Tcpdump: উদাহরণ, বিকল্প, এবং আরো

Anonim

Tcpdump একটি লিনাক্স অপারেটিং সিস্টেম (ওএস) -এ ব্যবহৃত একটি কমান্ড যা নেটওয়ার্ক অ্যাডাপ্টারের মাধ্যমে পাস করা TCP / IP প্যাকেটগুলি সংগ্রহ করে। প্যাকেট স্নিফার টুলের মতোই, tcpdump কেবল নেটওয়ার্ক ট্র্যাফিক বিশ্লেষণ করতে পারে না তবে এটি একটি ফাইলে সংরক্ষণ করতে পারে।

ডিফল্টরূপে অপারেটিং সিস্টেম দ্বারা সরবরাহিত কিছু কমান্ডের বিপরীতে, আপনি খুঁজে পেতে পারেন যে আপনি tcpdump ব্যবহার করতে পারবেন না কারণ এটি ইনস্টল করা নেই। Tcpdump ইনস্টল করার জন্য, চালানো apt-get ইনস্টল করুন tcpdump অথবা yum tcpdump ইনস্টল করুন, আপনার ওএস উপর নির্ভর করে।

কিভাবে Tcpdump কাজ করে

Tcpdump বুলেটের সাথে মেলে এমন একটি নেটওয়ার্ক ইন্টারফেসে প্যাকেটের হেডারগুলি প্রিন্ট করে অভিব্যক্তি । এটি সঙ্গে চালানো যেতে পারে-w ফ্ল্যাগ, এটি পরবর্তীতে বিশ্লেষণের জন্য এবং একটি ফাইলের মধ্যে প্যাকেট ডেটা সংরক্ষণ করার কারণ করে-r পতাকা, এটি একটি নেটওয়ার্ক ইন্টারফেস থেকে প্যাকেট পড়ার পরিবর্তে একটি সংরক্ষিত প্যাকেট ফাইল থেকে পড়তে পারে। সব ক্ষেত্রে, শুধুমাত্র যে প্যাকেট মেলে অভিব্যক্তি দ্বারা প্রক্রিয়া করা হবে tcpdump .

Tcpdump যদি, সঙ্গে চালানো হবে না-c ফ্ল্যাগ, সিজিন্ট সিগন্যাল দ্বারা বাধাগ্রস্ত হওয়া পর্যন্ত প্যাকেটগুলি ক্যাপচার করা চালিয়ে যান (জেনারেট করা, উদাহরণস্বরূপ, আপনার বাধা অক্ষরটি টাইপ করে, সাধারণত CTRL + C) বা একটি SIGTERM সংকেত (সাধারণত সঙ্গে উত্পন্নবধ(1) কমান্ড); যদি চালানো হয়-c পতাকা, এটি প্যাকেজ ক্যাপচার করবে যতক্ষণ না এটি একটি SIGINT বা SIGTERM সিগন্যাল দ্বারা বাধাপ্রাপ্ত হয় বা নির্দিষ্ট সংখ্যক প্যাকেট প্রক্রিয়া করা হয়েছে।

উপরে উল্লিখিত সুইচ এই নিবন্ধটি পরে বিস্তারিতভাবে ব্যাখ্যা করা হয়।

কখন tcpdump ক্যাপচার প্যাকেট শেষ, এটি গণনা রিপোর্ট করবে:

  • প্যাকেট "ফিল্টার দ্বারা প্রাপ্ত।"
    • এটির অর্থ আপনি যে OS তে চলছেন তার উপর নির্ভর করে tcpdump , এবং সম্ভবত ওএস কনফিগার করা হয়েছে উপায়। যদি কোন ফিল্টার কম্যান্ড লাইনে নির্দিষ্ট করা থাকে তবে কিছু OS- এ এটি ফিল্টার এক্সপ্রেশন দ্বারা মিলিত হয়েছে কিনা তা বিবেচনা না করে প্যাকেটগুলি গণনা করে এবং অন্যগুলিতে এটি কেবলমাত্র প্যাকেটগুলির পরিমাপ করে যা ফিল্টার এক্সপ্রেশন দ্বারা মিলেছে এবং প্রক্রিয়া করে tcpdump।
  • প্যাকেট "কার্নেল দ্বারা বাদ।"
    • এটি হ'ল প্যাকগুলি যা বাদ দেওয়া হয়েছিল, বাফার স্পেসের অভাবের কারণে ওপরে প্যাকেট ক্যাপচার প্রক্রিয়া দ্বারা tcpdump চলমান হয়, যদি ওএস রিপোর্ট তথ্য অ্যাপ্লিকেশন। যদি না হয়, 0 হিসাবে রিপোর্ট করা হবে।

SIGINFO সিগন্যালকে সমর্থন করে এমন প্ল্যাটফর্মগুলিতে, যেমন বেশিরভাগ বিএসডি (বার্কলে সফটওয়্যার ডিস্ট্রিবিউশন), এটি যখন সেগিনফো সিগন্যাল গ্রহণ করে (যেমন, আপনার "স্ট্যাটাস" চরিত্রটি টাইপ করে, তখন এটি সেই সংখ্যাকে রিপোর্ট করবে) এবার Ctrl + T) এবং ক্যাপচার প্যাকেট চালিয়ে যেতে হবে।

Tcpdump সামঞ্জস্য

Tcpdump কমান্ডের সাথে নেটওয়ার্ক ইন্টারফেসের প্যাকেটগুলি পড়ার জন্য আপনার বিশেষ বিশেষাধিকার প্রয়োজন হতে পারে ( পড়া একটি সংরক্ষিত প্যাকেট ফাইল যেমন বিশেষাধিকার প্রয়োজন হয় না):

