Tcpdump: ఉదాహరణలు, ఐచ్ఛికాలు మరియూ మరిన్ని

Anonim

Tcpdump అనేది ఒక నెట్వర్క్ అడాప్టర్ గుండా వెళ్ళే TCP / IP ప్యాకెట్లను సేకరిస్తున్న పలు Linux ఆపరేటింగ్ సిస్టమ్స్ (OS లు) లో ఉపయోగించే ఒక ఆదేశం. ఒక ప్యాకెట్ స్నిఫ్ర్ సాధనం లాంటిది, tcpdump నెట్వర్క్ ట్రాఫిక్ను విశ్లేషించదు, కానీ దానిని ఫైల్కు సేవ్ చేస్తుంది.

అప్రమేయంగా ఆపరేటింగ్ సిస్టమ్ చేత అందించబడిన కొన్ని ఆదేశాలను కాకుండా, మీరు tcpdump ను ఉపయోగించనందున అది ఇన్స్టాల్ చేయబడలేదని మీరు కనుగొనవచ్చు. Tcpdump ను సంస్థాపించుటకు, ఎగ్జిక్యూట్ చేయండి apt-get install tcpdump లేదా yum install tcpdump, మీ OS ఆధారంగా.

ఎలా Tcpdump వర్క్స్

Tcpdump ప్యాకేజీల శీర్షికలను బూలియన్తో సరిపోయే నెట్వర్కు యింటర్ఫేస్ పై ముద్రిస్తుంది వ్యక్తీకరణ . ఇది కూడా అమలు చేయవచ్చుమీరు- W పతాకం, ఇది ప్యాకెట్ డేటాను తరువాత విశ్లేషణ కోసం మరియు / లేదా ఒక ఫైల్కు సేవ్ చేయడానికి కారణమవుతుంది-r జెండా, ఇది ఒక నెట్వర్క్ ఇంటర్ఫేస్ నుండి ప్యాకెట్లను చదవటానికి కాకుండా సేవ్ చేయబడిన ప్యాకెట్ ఫైల్ నుండి చదవడానికి కారణమవుతుంది. అన్ని సందర్భాలలో, సరిపోలే ప్యాకెట్లను మాత్రమే వ్యక్తీకరణ ద్వారా ప్రాసెస్ చేయబడుతుంది tcpdump .

tcpdump రెడీ, లేకపోతే అమలు-c జెండా, అది SIGINT సిగ్నల్ ద్వారా అంతరాయం కలిగే వరకు ప్యాకెట్లను బంధించే కొనసాగుతుంది (ఉదాహరణకు, మీ అంతరాయక పాత్రను టైప్ చేయడం ద్వారా, సాధారణంగా Ctrl + C) లేదా SIGTERM సిగ్నల్ (సాధారణంగా ఉత్పన్నం చేయబడుతుందిచంపడానికి(1) కమాండ్); తో అమలు చేస్తే-c జెండా, ఇది SIGINT లేదా SIGTERM సిగ్నల్ ద్వారా అంతరాయం కలిగే వరకు ప్యాకెట్లను పట్టుకుంటుంది లేదా నిర్దిష్ట ప్యాకెట్ల సంఖ్య ప్రాసెస్ చెయ్యబడింది.

పైన పేర్కొన్న స్విచ్లు ఈ ఆర్టికల్లో తరువాత వివరంగా వివరించబడ్డాయి.

