr 含義一致. action act 如果包被記錄時(shí)PF會執(zhí)行act指定的動作, 則與此對應(yīng)的條件表達(dá)式為真. 有效的動作有: pass, block. (此選項(xiàng)只適用于被OpenBSD中pf程序做過標(biāo)記的包(nt: pf, packet filter, 可理解為OpenBSD中的防火墻程序)) ip, ip6, arp, rarp, atalk, aarp, deet, iso, stp, ipx, netbeui 與以下表達(dá)元含義一致: ether proto p p是以上協(xié)議中的一個. lat, moprc, mopdl 與以下表達(dá)元含義一致: ether proto p p是以上協(xié)議中的一個. 必須要注意的是tcpdump目前還不能分析這些協(xié)議. vlan [vlan_id] VLAN 數(shù)據(jù)包, 則與此對應(yīng)的條件表達(dá)式為真. (nt: VLAN, 虛擬網(wǎng)絡(luò)協(xié)議, 此協(xié)議用于不同網(wǎng)絡(luò)的之間的互聯(lián)).如果[vlan_id] 被指定, 則只有數(shù)據(jù)包含有指定的虛擬網(wǎng)絡(luò)id(vlan_id), 則與此對應(yīng)的條件表達(dá)式為真. 要注意的是, 對于VLAN數(shù)據(jù)包, 在表達(dá)式中遇到的第一個vlan關(guān)鍵字會改變表達(dá)式中接下來關(guān)鍵字所對應(yīng)數(shù)據(jù)包中數(shù)據(jù)的開始位置(即解碼偏移). 在VLAN網(wǎng)絡(luò)體系中過濾數(shù)據(jù)包時(shí), vlan [vlan_id]表達(dá)式可以被多次使用. 關(guān)鍵字vlan每出現(xiàn)一次都會增加4字節(jié)過濾偏移(nt: 過濾偏移, 可理解為上面的解碼偏移). 例如: vlan 100 amp。SNAP格式結(jié)構(gòu)39。SNAP格式 結(jié)構(gòu)39。fddi protocol arp39。any39。host39。網(wǎng)關(guān)地址39。)， 還有其他形式的表達(dá)元, 并且與上述表達(dá)元格式不同. 比如: gateway, broadcast, less, greater 以及算術(shù)表達(dá)式(nt: 其中每一個都算一種新的表達(dá)元). 下面將會對這些表達(dá)元進(jìn)行說明. 表達(dá)元之間還可以通過關(guān)鍵字and, or 以及 not 進(jìn)行連接, 從而可組成比較復(fù)雜的條件表達(dá)式. 比如,`host foo and not port ftp and not port ftpdata39。tr39。fddi39。(ip or arp orrarp) src foo39。39。 deet, Digital Equipment Corporation 開發(fā)的, 最早用于PDP11 機(jī)器互聯(lián)的網(wǎng)絡(luò)協(xié)議。cooked39。src foo39。host foo39。39。安靜39。混雜39。39。模式(promiscuous)下, 則無法在39。 后者的工作模式稱為傳輸模式 . 工作原理, 另需補(bǔ)充).需要注意的是, 在終端啟動tcpdump 時(shí), 可以為IPv4 ESP packets 設(shè)置密鑰(secret）. 可用于加密的算法包括descbc, 3descbc, blowfishcbc, rc3cbc, cast128cbc, 或者沒有(none).默認(rèn)的是descbc(nt: des, Data Encryption Standard, 數(shù)據(jù)加密標(biāo)準(zhǔn), 加密算法未知, 另需補(bǔ)充). secret 為用于ESP 的密鑰, 使用ASCII 字符串方式表達(dá). 如果以 0x 開頭, 的定義遵循RFC2406, 而不是 RFC1827. 并且, 此選項(xiàng)只是用來調(diào)試的, 不推薦以真實(shí)密鑰(secret)來使用該選項(xiàng), 因?yàn)檫@樣不安全: 在命令行中輸入的secret 可以被其他人通過ps 等命令查看到. 除了以上的語法格式(nt: 指spiipaddr algo:secret), 還可以在后面添加一個語法輸入文件名字供tcpdump 使用 (nt：即把spiipaddr algo:secret,... 中...換成一個語法文件名). 此文件在接受到第一個ESP　包時(shí)會打開此文件, 所以最好此時(shí)把賦予tcpdump 的一些特權(quán)取消(nt: 可理解為, 這樣防范之后, 當(dāng)該文件為惡意編寫時(shí),不至于造成過大損害). f 顯示外部的IPv4 地址時(shí)(nt: foreign IPv4 addresses, 可理解為, 非本機(jī)ip地址), 采用數(shù)字方式而不是名字. (此選項(xiàng)是用來對付Sun公司的NIS服務(wù)器的缺陷(nt: NIS, 網(wǎng)絡(luò)信息服務(wù), tcpdump 顯示外部地址的名字時(shí)會 用到她提供的名稱服務(wù)): 此NIS服務(wù)器在查詢非本地地址名字時(shí),常常會陷入無盡的查詢循環(huán)).