  • এনআইটি বা বিপিএফ সহ সানোস 3.x বা 4.x: আপনি অ্যাক্সেস পড়তে হবে আপনার / dev / নিট অথবা দেব / BPF * .
  • DLPI সঙ্গে Solaris: আপনার অবশ্যই নেটওয়ার্ক ছদ্ম ডিভাইসে অ্যাক্সেস অবশ্যই পড়তে / লিখতে হবে আপনার / dev / Le । সোলারিসের অন্তত কিছু সংস্করণে, এটি অনুমোদিত নয় tcpdump promiscuous মোডে ক্যাপচার করা; Solaris যারা সংস্করণ উপর, আপনি মূল হতে হবে, বা tcpdump বিবিধ মোডে ক্যাপচার করার জন্য রুট থেকে setuid ইনস্টল করা আবশ্যক। উল্লেখ্য, বহুবিধ (সম্ভবত সমস্ত) ইন্টারফেসে, আপনি যদি বিবিধ মোডে ক্যাচার না করেন তবে আপনি কোনও বহির্গামী প্যাকেট দেখতে পাবেন না, তাই বিশেষ বিন্যাসে করা কোনও ক্যাপচার খুব দরকারী নাও হতে পারে।
  • DLPI সঙ্গে এইচপি-UX: আপনি মূল হতে হবে বা tcpdump rooted setuid ইনস্টল করা আবশ্যক।
  • Snoop সঙ্গে IRIX: আপনি মূল হতে হবে বা tcpdump rooted setuid ইনস্টল করা আবশ্যক।
  • লিনাক্স: আপনি মূল হতে হবে বা tcpdump rooted setuid ইনস্টল করা আবশ্যক।
  • আল্ট্রিক্স এবং ডিজিটাল ইউনিক্স / Tru64 ইউনিক্স: কোন ব্যবহারকারী সাথে নেটওয়ার্ক ট্রাফিক ক্যাপচার করতে পারে tcpdump । যাইহোক, কোনও ব্যবহারকারী (এমনকি অতি-ব্যবহারকারীও নয়) একটি ইন্টারফেসে বিবিধ মোডে ক্যাপচার করতে পারে না যতক্ষণ না সুপার-ব্যবহারকারীটি সেই ইন্টারফেসের মাধ্যমে বিবিধ-মোড অপারেশন সক্ষম করে। pfconfig (8), এবং কোনও ব্যবহারকারী (এমনকি অতি-ব্যবহারকারীও নয়) ইউনিফর্ম ট্র্যাফিক ক্যাপচার করতে পারে বা যন্ত্র দ্বারা ইন্টারফেসে প্রেরণ করতে পারে যতক্ষণ না সুপার-ব্যবহারকারীটি সেই ইন্টারফেসে অনুলিপি-মোড অপারেশন সক্ষম করে। pfconfig , তাই দরকারী একটি ইন্টারফেসে প্যাকেট ক্যাপচার সম্ভবত এমন প্রয়োজন হয় যা প্রম্পটস-মোড বা অনুলিপি-মোড অপারেশন, বা অপারেশনয়ের উভয় মোড, সে ইন্টারফেসে সক্ষম করে।
  • বাসদ: আপনি অ্যাক্সেস পড়তে হবে আপনার / dev / BPF * .

Tcpdump কমান্ড সিনট্যাক্স

সমস্ত কম্পিউটার কমান্ডের মতো, সিনট্যাক্স সঠিক থাকলে tcpdump কমান্ডটি ঠিকভাবে কাজ করে:

tcpdump -adeflnNOpqRStuvxX -c গণনা

-C ফাইলের আকার -F ফাইল

-i ইন্টারফেস -m মডিউল -r ফাইল

-s snaplen -T আদর্শ -U ব্যবহারকারী -w ফাইল

-E algo: SECRET অভিব্যক্তি

Tcpdump কমান্ড অপশন

Tcpdump কমান্ডের সাহায্যে আপনি এই সমস্ত বিকল্প ব্যবহার করতে পারেন:

  • -a: নেটওয়ার্কের মধ্যে নেটওয়ার্ক এবং সম্প্রচার ঠিকানা রূপান্তর করার প্রচেষ্টা।
  • -c: প্রাপ্তির পর প্রস্থান করুন গণনা প্যাকেট।
  • -C: একটি savefile তে একটি কাঁচা প্যাকেট লেখার আগে, ফাইলটি বর্তমানে বড় কিনা তা পরীক্ষা করুন ফাইলের আকার এবং, যদি তাই হয়, বর্তমান savefile বন্ধ করুন এবং একটি নতুন খুলুন।Savefiles প্রথম savefile নামের সাথে নির্দিষ্ট করা হবে-w পতাকা, এটি পরে একটি সংখ্যা, 2 থেকে শুরু এবং ঊর্ধ্বগামী অবিরত। ইউনিট ফাইলের আকার লক্ষ লক্ষ বাইট (1,000,000 বাইট, 1,048,576 বাইট নয়)।
  • -d: মান আউটপুট এবং বন্ধ স্টপ একটি মানব পঠনযোগ্য ফর্ম কম্পাইল প্যাকেট-মিলিং কোড ডাম্প।
  • -dd: একটি হিসাবে প্যাকেট-মিলিং কোড ডাম্পসি প্রোগ্রাম ফাটল।
  • -ddd: দশমিক সংখ্যা হিসাবে একটি প্যাকেট-মিলিং কোড ডাম্প করুন (একটি গণনা সহ পূর্বে)।
  • -e: প্রতিটি ডাম্প লাইনের লিঙ্ক স্তরের হেডার মুদ্রণ করুন।
  • -Eব্যবহার করুন algo: SECRET IPsec ESP প্যাকেট ডিক্রিপ্ট করার জন্য। আলগোরিদিম হতে পারেদেস-সিবিসি, 3DES-সিবিসি, ব্লোমাছ-সিবিসি, rc3-সিবিসি, cast128-সিবিসি, অথবানা। ডিফল্ট হয়দেস-সিবিসি। প্যাকেট ডিক্রিপ্ট করার ক্ষমতা শুধুমাত্র উপস্থিত যদি tcpdump ক্রিপ্টোগ্রাফি সক্রিয় সঙ্গে কম্পাইল করা হয়েছিল। গোপন এসএসপি গোপন কী জন্য Ascii টেক্সট। আমরা এই মুহুর্তে ইচ্ছাকৃত বাইনারি মান নিতে না পারে। বিকল্পটি RFC2406 ESP অনুমান করে, RFC1827 ESP নয়। বিকল্প শুধুমাত্র ডিবাগিং উদ্দেশ্যে, এবং সত্যিকারের 'গোপন' কী সহ এই বিকল্পটির ব্যবহার নিরুৎসাহিত করা হয়। কমান্ড লাইনের আইপিএসসি গোপন কী উপস্থাপন করে আপনি এটি অন্যদের কাছে দৃশ্যমান করে তুলুন PS (1) এবং অন্যান্য অনুষ্ঠান।
  • -f: প্রতীক হিসাবে 'বিদেশী' ইন্টারনেট ঠিকানাগুলি সংখ্যাসূচকভাবে মুদ্রণ করুন (এই বিকল্পটি সান এর YP সার্ভারে প্রায়শই মস্তিষ্কের ক্ষতিকারক ক্ষতির আশ্রয়ের উদ্দেশ্যে তৈরি করা হয় - সাধারণত এটি সর্বদা নন-লক ইন্টারনেট নম্বর অনুবাদ করে থাকে)।
  • -Fব্যবহার করুন ফাইল ফিল্টার এক্সপ্রেশন জন্য ইনপুট হিসাবে। কমান্ড লাইনে প্রদত্ত অতিরিক্ত অভিব্যক্তি উপেক্ষা করা হয়।
  • -iশুনুন ইন্টারফেস । যদি নির্দিষ্ট না হয়, tcpdump সর্বনিম্ন সংখ্যক, কনফিগার হওয়া ইন্টারফেসের জন্য সিস্টেম ইন্টারফেস তালিকা অনুসন্ধান করে (লুপব্যাক বাদে)। প্রথমতম ম্যাচ নির্বাচন করে সম্পর্ক ভাঙ্গা হয়। 2.2 অথবা পরবর্তী কার্নেলের সাথে লিনাক্স সিস্টেমে, একটি ইন্টারফেস সকল ইন্টারফেসের প্যাকেটগুলি ক্যাপচার করার জন্য "যেকোনো" এর যুক্তি ব্যবহার করা যেতে পারে। মনে রাখবেন যে "যেকোনো" ডিভাইসে ক্যাপচারগুলি বিবিধ মোডে সম্পন্ন হবে না।
  • -l: Stdout লাইন buffered করুন। আপনি এটি ক্যাপচার সময় তথ্য দেখতে চান তাহলে দরকারী। উদাহরণস্বরূপ, "tcpdump -l | tee dat" বা "tcpdump -l> ডেট এবং tail -f dat" '।
  • -m: ফাইল থেকে এসএমআই MIB মডিউল সংজ্ঞা লোড করুন মডিউল । এই বিকল্পটি বিভিন্ন এমআইবি মডিউল লোড করার জন্য বেশ কয়েকবার ব্যবহার করা যেতে পারে tcpdump .
  • -n: হোস্ট ঠিকানা নাম পরিবর্তন করবেন না। এটি DNS সন্ধানগুলি এড়ানোর জন্য ব্যবহার করা যেতে পারে।
  • -nn: নামতে প্রোটোকল এবং পোর্ট নম্বর ইত্যাদি রূপান্তর করবেন না।
  • -n: হোস্ট নাম ডোমেইন নাম যোগ্যতা মুদ্রণ করবেন না। উদাহরণস্বরূপ, যদি আপনি এই পতাকা, তারপর tcpdump "nic.ddn.mil" এর পরিবর্তে "nic" মুদ্রণ করবে।
  • -O: প্যাকেট-মিলিং কোড অপ্টিমাইজার চালান না। এটি যদি শুধুমাত্র অপটিমাইজারে একটি বাগ সন্দেহ করে তবে এটিই উপকারী।
  • -p: না বিচিত্র মোডে ইন্টারফেস রাখুন। উল্লেখ্য যে ইন্টারফেসটি অন্য কোন কারনে বিশিষ্ট মোডে থাকতে পারে; অতএব, '-p' 'ইথার হোস্ট {স্থানীয়-এইচড-অ্যাড্রেস} বা ইথার সম্প্রচারের জন্য সংক্ষিপ্ত রূপ হিসাবে ব্যবহার করা যাবে না।
  • -q: দ্রুত (শান্ত) আউটপুট। কম প্রোটোকল তথ্য মুদ্রণ করুন তাই আউটপুট লাইন ছোট।
  • -R: পুরানো স্পেসিফিকেশন ভিত্তিক ইএসপি / এএইচ প্যাকেটগুলি অনুমান করুন: RFC1825 থেকে RFC1829। যদি নির্দিষ্ট করা হয়, tcpdump রিপ্লে প্রতিরোধের ক্ষেত্র মুদ্রণ করবে না। ইএসপি / এএইচ স্পেসিফিকেশন কোন প্রোটোকল সংস্করণ ক্ষেত্র আছে, যেহেতু, tcpdump ইএসপি / এএইচ প্রোটোকল সংস্করণ deduce করতে পারবেন না।
  • -r: থেকে প্যাকেট পড়ুন ফাইল (যা -w বিকল্প দিয়ে তৈরি করা হয়েছিল)। স্ট্যান্ডার্ড ইনপুট ব্যবহার করা হয় ফাইল "-" 'হয়।
  • -S: আপেক্ষিক, টিসিপি ক্রম সংখ্যার পরিবর্তে পরম মুদ্রণ করুন।
  • -s: স্নারফ snaplen 68 এর ডিফল্ট পরিবর্তে প্রতিটি প্যাকেটের ডেটা বাইট; সানস এর এনআইটি সহ, ন্যূনতমতম 96. আইপি, আইসিএমপি, টিসিপি, এবং ইউডিপির জন্য আট আটটি বাইট যথাযথ নয় তবে নাম সার্ভার এবং NFS প্যাকেটগুলির থেকে প্রোটোকল তথ্য কমিয়ে দিতে পারে (নীচে দেখুন)। সীমিত স্ন্যাপশটের কারণে প্যাকেটগুলি কঙ্কাল করা হয়েছে "আউটপুট" -এ নির্দেশিত প্রোটো '', কোথায় প্রোটো প্রোটোকল স্তরের নাম যেখানে ছাঁটাই ঘটেছে। উল্লেখ্য, বৃহত্তর স্ন্যাপশটগুলি উভয় প্যাকেট প্রক্রিয়া করার জন্য কত সময় লাগে তা বৃদ্ধি করে এবং কার্যকরভাবে, প্যাকেট বাফারের পরিমাণ হ্রাস করে। এটি প্যাকেট হারিয়ে যেতে পারে। আপনি সীমাবদ্ধ করা উচিত snaplen আপনার আগ্রহের প্রোটোকল তথ্য ক্যাপচার করবে এমন ছোট সংখ্যাতে snaplen 0 মানে পুরো প্যাকেট ধরতে প্রয়োজনীয় দৈর্ঘ্য ব্যবহার করুন।