ఎప్పుడు tcpdump ప్యాకెట్లను బంధించే ముగింపులు, దీని యొక్క గణనలు నివేదించబడతాయి:

  • ప్యాకెట్లను "వడపోత ద్వారా పొందింది."
    • దీని అర్ధం మీరు అమలుచేస్తున్న OS పై ఆధారపడి ఉంటుంది tcpdump , మరియు బహుశా OS కాన్ఫిగర్ చేయబడింది. ఒక వడపోత కమాండ్ లైన్ లో తెలుపబడితే, కొన్ని OS లపై అది ఫిల్టర్ ఎక్స్ప్రెషన్తో సరిపోలిందో లేదో అనేదానితో సంబంధం లేకుండా ప్యాకెట్లను పరిగణనలోకి తీసుకుంటుంది మరియు ఇతరులు దీనిని ఫిల్టర్ ఎక్స్ప్రెషన్ ద్వారా సరిపోయే ప్యాకెట్లను మాత్రమే లెక్కించేవారు tcpdump.
  • పాకేట్లు "కెర్నల్చే పడిపోయింది."
    • ఇది బఫర్ స్థలం లేకపోవటం వలన పడిపోయిన ప్యాకెట్ల సంఖ్య, OS లో ప్యాకెట్ క్యాప్చర్ మెకానిజం ద్వారా tcpdump అనువర్తనాలను సమాచారం OS నివేదిస్తే, రన్ అవుతోంది. లేకపోతే, అది 0 గా నివేదించబడుతుంది.

చాలా BSDs (బర్కిలీ సాఫ్ట్వేర్ పంపిణీలు) వంటి SIGINFO సిగ్నల్కు మద్దతు ఇచ్చే ప్లాట్ఫారమ్లలో, ఇది ఒక SIGINFO సిగ్నల్ (ఉదాహరణకు, మీ "స్థితి" పాత్రను టైప్ చేయడం ద్వారా, Ctrl + T) మరియు ప్యాకెట్లను బంధించే కొనసాగుతుంది.

Tcpdump అనుకూలత

Tcpdump ఆదేశముతో నెట్వర్కు యింటర్ఫేస్ నుండి ప్యాకెట్లను చదివేటప్పుడు మీకు ప్రత్యేక అధికారములు ఉందా ( పఠనం ఒక సేవ్ చేయబడిన ప్యాకెట్ ఫైల్ అలాంటి అధికారాలు అవసరం లేదు):

  • NIT లేదా BPF తో SunOS 3.x లేదా 4.x: మీరు ఆక్సెస్ ను చదవాలి / Dev / NIT లేదా dev / bpf * .