由于對外部(foreign)IPv4地址的測試需要用到本地網(wǎng)絡(luò)接口(nt: tcpdump 抓包時(shí)用到的接口)及其IPv4 地址和網(wǎng)絡(luò)掩碼. 如果此地址或網(wǎng)絡(luò)掩碼不可用, 或者此接口根本就沒有設(shè)置相應(yīng)網(wǎng)絡(luò)地址和網(wǎng)絡(luò)掩碼(nt: linux 下的 39。capture39。類型的包數(shù)目(nt | rt: 如果不指定過濾條件, 其含義未知, 需補(bǔ)充). 在一些操作系統(tǒng)中, 此數(shù)目既包括與過濾條件匹配的數(shù)據(jù)包,也包括不匹配的, 并且與tcpdump是否對此包進(jìn)行過讀取和處理無關(guān)。 39。 如果啟動時(shí)帶上 c選項(xiàng), tcpdump只會抓取指定數(shù)目的數(shù)據(jù)包, 并且此過程也可被以上兩個信號中斷. 當(dāng)tcpdump 完成了數(shù)據(jù)包的抓取, 她會報(bào)告如下幾種數(shù)據(jù)包的數(shù)目: 39。39。39。的字符, 從而發(fā)送此信號. 不過, 在一些系統(tǒng)上, 如Mac OS X, 此字符默認(rèn)不 能被ctrl加T來觸發(fā), 不過可通過stty命令來打開此功能). 從網(wǎng)絡(luò)接口上讀取數(shù)據(jù)包也許需要特定的權(quán)限: 在支持NIT 或者 BPF 的SunOS 或者 : (nt: NIT, Network Interface Tap, 網(wǎng)絡(luò)接口分接頭. BPF, BSD Packet Filter, BSD 分組過濾器. 可理解為, 此二者分別提供了一種給應(yīng)用輸送指定數(shù)據(jù)包的機(jī)制, 不過BPF 可過濾網(wǎng)絡(luò)接口上進(jìn)入和發(fā)出的數(shù)據(jù)包, 而NIT只能過濾進(jìn)入的數(shù)據(jù)包) tcpdump需要對/dev/nit 和/dev/bpf* 文件有讀的權(quán)限 在支持DLPI 的Solaris 操作系統(tǒng)上: (nt: DLPI, Data Link Provider Interface, 可理解為, 對數(shù)據(jù)鏈路層向上層所提供功能的一個統(tǒng)一的描述. Solaris 為Sun Microsystems公司組裝的一種UNIX 操作系統(tǒng)) 此時(shí), tcpdump 必須具有虛擬網(wǎng)絡(luò)接口(nt: pseudo device, 虛擬網(wǎng)絡(luò)接口, 可以理解成linux 系統(tǒng)下的any 網(wǎng)絡(luò)接口, 即通過此接口可抓到系統(tǒng)中所有接口上的數(shù)據(jù)包), 比如, /dev/le. 不過在有的Solaris 版本中, 擁有讀寫這個虛擬接口的權(quán)限還不足以使tcpdump 工作在混雜模式(nt: promiscuous mode), 從而也就不能真正使用上這個虛擬網(wǎng)絡(luò)接口(nt: 可理解為, tcpdump能工作在混雜模式是能從虛擬網(wǎng)絡(luò)接口接收數(shù)據(jù)包的另一個必要條件,而單擁有對此接口的讀寫權(quán)限還不夠). 在支持DLPI 的HPUX 操作系統(tǒng)上: (nt: HPUX, Hewlett Packard UniX, 惠普公司開發(fā)的一種UNIX 操作系統(tǒng), 源于UNIX System V 操作系統(tǒng), 而后者又源自于BSD UNIX 系統(tǒng). DLPI, 上文已有其說明) tcpdump 必須以root 身份來運(yùn)行, 或者tcpdump 可執(zhí)行程序文件被設(shè)置了 setuid標(biāo)志.(nt: 一個程序文件如果被設(shè)置了 setuid標(biāo)志, 運(yùn)行時(shí)該程序會擁有root權(quán)限) 在支持網(wǎng)絡(luò)偵聽的 IRIX 操作系統(tǒng)上: (nt: IRIX, Silicon Graphics公司(美國硅圖公司)開發(fā)的一種UNIX 操作系統(tǒng), 源于UNIX System V 操作系統(tǒng).) tcpdump 必須以root 身份來運(yùn)行, 或者tcpdump 可執(zhí)行程序文件被設(shè)置了 setuid標(biāo)志. 在LINUX 操作系統(tǒng)上: tcpdump 必須以root 身份來運(yùn)行, 或者tcpdump 可執(zhí)行程序文件被設(shè)置了 setuid標(biāo)志(不過, 在以下情況下可不要求root 權(quán)限: 所使用的發(fā)布版本中的內(nèi)核支持 CAP_NET_RA