  • -T: দ্বারা নির্বাচিত ফোর্স প্যাকেট " অভিব্যক্তি "নির্দিষ্ট ব্যাখ্যা করা হবে আদর্শ । বর্তমানে পরিচিত ধরনের হয়cnfp (সিস্কো নেটফ্লো প্রোটোকল)RPC (দূরবর্তী পদ্ধতির কল),RTP (রিয়েল টাইম অ্যাপ্লিকেশন প্রোটোকল),rtcp (রিয়েল টাইম অ্যাপ্লিকেশন নিয়ন্ত্রণ প্রোটোকল),SNMP (সাধারন নেটওয়ার্ক ম্যানেজমেন্ট প্রোটোকল)ভাঁটি (ভিজ্যুয়াল অডিও টুল), এবংWB (হোয়াইট বোর্ড বিতরণ)।
  • -t: না প্রতিটি ডাম্প লাইন একটি টাইমস্ট্যাম্প মুদ্রণ।
  • -tt: প্রতিটি ডাম্প লাইনের একটি বিন্যস্ত টাইমস্ট্যাম্প মুদ্রণ করুন।
  • -U: রুট বিশেষাধিকার ড্রপ এবং ব্যবহারকারী আইডি পরিবর্তন ব্যবহারকারী এবং গ্রুপ আইডি প্রাথমিক গ্রুপ ব্যবহারকারী .
  • বিঃদ্রঃ: Red Hat Linux স্বয়ংক্রিয়ভাবে ব্যবহারকারীকে "প্যাচ" ব্যবহারকারীর কাছে বিশেষ সুবিধা দেয় না যদি অন্য কিছু নির্দিষ্ট না হয়।
  • -ttt: প্রতিটি ডাম্প লাইনের বর্তমান এবং পূর্ববর্তী লাইনের মধ্যে একটি ডেল্টা (মাইক্রোসেকেন্ডগুলিতে) মুদ্রণ করুন।
  • -tttt: প্রতিটি ডাম্প লাইন তারিখ অনুসারে চলমান ডিফল্ট বিন্যাসে একটি টাইমস্ট্যাম্প মুদ্রণ করুন।
  • -u: Undecoded এনএফএস হ্যান্ডেল মুদ্রণ।
  • -v: (সামান্য আরো) verbose আউটপুট। উদাহরণস্বরূপ, আইপি প্যাকেটের লাইভ, সনাক্তকরণ, মোট দৈর্ঘ্য এবং বিকল্পগুলি মুদ্রণের সময় মুদ্রণ করা হয়। এছাড়াও IP এবং ICMP হেডার চেকসাম যাচাই করার মতো অতিরিক্ত প্যাকেট অখণ্ডতা পরীক্ষা সক্ষম করে।
  • -vv: এমনকি আরও verbose আউটপুট। উদাহরণস্বরূপ, অতিরিক্ত ক্ষেত্র NFS উত্তর প্যাকেট থেকে প্রিন্ট করা হয়, এবং SMB প্যাকেট সম্পূর্ণরূপে ডিকোড করা হয়।
  • -vvv -র ফলে অতিরিক্ত: এমনকি আরও verbose আউটপুট। উদাহরণস্বরূপ, টেলনেটএসবিরদঃপূঃ অপশন পূর্ণ মুদ্রিত হয়। সঙ্গে -এক্স টেলনেট বিকল্প হ্যাক হিসাবে মুদ্রিত হয়।
  • -w: কাঁচা প্যাকেট লিখুন ফাইল বরং পার্সিং এবং তাদের প্রিন্টিং। তারা পরে -r বিকল্পের সাথে মুদ্রণ করা যেতে পারে। স্ট্যান্ডার্ড আউটপুট ব্যবহার করা হয় ফাইল "-" 'হয়।
  • -এক্স: হেক্সে প্রতিটি প্যাকেট মুদ্রণ করুন (তার লিঙ্ক স্তর শিরোনামটি বিয়োগ করুন)। পুরো প্যাকেট বা ছোট snaplen বাইট মুদ্রিত করা হবে। মনে রাখবেন যে এটি সম্পূর্ণ লিংক-লেয়ার প্যাকেট, তাই প্যাডগুলির (যেমন, ইথারনেট) লিংক স্তরগুলির জন্য, প্যাডিং বাইট মুদ্রণ করা হবে যখন উচ্চতর স্তর প্যাকেট প্রয়োজনীয় প্যাডিংয়ের চেয়ে ছোট।
  • -এক্স: হেক্স মুদ্রণ যখন, খুব এসিচি মুদ্রণ। সুতরাং যদি-এক্স এছাড়াও সেট করা হয়, প্যাকেট হেক্স / Ascii মুদ্রিত হয়। এই নতুন প্রোটোকল বিশ্লেষণের জন্য খুব সহজ। যোদি ও-এক্স এছাড়াও সেট করা হয় না, কিছু প্যাকেটের কিছু অংশ হেক্স / অ্যাসিসিতে মুদ্রণ করা যেতে পারে।
  • অভিব্যক্তি : কোন প্যাকেট ডাম্প করা হবে তা নির্বাচন করুন। যদি না অভিব্যক্তি দেওয়া হয়, নেট সমস্ত প্যাকেট ডাম্প করা হবে। অন্যথা, শুধুমাত্র প্যাকেট যা জন্য অভিব্যক্তি 'সত্য' ডাম্প করা হবে। দ্য অভিব্যক্তি এক বা একাধিক গঠিত প্রিমিটিভের। Primitives সাধারণত একটি গঠিত আইডি (নাম বা সংখ্যা) এক বা একাধিক কোয়ালিফায়ার দ্বারা পূর্বে। তিনটি ভিন্ন ধরণের যোগ্যতা রয়েছে:
  • আদর্শ Qualifiers বলছেন কি ধরনের আইডি নাম বা সংখ্যা বোঝায়। সম্ভাব্য ধরনের হয়নিমন্ত্রণকর্তা, নেট, এবংবন্দরউদাহরণস্বরূপ, 'হোস্ট ফু', 'নেট 128.3', 'পোর্ট ২0'। কোন টাইপ কোয়ালিফায়ার আছে,নিমন্ত্রণকর্তা অনুমান করা হচ্ছে.
  • Dir : Qualifiers এবং / অথবা থেকে একটি নির্দিষ্ট স্থানান্তর দিক উল্লেখ আইডি । সম্ভাব্য নির্দেশাবলী হয়src, DST, src বা dst এবংsrc এবং DST (উদাঃ, 'src foo', 'dst net 128.3', 'src বা dst port ftp-data')। যদি কোন dir যোগ্যতাসম্পন্ন হয়,src বা dst অনুমান করা হচ্ছে. 'নাল' লিংক স্তরগুলির জন্য (যেমন, স্লিপ হিসাবে পয়েন্ট-টু-পয়েন্ট প্রোটোকলগুলি) অন্তর্মুখী এবং বিদেশগামী qualifiers একটি পছন্দসই দিক উল্লেখ করতে ব্যবহার করা যেতে পারে।
  • প্রোটো : Qualifiers একটি বিশেষ প্রোটোকল ম্যাচ নিষিদ্ধ। সম্ভাব্য প্রোটোগুলি হল: থার, fddi, TR, আইপি, ip6, Arp, rarp, decnet, TCP, এবংUDPউদাহরণস্বরূপ, 'ইথার src foo', 'arp net 128.3', 'tcp port 21'। যদি কোন প্রোটো কোয়ালিফায়ার না থাকে তবে টাইপের সাথে সামঞ্জস্যপূর্ণ সমস্ত প্রোটোকল অনুমান করা হয়। উদাহরণস্বরূপ, 'src foo' এর মানে হল '(ip বা arp বা rarp) src foo' (ব্যতীত অন্যথায় আইনি সিনট্যাক্স নয়), 'নেট বার' মানে '(ip বা arp বা rarp) net bar' এবং 'port 53' মানে '(টিসিপি বা udp) পোর্ট 53'।
    • 'fddi' আসলে 'ether' জন্য একটি উপনাম; পার্সার তাদের অভিন্নভাবে "নির্দিষ্ট নেটওয়ার্ক ইন্টারফেসে ব্যবহৃত ডেটা লিংক স্তর" অর্থ হিসাবে আচরণ করে। 'এফডিআইডি হেডারগুলিতে ইথারনেট-এর মতো উত্স এবং গন্তব্য ঠিকানা থাকে এবং প্রায়শই ইথারনেট-এর মতো প্যাকেটের ধরন থাকে, সুতরাং আপনি কেবল এই FDDI ক্ষেত্রগুলিতে ফিল্টার করতে পারেন সমান ইথারনেট ক্ষেত্রের মতো। FDDI হেডারগুলিতে অন্যান্য ক্ষেত্র রয়েছে, তবে আপনি তাদের স্পষ্টভাবে ফিল্টার এক্সপ্রেশনতে নামকরণ করতে পারবেন না।
    • একইভাবে, 'tr' 'ether' এর জন্য একটি উপনাম; পূর্ববর্তী অনুচ্ছেদের FDDI হেডারগুলির বিবৃতিগুলি টোকেন রিং হেডারগুলিতেও প্রযোজ্য।