  • DLPI తో సోలారిస్: మీరు నెట్వర్క్ నకిలీ పరికరానికి చదవడానికి / వ్రాసే యాక్సెస్ కలిగి ఉండాలి / Dev / లే . సోలారిస్ యొక్క కొన్ని వెర్షన్లలో, ఇది అనుమతించడానికి సరిపోదు tcpdump సంక్లిష్ట రీతిలో సంగ్రహించడానికి; Solaris ఆ వెర్షన్లు, మీరు రూట్ ఉండాలి, లేదా tcpdump తప్పనిసరిగా రూట్ చేయడానికి సెటూయిడ్ను ఇన్స్టాల్ చేయాలి, ఇది సంక్లిష్ట మోడ్లో సంగ్రహించడానికి. మీరు సంక్లిష్ట మోడ్లో పట్టుకోకపోతే చాలామంది (బహుశా అన్ని) ఇంటర్ఫేస్లు, మీరు ఏ అవుట్గోయింగ్ ప్యాకెట్లను చూడలేరని గమనించండి, కాబట్టి సంక్లిష్ట మోడ్లో చేయని క్యాప్చర్ చాలా ఉపయోగకరంగా ఉండకపోవచ్చు.
  • DLPI తో HP-UX: మీరు రూట్ లేదా ఉండాలి tcpdump రూట్ చేయడానికి సెటూయిడ్ను తప్పక ఇన్స్టాల్ చేయాలి.
  • IRIX స్నూప్ తో: మీరు రూట్ లేదా ఉండాలి tcpdump రూట్ చేయడానికి సెటూయిడ్ను తప్పక ఇన్స్టాల్ చేయాలి.
  • Linux: మీరు రూట్ లేదా ఉండాలి tcpdump రూట్ చేయడానికి సెటూయిడ్ను తప్పక ఇన్స్టాల్ చేయాలి.
  • Ultrix మరియు డిజిటల్ UNIX / Tru64 UNIX: ఏ వినియోగదారుతో నెట్వర్క్ ట్రాఫిక్ను సంగ్రహించవచ్చు tcpdump . అయినప్పటికీ, సూపర్-యూజర్ ఆ ఇంటర్ఫేస్లో ప్రత్యామ్నాయ-మోడ్ ఆపరేషన్ను ఎనేబుల్ చేయకపోతే వినియోగదారుడు (సూపర్-యూజర్ కూడా కాదు) ఒక ఇంటర్ఫేస్లో ప్రత్యామ్నాయ మోడ్లో సంగ్రహించవచ్చు pfconfig (8) మరియు సూపర్ యూజర్ వినియోగదారు ఇంటర్ఫేస్లో కాపీ-ఆల్-మోడ్ ఆపరేషన్ను ఎనేబుల్ చేయకపోతే ఒక ఇంటర్ఫేస్లో యంత్రం ద్వారా పంపిన లేదా పంపిన ఏకీకృత ట్రాఫిక్ను వినియోగదారుని (వినియోగదారునికే కూడా కాదు) pfconfig , కాబట్టి ఉపయోగకరమైన ఒక ఇంటర్ఫేస్పై ప్యాకెట్ సంగ్రహణ సంభవిస్తే తప్పనిసరిగా సంక్లిష్ట-మోడ్ లేదా కాపీ-ఆల్-మోడ్ ఆపరేషన్ లేదా ఆపరేషన్ యొక్క రెండు మోడ్లు ఆ ఇంటర్ఫేస్లో ప్రారంభించబడాలి.
  • BSD: మీరు ఆక్సెస్ ను చదవాలి / Dev / bpf * .

