tcpdump命令的使用方法(11)
tcpdump命令的使用方法
oamf4
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0 并且 VCI=3 或者 VCI=4), 則與此對應的條件表達式為真.
(nt: OAM 與 end-to-end OAM F4 在上文已有描述, 可搜索'oamf4s'來定位)
oam
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是 end-to-end 或 segment OAM F4 信元(VPI=0 并且 VCI=3 或者 VCI=4), 則與此對應的條件表達式為真.
(nt: 此選項與oamf4重復, 需確認)
metac
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'元信令線路'(nt: VPI=0 并且 VCI=1, '元信令線路', meta signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
bcc
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'廣播信令線路'(nt: VPI=0 并且 VCI=2, '廣播信令線路', broadcast signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
sc
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'信令線路'(nt: VPI=0 并且 VCI=5, '信令線路', signaling circuit, 具體含義未知, 需補充),
則與此對應的條件表達式為真.
ilmic
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'ILMI線路'(nt: VPI=0 并且 VCI=16, 'ILMI', Interim Local Management Interface , 可理解為
基于SNMP(簡易網絡管理協(xié)議)的用于網絡管理的接口)
則與此對應的條件表達式為真.
connectmsg
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'信令線路'并且是Q.2931協(xié)議中規(guī)定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式為真.
(nt: Q.2931 為ITU(國際電信聯(lián)盟)制定的信令協(xié)議. 其中規(guī)定了在寬帶綜合業(yè)務數(shù)字網絡的用戶接口層建立, 維護, 取消
網絡連接的相關步驟.)
metaconnect
如果數(shù)據(jù)包為ATM數(shù)據(jù)包, 則與此對應的條件表達式為真. 對于Solaris 操作系統(tǒng)上的SunATM設備 , 如果數(shù)據(jù)包為ATM數(shù)據(jù)包
并且是來自'元信令線路'并且是Q.2931協(xié)議中規(guī)定的以下幾種消息: Setup, Calling Proceeding, Connect,
Connect Ack, Release, 或者Release Done. 則與此對應的條件表達式為真.
expr relop expr
如果relop 兩側的操作數(shù)(expr)滿足relop 指定的關系, 則與此對應的條件表達式為真.
relop 可以是以下關系操作符之一: >, <, <=, =, !=.
expr 是一個算術表達式. 此表達式中可使用整型常量(表示方式與標準C中一致), 二進制操作符(+, -, _ /, &, |,
<<, >>), 長度操作符, 以及對特定數(shù)據(jù)包中數(shù)據(jù)的引用操作符. 要注意的是, 所有的比較操作都默認操作數(shù)是無符號的,
例如, 0x80000000 和 0xffffffff 都是大于0的(nt: 對于有符號的比較, 按照補碼規(guī)則, 0xffffffff
會小于0). 如果要引用數(shù)據(jù)包中的數(shù)據(jù), 可采用以下表達方式:
proto [expr : size]
proto 的取值可以是以下取值之一:ether, fddi, tr, wlan, ppp, slip, link, ip, arp, rarp,
tcp, udp, icmp, ip6 或者 radio. 這指明了該引用操作所對應的協(xié)議層.(ether, fddi, wlan,
tr, ppp, slip and link 對應于數(shù)據(jù)鏈路層, radio 對應于802.11(wlan,無線局域網)某些數(shù)據(jù)包中的附帶的
"radio"頭(nt: 其中描述了波特率, 數(shù)據(jù)加密等信息)).
要注意的是, tcp, udp 等上層協(xié)議目前只能應用于網絡層采用為IPv4或IPv6協(xié)議的網絡(此限制會在tcpdump未來版本中
進行修改). 對于指定協(xié)議的所需數(shù)據(jù), 其在包數(shù)據(jù)中的偏移字節(jié)由expr 來指定.
以上表達中size 是可選的, 用來指明我們關注那部分數(shù)據(jù)段的長度(nt:通常這段數(shù)據(jù)
是數(shù)據(jù)包的一個域), 其長度可以是1, 2, 或4個字節(jié). 如果不給定size, 默認是1個字節(jié). 長度操作符的關鍵字為len,
這代碼整個數(shù)據(jù)包的長度.
例如, 'ether[0] & 1 != 0' 將會使tcpdump 抓取所有多點廣播數(shù)據(jù)包.(nt: ether[0]字節(jié)的最低位為1表示
數(shù)據(jù)包目的地址是多點廣播地址). 'ip[0] & 0xf != 5' 對應抓取所有帶有選項的
IPv4數(shù)據(jù)包. 'ip[6:2] & 0x1fff = 0'對應抓取沒被破碎的IPv4數(shù)據(jù)包或者
其片段編號為0的已破碎的IPv4數(shù)據(jù)包. 這種數(shù)據(jù)檢查方式也適用于tcp和udp數(shù)據(jù)的引用,
即, tcp[0]對應于TCP 頭中第一個字節(jié), 而不是對應任何一個中間的字節(jié).
一些偏移以及域的取值除了可以用數(shù)字也可用名字來表達. 以下為可用的一些域(協(xié)議頭中的域)的名字: icmptype (指ICMP 協(xié)議頭
中type域), icmpcode (指ICMP 協(xié)議頭code 域), 以及tcpflags(指TCP協(xié)議頭的flags 域)
以下為ICMP 協(xié)議頭中type 域的可用取值:
icmp-echoreply, icmp-unreach, icmp-sourcequench, icmp-redirect, icmp-echo, icmp-routeradvert,
icmp-routersolicit, icmp-timx-ceed, icmp-paramprob, icmp-tstamp, icmp-tstampreply,
icmp-ireq, icmp-ireqreply, icmp-maskreq, icmp-maskreply.
以下為TCP 協(xié)議頭中flags 域的可用取值:tcp-fin, tcp-syn, tcp-rst, tcp-push,
tcp-ack, tcp-urg.
看過“tcpdump命令的使用方法”的人還看了:
1.linux下free命令使用方法
2.Linux下nl命令怎么用
3.Linux命令如何連接
4.Linux下traceroute命令怎么用
5.mv命令怎么用
6.11個很有用的Linux 命令