উপরোক্ত কিছু বিশেষ "আদিম" কীওয়ার্ড রয়েছে যা প্যাটার্ন অনুসরণ করে না:প্রবেশপথ, ব্রডকাস্ট, কম, বৃহত্তর, এবং পাটীগণিত এক্সপ্রেশন। এই সব নীচে বর্ণনা করা হয়।

আরো জটিল ফিল্টার এক্সপ্রেশন শব্দ ব্যবহার করে নির্মিত হয়এবং, অথবা, এবংনা Primitives একত্রিত করার জন্য - উদাহরণস্বরূপ, "হোস্ট foo এবং পোর্ট ftp না এবং পোর্ট FTP তথ্য না"। টাইপিং সংরক্ষণ করতে, অভিন্ন যোগ্যতা তালিকাগুলি বাদ দেওয়া যেতে পারে (উদাঃ, "tcp dst port ftp বা ftp-data বা ডোমেইন" ঠিক যেমন "tcp dst port ftp বা tcp dst port ftp-data বা tcp dst port domain" হিসাবে একই।)

Tcpdump কমান্ডের সাহায্যে এই প্রাইমাইটিভগুলি অনুমোদিত:

  • ডিস্ট হোস্ট নিমন্ত্রণকর্তা
    • যদি পকেটের IPv4 / v6 গন্তব্য ক্ষেত্রটি সত্য হয় নিমন্ত্রণকর্তা , যা একটি ঠিকানা বা একটি নাম হতে পারে।
  • src host নিমন্ত্রণকর্তা
    • যদি পকেটের IPv4 / v6 উৎস ক্ষেত্রটি সত্য হয় নিমন্ত্রণকর্তা .
  • নিমন্ত্রণকর্তা নিমন্ত্রণকর্তা
    • IPv4 / v6 উৎস বা প্যাকেটের গন্তব্য যদি হয় তবে সত্য নিমন্ত্রণকর্তা । উপরের হোস্ট এক্সপ্রেশনগুলির মধ্যে যেকোনও কীওয়ার্ডগুলির সাথে পূর্বনির্ধারিত হতে পারে,আইপি, Arp, rarp, অথবাip6, হিসাবে আইপি হোস্ট নিমন্ত্রণকর্তা (যা সমতুল্য ইথার প্রোটো আইপি এবং হোস্ট হোস্ট)।
    • যদি নিমন্ত্রণকর্তা একাধিক আইপি ঠিকানা সহ একটি নাম, প্রতিটি ঠিকানা একটি ম্যাচ জন্য চেক করা হবে।
  • ইথার dst ehost
    • ইথারনেট গন্তব্য ঠিকানা যদি সত্য ehost . Ehost হতে পারে একটি নাম / etc / ethers বা একটি সংখ্যা হতে পারে (দেখুন ethers (3N) সংখ্যাসূচক বিন্যাসের জন্য)।
  • ইথার src ehost
    • ইথারনেট উৎস ঠিকানা যদি সত্য ehost .
  • ইথার হোস্ট ehost
    • ইথারনেট উৎস বা গন্তব্য ঠিকানা হয় তাহলে সত্য ehost .
  • প্রবেশপথ নিমন্ত্রণকর্তা
    • প্যাকেট ব্যবহৃত হলে সত্য নিমন্ত্রণকর্তা একটি গেটওয়ে হিসাবে (অর্থাত্, ইথারনেট উৎস বা গন্তব্য ঠিকানা ছিল নিমন্ত্রণকর্তা কিন্তু আইপি উৎস কিংবা আইপি গন্তব্যও ছিল না নিমন্ত্রণকর্তা ).
    • নিমন্ত্রণকর্তা অবশ্যই একটি নাম থাকা আবশ্যক এবং মেশিনের হোস্ট-নাম-থেকে-আইপি-অ্যাড্রেস রেজোলিউশন মেকানিক্স (হোস্ট নাম ফাইল, DNS, NIS, ইত্যাদি) এবং মেশিনের হোস্ট-নাম-থেকে-ইথারনেট-ঠিকানা রেজোলিউশন প্রক্রিয়া দ্বারা উভয়ই পাওয়া যাবে। (/ ইত্যাদি / ethers, ইত্যাদি)।
    • একটি সমতুল্য অভিব্যক্তি হয় ইথার হোস্ট ehost এবং এখন হোস্ট নিমন্ত্রণকর্তা , যা নাম বা সংখ্যার জন্য ব্যবহার করা যেতে পারে হোস্ট / ehost ।) এই সিনট্যাক্স এই মুহুর্তে IPv6- সক্ষম কনফিগারেশন কাজ করে না।
  • dst নেট নেট
    • সত্যই যদি প্যাকেটের IPv4 / v6 গন্তব্য ঠিকানাটির নেটওয়ার্ক নম্বর থাকে নেট . নেট হতে পারে একটি নাম / ইত্যাদি / নেটওয়ার্ক বা একটি নেটওয়ার্ক নম্বর (দেখুন নেটওয়ার্ক (4) বিস্তারিত জানার জন্য).
  • src net নেট
    • যদি পকেটের IPv4 / v6 উত্স ঠিকানাটির নেটওয়ার্ক নম্বর থাকে তবে এটি সত্য নেট .
  • নেট নেট
    • IPv4 / v6 উত্স অথবা পকেটের গন্তব্য ঠিকানাটির নেটওয়ার্ক নম্বর থাকলেও সত্য নেট .
  • নেট নেট মাস্ক নেটমাস্ক
    • আইপি ঠিকানা মেলে যদি সত্য নেট নির্দিষ্ট সঙ্গে নেটমাস্ক । সঙ্গে যোগ্যতা অর্জন করা হতে পারেsrc অথবাDST। উল্লেখ্য যে এই সিনট্যাক্স IPv6 এর জন্য বৈধ নয় নেট .
  • নেট নেট / লেন
    • IPv4 / v6 ঠিকানা মেলে যদি সত্য নেট একটি নেটমাস্ক সঙ্গে লেন বিট প্রশস্ত। সঙ্গে যোগ্যতা অর্জন করা হতে পারেsrc অথবাDST.
  • dst পোর্ট বন্দর