Tcpdump కమాండ్ సింటాక్స్

అన్ని కంప్యూటర్ ఆదేశాలను లాగా, సిన్టాక్స్ సరి అయినప్పుడు మాత్రమే tcpdump కమాండ్ సరిగా పనిచేస్తుంది:

tcpdump -adeflnNOpqRStuvxX -c కౌంట్

-C FILE_SIZE -F ఫైలు

-i ఇంటర్ఫేస్ -m మాడ్యూల్ -r ఫైలు

-s snaplen -T రకం -U యూజర్ మీరు- W ఫైలు

-E అల్గో: రహస్య వ్యక్తీకరణ

Tcpdump కమాండ్ ఐచ్ఛికాలు

మీరు tcpdump ఆదేశంతో వుపయోగించే అన్ని ఐచ్చికములు:

  • -a: నెట్వర్క్ మరియు ప్రసార చిరునామాలను పేర్లకు మార్చడానికి ప్రయత్నం.
  • -c: స్వీకరించిన తర్వాత నిష్క్రమించు కౌంట్ ప్యాకెట్లను.
  • -C: ఒక ముడి పాకెట్ను savefile కు వ్రాసేముందు, ఫైల్ ప్రస్తుతం పెద్దది కాదో తనిఖీ చేయండి FILE_SIZE మరియు, అలా అయితే, ప్రస్తుత savefile ను మూసివేసి, క్రొత్తదాన్ని తెరవండి.మొదటి savefile తరువాత Savefiles పేరుతో తెలుపబడినదిమీరు- W జెండా, దాని తర్వాత ఒక సంఖ్యతో, 2 వద్ద ప్రారంభించి పైకి కొనసాగడం. యూనిట్లు FILE_SIZE మిలియన్ల బైట్లు (1,000,000 బైట్లు, 1,048,576 బైట్లు కాదు).
  • -d: కంపైల్ చేయబడిన పాకెట్-సరిపోలే కోడ్ని మానవ రీడబుల్ రూపంలో ప్రామాణిక అవుట్పుట్ మరియు ఆపడానికి డంప్ చేయండి.
  • -dd: ఒక వంటి ప్యాకెట్-సరిపోలే కోడ్ డంప్సి ప్రోగ్రామ్ భాగం.
  • -ddd: ప్యాకెట్-సరిపోలే కోడ్ను దశాంశ సంఖ్యల వలె (కౌంట్తో ముందే) డంప్ చేయండి.
  • -e: ప్రతి డంప్ పంక్తిలో లింక్-స్థాయి శీర్షికను ముద్రించండి.
  • -E: వా డు అల్గో: రహస్య IPsec ESP ప్యాకెట్లను వ్యక్తీకరించడానికి. అల్గోరిథంలు ఉండవచ్చుdes-CBC, 3DES-CBC, బ్లోఫిష్-CBC, rc3-CBC, cast128-CBC, లేదాఎవరూ. డిఫాల్ట్des-CBC. ప్యాకెట్లను డిక్రిప్టు చేయగల సామర్ధ్యం మాత్రమే ఉంటుంది tcpdump గూఢ లిపి ఎనేబుల్ చెయ్యబడింది. రహస్య ESP రహస్య కీ కోసం ascii టెక్స్ట్. మేము ఈ సమయంలో ఏకపక్ష బైనరీ విలువను తీసుకోలేము. ఈ ఎంపికను RFC2406 ESP, RFC1827 ESP కాదు. ఎంపికను డీబగ్గింగ్ ప్రయోజనాల కోసం మాత్రమే ఉపయోగిస్తారు మరియు ఈ ఎంపికను నిజంగా 'రహస్య' కీతో నిరుత్సాహపరుస్తుంది. కమాండ్ లైన్ పై IPsec రహస్య కీని ప్రదర్శించడం ద్వారా మీరు దీనిని ఇతరులకు చూడవచ్చు ps (1) మరియు ఇతర సందర్భాలలో.
  • -f: ప్రింట్ 'విదేశీ' ఇంటర్నెట్ చిరునామాలను ప్రతీకగా కాకుండా (ఈ ఎంపికను సన్ యొక్క yp సర్వర్లో తీవ్రమైన మెదడు నష్టం కలిగించడానికి ఉద్దేశించబడింది - సాధారణంగా అది ఏకాంతర ఇంటర్నెట్ నంబర్లను అనువదిస్తుంది).