    • প্যাকেটটি যদি ip / tcp, ip / udp, ip6 / tcp, বা ip6 / udp হয় এবং এটি একটি গন্তব্য পোর্ট মান থাকে তবে তা সত্য। বন্দর । দ্য বন্দর একটি সংখ্যা বা একটি নাম / ইত্যাদি সেবা ব্যবহার করা যেতে পারে (দেখুন TCP (4 পি) এবং UDP (4P))। একটি নাম ব্যবহার করা হয়, উভয় পোর্ট নম্বর এবং প্রোটোকল চেক করা হয়। যদি কোন সংখ্যা বা অস্পষ্ট নাম ব্যবহার করা হয় তবে শুধুমাত্র পোর্ট নম্বরটি চেক করা হবে (উদাঃ,DST পোর্ট 513 উভয় টিসিপি / লগইন ট্রাফিক এবং udp / ট্রাফিক, এবং উভয় মুদ্রণ করা হবেপোর্ট ডোমেইন উভয় টিসিপি / ডোমেইন এবং udp / ডোমেইন ট্রাফিক মুদ্রণ করা হবে)।
  • src port বন্দর
    • প্যাকেট একটি উৎস পোর্ট মান আছে যদি সত্য বন্দর .
  • বন্দর বন্দর
    • প্যাকেট এর উত্স বা গন্তব্য পোর্ট হয় তাহলে সত্য বন্দর । উপরের পোর্ট এক্সপ্রেশনগুলির মধ্যে যেকোনও কীওয়ার্ডগুলির সাথে পূর্বনির্ধারিত হতে পারে,TCP অথবাUDP, হিসাবে tcp src port বন্দর , যা কেবলমাত্র টিসিপি প্যাকেটগুলির সাথে যার উৎস পোর্ট রয়েছে বন্দর .
  • কম লম্বা
    • যদি প্যাকেটের দৈর্ঘ্য কম বা সমান থাকে তবে তা সত্য লম্বা । এই সমতুল্য লেন <= লম্বা .
  • বৃহত্তর লম্বা
    • যদি পকেটের দৈর্ঘ্য সমান বা সমান হয় তবে তা সত্য লম্বা । এই সমতুল্য লেন> = লম্বা .
  • আইপি প্রোটো প্রোটোকল
    • প্যাকেট একটি আইপি প্যাকেট যদি সত্য (দেখুন আইপি (4 পি) প্রোটোকল টাইপ প্রোটোকল . প্রোটোকল নাম বা নাম এক হতে পারে ICMP , icmp6 , IGMP , igrp , PIM , অই , ESP , vrrp , UDP , অথবা TCP । উল্লেখ্য যে সনাক্তকারী TCP , UDP , এবং ICMP এছাড়াও কীওয়ার্ডগুলি এবং ব্যাকস্ল্যাশ (), যা সি-শেলের মধ্যে মাধ্যমে পালিয়ে যেতে হবে। মনে রাখবেন যে এই আদিম প্রোটোকল শিরোনাম চেইন পশ্চাদ্ধাবন করে না।
  • আইপি 6 প্রোটো প্রোটোকল
    • প্যাকেটটি যদি প্রোটোকল প্রকারের একটি IPv6 প্যাকেট হয় তবে তা সত্য প্রোটোকল । মনে রাখবেন যে এই আদিম প্রোটোকল শিরোনাম চেইন পশ্চাদ্ধাবন করে না।
  • আইপি 6 প্রোটোকেন প্রোটোকল
    • প্যাকেটটি যদি IPv6 প্যাকেট হয় তবে এটি টাইপ সহ প্রোটোকল শিরোনামযুক্ত প্রোটোকল তার প্রোটোকল শিরোনাম চেইন। উদাহরণ স্বরূপ, আইপিভি 6 প্রোটোকেন 6 প্রোটোকল হেডার শৃঙ্খলে টিসিপি প্রোটোকল হেডারের সাথে কোনও IPv6 প্যাকেট মেলে। প্যাকেটটিতে উদাহরণস্বরূপ, IPv6 শিরোলেখ এবং টিসিপি হেডারের মধ্যে, হ'ল প্রমাণীকরণ শিরোনাম, রাউটিং হেডার, বা হপ বাই হপ বিকল্প শিরোনাম থাকতে পারে। এই আদিম দ্বারা নির্গত বিপিএফ কোড জটিল এবং BPF অপ্টিমাইজার কোড দ্বারা অপ্টিমাইজ করা যাবে না tcpdump , তাই এই কিছুটা ধীর হতে পারে।
  • আইপি প্রোটোকেন প্রোটোকল
    • সমতুল্যআইপি 6 প্রোটোকেন প্রোটোকল , কিন্তু এই আইপিভি 4 জন্য।
  • ইথার সম্প্রচার
    • প্যাকেট একটি ইথারনেট সম্প্রচার প্যাকেট যদি সত্য। দ্য থার শব্দ ঐচ্ছিক।
  • আইপি সম্প্রচার
    • প্যাকেট একটি আইপি সম্প্রচার প্যাকেট যদি সত্য। এটি সমস্ত জিরো এবং সকলের সম্প্রচার অনুষ্ঠানগুলির জন্য চেক করে এবং স্থানীয় সাবনেট মাস্কটি দেখায়।
  • ইথার মাল্টিস্টাস্ট
    • প্যাকেট একটি ইথারনেট মাল্টিকাস্ট প্যাকেট যদি সত্য। দ্য থার শব্দ ঐচ্ছিক। এই জন্য shorthand হয় 'ইথার 0 এবং 1! = 0'.
  • আইপি মাল্টিস্টাস্ট
    • প্যাকেট একটি আইপি মাল্টিকাস্ট প্যাকেট যদি সত্য।
  • আইপি 6 মাল্টিস্টাস্ট
    • প্যাকেটটি যদি একটি IPv6 মাল্টিকাস্ট প্যাকেট হয় তবে তা সত্য।
  • ইথার প্রোটো প্রোটোকল
    • প্যাকেট ইথার টাইপ হয় তাহলে সত্য প্রোটোকল . প্রোটোকল নাম বা নাম এক হতে পারে আইপি , ip6 , Arp , rarp , একটু কথা , AARP , decnet , এসসিএ , Lat , mopdl , moprc , ISO , STP , ipx , অথবা netbeui । মনে রাখবেন এই সনাক্তকারীরাও কীওয়ার্ড এবং ব্যাকস্ল্যাশ () মাধ্যমে পালিয়ে যেতে হবে।
    • এফডিআইআই ক্ষেত্রে (উদাঃ, 'fddi প্রোটোকল arp') এবং টোকেন রিং (উদাঃ,'ট্র প্রোটোকল ARP'), সেই সমস্ত প্রোটোকলের জন্য, প্রোটোকল সনাক্তকরণটি 802.2 লজিক্যাল লিংক কন্ট্রোল (এলএলসি) হেডার থেকে আসে, যা সাধারণত FDDI বা টোকেন রিং হেডারের উপরে স্তরযুক্ত।