  • -F: వా డు ఫైలు ఫిల్టర్ వ్యక్తీకరణకు ఇన్పుట్గా. కమాండ్ లైన్పై ఇచ్చిన అదనపు వ్యక్తీకరణ విస్మరించబడుతుంది.
  • -i: వినండి ఇంటర్ఫేస్ . పేర్కొనకపోతే, tcpdump అత్యల్ప సంఖ్య, కాన్ఫిగర్ అప్ ఇంటర్ఫేస్ (లూప్బ్యాక్ మినహాయించి) కోసం సిస్టమ్ ఇంటర్ఫేస్ జాబితాను శోధిస్తుంది. తొలి మ్యాచ్ ఎంచుకోవడం ద్వారా టైలు విరిగిపోతాయి. 2.2 లేదా తరువాత కెర్నల్లతో లైనక్స్ సిస్టమ్సులో, a ఇంటర్ఫేస్ "ఏవి" యొక్క వాదనను అన్ని ఇంటర్ఫేస్ల నుండి ప్యాకెట్లను పట్టుకోవటానికి వాడవచ్చు.ఏదైనా పరికరంలో సంగ్రహించబడదు సంభవనీయ రీతిలో చేయలేదని గమనించండి.
  • -l: Stdout లైన్ బఫర్డ్ చేయండి. డేటాను సంగ్రహించేటప్పుడు మీరు చూడాలనుకుంటే ఉపయోగపడుతుంది. ఉదాహరణకు, "tcpdump -l | tee dat" లేదా "tcpdump -l> డాట్ & టెయిల్- f దట్ ''.
  • -m: ఫైలు నుండి లోడ్ SMI MIB మాడ్యూల్ నిర్వచనాలు మాడ్యూల్ . అనేక MIB మాడ్యూళ్ళను లోడు చేయడానికి ఈ ఐచ్ఛికాన్ని అనేకసార్లు ఉపయోగించవచ్చు tcpdump .
  • -n: హోస్ట్ చిరునామాలను పేర్లకు మార్చకండి. ఇది DNS శోధనలను నివారించడానికి ఉపయోగించబడుతుంది.
  • -nn: ప్రోటోకాల్ మరియు పోర్ట్ సంఖ్యలను పేర్లకు మార్చడం లేదు.
  • -n: హోస్ట్ పేర్ల డొమైన్ పేరు అర్హతను ప్రింట్ చేయవద్దు. ఉదాహరణకు, మీరు ఈ జెండాను ఇవ్వకపోతే tcpdump "nic.ddn.mil" కు బదులుగా "nic" ప్రింట్ చేస్తుంది.
  • -O: ప్యాకెట్-సరిపోలే కోడ్ ఆప్టిమైజర్ను అమలు చేయవద్దు. మీరు Optimizer లో బగ్ ను అనుమానించినప్పుడు మాత్రమే ఇది ఉపయోగపడుతుంది.
  • -p: లేదు పరస్పర మోడ్లోకి ఇంటర్ఫేస్ను ఉంచండి. కొన్ని ఇతర కారణాల వలన ఇంటర్ఫేస్ పరస్పర మోడ్లో ఉండవచ్చని గమనించండి; అందుకే, '-p' అనేది ఈథర్ హోస్ట్ {local-hw-addr} లేదా ఈథర్ ప్రసారం కోసం ఒక సంక్షిప్త రూపంగా ఉపయోగించబడదు.
  • -q: త్వరిత (నిశ్శబ్ద) అవుట్పుట్. తక్కువ ప్రోటోకాల్ సమాచారం ముద్రించండి కాబట్టి అవుట్పుట్ పంక్తులు తక్కువగా ఉంటాయి.
  • -R: పాత వివరణ ఆధారంగా ESP / AH ప్యాకెట్లను అనుకుందాం: RFC1825 నుండి RFC1829. పేర్కొన్నట్లయితే, tcpdump రీప్లే నిరోధక క్షేత్రాన్ని ప్రింట్ చేయదు. ESP / AH వివరణలో ప్రోటోకాల్ వర్షన్ ఫీల్డ్ లేనందున, tcpdump ESP / AH ప్రోటోకాల్ సంస్కరణను రద్దు చేయలేరు.
  • -r: నుండి ప్యాకెట్లను చదవండి ఫైలు (ఇది -w ఐచ్చికంతో సృష్టించబడింది). ప్రామాణిక ఇన్పుట్ ఉపయోగిస్తే ఫైలు అనేది "-"