    • FDDI বা টোকেন রিংয়ের সর্বাধিক প্রোটোকল সনাক্তকারীগুলির জন্য ফিল্টার করার সময়, tcpdump এনক্যাপুলেটেড ইথারনেটের জন্য 0x000000 এর সাংগঠনিক ইউনিট আইডেন্টিফায়ার (ওউআই) সহ তথাকথিত SNAP ফর্ম্যাটে কেবল একটি এলএলসি হেডারের প্রোটোকল আইডি ক্ষেত্র পরীক্ষা করে; এটি 0x000000 এর OUI সহ SNAP ফর্ম্যাটে প্যাকেট কিনা তা পরীক্ষা করে না।
    • ব্যতিক্রম হয় ISO , যার জন্য এটি এলএলসি হেডারের DSAP (গন্তব্য পরিষেবা অ্যাক্সেস পয়েন্ট) এবং এসএসএপি (সোর্স সার্ভিস অ্যাক্সেস পয়েন্ট) ক্ষেত্রগুলি পরীক্ষা করে, STP এবং netbeui , যেখানে এটি এলএলসি হেডারের DSAP চেক করে এবং একটু কথা , যেখানে এটি 0x080007 এবং অ্যাপলটক এটাইপের একটি OUI সহ একটি SNAP-ফর্ম্যাট প্যাকেটের জন্য পরীক্ষা করে।
    • ইথারনেট ক্ষেত্রে, tcpdump যারা প্রোটোকল অধিকাংশ জন্য ইথারনেট টাইপ ক্ষেত্র পরীক্ষা করে; ব্যতিক্রম হয় ISO , প্রাণরস , এবং netbeui , যার জন্য এটি একটি 802.3 ফ্রেমের জন্য চেক করে এবং তারপর এলএলসি হেডার পরীক্ষা করে যেমনটি এটি FDDI এবং টোকেন রিংয়ের জন্য করে; একটু কথা , এটি একটি ইথারনেট ফ্রেমে অ্যাপলটক এটাইপের জন্য এবং একটি SNAP- ফর্ম্যাট প্যাকেটের জন্য এটি যেমন FDDI এবং টোকেন রিংয়ের জন্য উভয়টি পরীক্ষা করে; AARP যেখানে এটি ইথারনেট ফ্রেম বা অ্যাপলটক এআরপি এটাইপের জন্য ইথারনেট ফ্রেমে বা 0x000000 এর একটি OUI সহ 802.2 SNAP ফ্রেমের জন্য পরীক্ষা করে; এবং ipx , যেখানে এটি ইথারনেট ফ্রেমে আইপিএক্স এটাইপের জন্য পরীক্ষা করে, এলএলসি হেডারের আইপিএক্স DSAP, 802.3 কোন এলএলসি হেডার এনক্যাপুলেশন আইপিএক্স এবং SNAP ফ্রেমে আইপিএক্স এটাইপ।
  • decnet src নিমন্ত্রণকর্তা
    • DECNET উৎস ঠিকানা যদি সত্য নিমন্ত্রণকর্তা , যা "10.123" ফর্ম, অথবা একটি DECNET হোস্ট নামের ঠিকানা হতে পারে। DECNET হোস্ট নাম সমর্থন কেবলমাত্র আল্ট্রিক্স সিস্টেমগুলিতে উপলব্ধ যা DECNET চালানোর জন্য কনফিগার করা আছে।
  • decnet dst নিমন্ত্রণকর্তা
    • DECNET গন্তব্য ঠিকানা যদি সত্য নিমন্ত্রণকর্তা .
  • ডিকনেট হোস্ট নিমন্ত্রণকর্তা
    • DECNET উৎস বা গন্তব্য ঠিকানা হয় যদি সত্য নিমন্ত্রণকর্তা .
  • আইপি, ip6, Arp, rarp, একটু কথা, AARP, decnet, ISO, STP, ipx, netbeui
    • জন্য সংক্ষেপ ইথার প্রোটো পি কোথায় পি উপরে প্রোটোকল এক।
  • Lat, moprc, mopdl
    • জন্য সংক্ষেপ ইথার প্রোটো পি কোথায় পি উপরে প্রোটোকল এক। মনে রাখবেন যে tcpdump বর্তমানে এই প্রোটোকল পার্স কিভাবে জানি না।
  • VLAN Vlan_id
    • প্যাকেটটি যদি একটি IEEE 802.1Q VLAN প্যাকেট হয় তবে তা সত্য। যদি Vlan_id নির্দিষ্ট করা হয়, শুধুমাত্র প্যাকেট নির্দিষ্ট করা হয়েছে যদি সত্য vlan_id । উল্লেখ্য যে প্রথমVLAN শব্দ সম্মুখীন অভিব্যক্তি বাকি জন্য ডিকোডিং অফসেট পরিবর্তন অভিব্যক্তি প্লেট একটি VLAN প্যাকেট যে অনুমিতি উপর।
  • TCP, UDP, ICMP
    • জন্য সংক্ষেপ আইপি প্রোটো পি বা আইপি 6 প্রোটো পি কোথায় পি উপরে প্রোটোকল এক।
  • ইসো প্রোটো প্রোটোকল
    • প্যাকেটটি যদি প্রোটোকল প্রকারের একটি ওএসআই প্যাকেট হয় তবে তা সত্য প্রোটোকল . প্রোটোকল নাম বা নাম এক হতে পারে clnp , esis , অথবা ISIS .
  • clnp, esis, ISIS
    • জন্য সংক্ষেপ ইসো প্রোটো পি কোথায় পি উপরে প্রোটোকল এক। মনে রাখবেন যে tcpdump এই প্রোটোকল পার্সিং একটি অসম্পূর্ণ কাজ করে।
  • expr relop expr
    • সম্পর্ক যদি থাকে, যেখানে সত্য relop > এর মধ্যে একটি, <,> =, <=, =,! =, এবং expr পূর্ণসংখ্যা সংহতকারী (স্ট্যান্ডার্ড সি সিনট্যাক্সে প্রকাশ করা), স্বাভাবিক বাইনারি অপারেটরগুলি +, -, *, /, &, |, একটি দৈর্ঘ্য অপারেটর এবং বিশেষ প্যাকেট ডেটা অ্যাক্সেসারগুলির সমন্বয়ে গঠিত একটি গাণিতিক অভিব্যক্তি। প্যাকেটের ভিতরে তথ্য অ্যাক্সেস করতে নিম্নলিখিত সিনট্যাক্সটি ব্যবহার করুন: প্রোটো এক্সপ্রেশন: আকার .

প্রোটো একথার, fddi, TR, পিপিপি, চিলতা, লিংক, আইপি, Arp, rarp, TCP, UDP, ICMP, অথবা ip6, এবং সূচক অপারেশন জন্য প্রোটোকল স্তর নির্দেশ করে (থার, fddi, TR, পিপিপি, চিলতা, এবংলিংক সব লিঙ্ক স্তর পড়ুন)। মনে রাখবেন যে টিসিপি, udp , এবং অন্যান্য উচ্চ স্তরের প্রোটোকল প্রকার শুধুমাত্র IPv4 তে প্রয়োগ হয়, আইপিভি 6 নয় (এটি ভবিষ্যতে সংশোধন করা হবে)। বাইট অফসেট, নির্দেশিত প্রোটোকল স্তর সম্পর্কিত, দ্বারা দেওয়া হয় expr . আয়তন ঐচ্ছিক এবং আগ্রহের ক্ষেত্রে বাইট সংখ্যা নির্দেশ করে; এটা এক,

নেট ব্যবহার কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

নেট ব্যবহার কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

নেট ব্যবহার কমান্ড শেয়ার সংস্থান পরিচালনা করতে ব্যবহৃত হয়। কমান্ড সম্পর্কে আরও জানুন এবং বিভিন্ন নেট ব্যবহার কমান্ড উদাহরণ দেখুন।

নেট ব্যবহারকারী কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

নেট ব্যবহারকারী কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

একটি নেটওয়ার্কে ব্যবহারকারীদের পরিচালনা করার জন্য নেট ইউজার কমান্ড ব্যবহার করা হয়। নেট ব্যবহারকারী কমান্ড সম্পর্কে আরও জানুন এবং বিভিন্ন নেট ব্যবহারকারী কমান্ড উদাহরণ দেখুন।

আরো কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

আরো কমান্ড (উদাহরণ, বিকল্প, সুইচ, এবং আরো)

আরো কমান্ড একটি কমান্ড প্রম্পট কমান্ড যা অন্যান্য কমান্ডগুলির ফলাফলকে প্যাগিনেট করতে এবং নির্দিষ্ট ফাইলগুলির সামগ্রী প্রদর্শন করতে ব্যবহৃত হয়।

সম্পাদক এর চয়েস