  • -S: సంపూర్ణ, TCP సీక్వెన్స్ నంబర్ కాకుండా, సంపూర్ణ ముద్రణ.
  • -s: స్నార్ఫ్ snaplen 68 యొక్క డిఫాల్ట్ కంటే ప్రతి ప్యాకెట్ నుండి డేటా యొక్క బైట్లు; SunOS యొక్క NIT తో కనీసం కనీసము 96. అరవై-ఎనిమిది బైట్లు IP, ICMP, TCP, మరియు UDP కు సరిపోవును కానీ పేరు సర్వర్ మరియు NFS ప్యాకెట్ల నుండి క్రింది సమాచారాన్ని చూడవచ్చు (క్రింద చూడండి). పరిమిత స్నాప్షాట్ కారణంగా అవుట్పుట్ లో సూచించబడిన ప్యాకెట్లను "| ప్రోటో '', ఎక్కడ ప్రోటో ట్రంకేషన్ సంభవించిన ప్రోటోకాల్ స్థాయి పేరు. పెద్ద స్నాప్షాట్లను తీసుకొని రెండు ప్యాకెట్లను ప్రాసెస్ చేయడానికి సమయం పడుతుంది మరియు ప్యాకెట్ బఫరింగ్ మొత్తాన్ని తగ్గిస్తుంది. ఇది ప్యాకెట్లను కోల్పోవడానికి కారణం కావచ్చు. మీరు పరిమితం చేయాలి snaplen మీకు ఆసక్తి ఉన్న ప్రోటోకాల్ సమాచారాన్ని సంగ్రహించే అతిచిన్న సంఖ్యకు snaplen మొత్తం ప్యాకెట్లను పట్టుకోవటానికి కావలసిన పొడవును 0 కి అర్థం.
  • -T: ఫోర్స్ ప్యాకెట్లను " వ్యక్తీకరణ "నిర్దేశించినట్లు వివరించబడింది రకం . ప్రస్తుతం తెలిసిన రకాలుcnfp (సిస్కో నెట్ఫ్లో ప్రోటోకాల్),RPC (రిమోట్ ప్రొసీజర్ కాల్),RTP (రియల్ టైమ్ అప్లికేషన్స్ ప్రోటోకాల్),rtcp (రియల్ టైమ్ అప్లికేషన్స్ కంట్రోల్ ప్రోటోకాల్),snmp (సింపుల్ నెట్వర్క్ మేనేజ్మెంట్ ప్రోటోకాల్),వ్యాట్ (విజువల్ ఆడియో టూల్), మరియుWB (పంపిణీ వైట్ బోర్డు).
  • -t: లేదు ప్రతి డంప్ లైన్లో ఒక స్టాంప్ ప్రింట్.
  • -tt: ప్రతి డంప్ లైన్ లో ఫార్మాట్ కాని ఫార్మాట్ ముద్రించండి.
  • -U: డ్రాప్స్ రూట్ అధికారాలు మరియు మార్పుల వినియోగదారు ID కు యూజర్ మరియు సమూహం ID యొక్క ప్రాధమిక సమూహం యూజర్ .
  • గమనిక: ఏదీ తెలుపకపోతే Red Hat Linux స్వయంచాలకంగా "pcap" కు యూజర్ అధికారాలను వదిలివేస్తుంది.
  • -ttt: ప్రతి డంప్ పంక్తిలో ప్రస్తుత మరియు మునుపటి లైన్ మధ్య డెల్టా (మైక్రో సెకండ్లలో) ముద్రించండి.
  • -tttt: ప్రతి డంప్ లైన్ తేదీ ద్వారా ముందుకు సాదా డిఫాల్ట్ ఫార్మాట్ లో ఒక స్టాంప్ ప్రింట్.
  • -u: Undecoded NFS హ్యాండిల్స్ ముద్రించు.
  • -v: (కొంచెం ఎక్కువ) వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, నివసించడానికి, ఐడెంటిఫికేషన్, మొత్తం పొడవు మరియు IP ప్యాకెట్లోని ఎంపికల సమయం ముద్రించబడతాయి. IP మరియు ICMP శీర్షిక చెక్సమ్ను ధృవీకరించడం వంటి అదనపు ప్యాకెట్ సమగ్రత తనిఖీలను కూడా ప్రారంభిస్తుంది.
  • -vv: మరింత వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, అదనపు ఖాళీలను NFS ప్రత్యుత్తరం ప్యాకెట్ల నుండి ముద్రించబడతాయి మరియు SMB ప్యాకెట్లను పూర్తిగా డీకోడ్ చేయబడతాయి.
  • -vvv: మరింత వెర్బోస్ అవుట్పుట్. ఉదాహరణకు, టెల్నెట్SBSE ఎంపికలు పూర్తిగా ముద్రించబడతాయి. తో -X టెల్నెట్ ఎంపికలు హెక్స్లో కూడా ముద్రించబడతాయి.
  • మీరు- W: ముడి ప్యాకెట్లను వ్రాయండి ఫైలు వాటిని అన్వయించడం మరియు ముద్రించడం కాకుండా. అవి -r ఐచ్ఛికంతో ముద్రించబడతాయి. ప్రామాణిక అవుట్పుట్ ఉంటే ఉపయోగిస్తారు ఫైలు అనేది "-"
  • -x: ప్రతి ప్యాకెట్ (దాని లింక్ స్థాయి హెడర్ని తీసివేసి) హెక్స్లో ప్రింట్ చేయండి. మొత్తం ప్యాకెట్ లేదా చిన్నది snaplen బైట్లు ముద్రించబడతాయి. ఇది మొత్తం లింక్ లేయర్ ప్యాకెట్ కాదని గమనించండి, కాబట్టి ప్యాడ్ (ఉదా., ఈథర్నెట్) లింక్ పొరల కోసం, పాడింగ్ పైట్లు కూడా అవసరమైన పాడింగ్ కంటే ఎక్కువ పొర ప్యాకెట్ తక్కువగా ఉన్నప్పుడు ముద్రించబడతాయి.
  • -X: హెక్స్ ప్రింటింగ్ చేసినప్పుడు, కూడా ascii ముద్రణ. అలా అయితే-x కూడా సెట్, ప్యాకెట్ హెక్స్ / ascii లో ముద్రించబడుతుంది. కొత్త ప్రోటోకాల్స్ విశ్లేషించడానికి ఇది చాలా సులభ ఉంది. అయినా కూడా-x సెట్ చేయలేదు, కొన్ని ప్యాకెట్లలో కొన్ని భాగాలు హెక్స్ / అస్సిసిలో ముద్రించబడవచ్చు.
  • వ్యక్తీకరణ : ప్యాకెట్లను వదిలేసే ఎంపికలను ఎంచుకోండి. ఏవే వ్యక్తీకరణ ఇవ్వబడుతుంది, నికర అన్ని ప్యాకెట్లను తిరస్కరించబడుతుంది. లేకపోతే, ఇది కోసం మాత్రమే ప్యాకెట్లను వ్యక్తీకరణ 'నిజం' కురిపించబడతారు. ది వ్యక్తీకరణ ఒకటి లేదా అంతకంటే ఎక్కువ ఉంటుంది ధాతువులు. ప్రాథమికాలు సాధారణంగా ఉంటాయి ఐడి (పేరు లేదా సంఖ్య) ఒకటి లేదా అంతకన్నా ఎక్కువ అర్హతలు. మూడు విభిన్న రకాలైన క్వాలిఫైయర్లు ఉన్నాయి:
  • రకం : క్వాలిఫయర్లు ఐడి పేరు లేదా సంఖ్యను సూచిస్తున్న విషయం ఏమంటుందో చెప్పండి. సాధ్యమయ్యే రకాలుహోస్ట్, నికర, మరియుపోర్ట్ఉదాహరణకు, 'హోస్ట్ ఫూ', 'నెట్ 128.3', 'పోర్ట్ 20'. ఏ రకం క్వాలిఫైయర్ ఉంటే,హోస్ట్ ఊహించబడింది.
  • dir : క్వాలిఫైర్స్ ఒక ప్రత్యేక బదిలీ దిశను మరియు / లేదా నుండి ఐడి . సాధ్యమైన దిశలుsrc, DST, src లేదా dst మరియుsrc మరియు DST (ఉదా., src foo ',' dst net 128.3 ',' src or dst port ftp-data '). ఏ అర్హత క్వాలిఫైయర్ లేకపోతే,src లేదా dst ఊహించబడింది. 'నల్లీ' లింక్ పొరలు (అంటే, స్లిప్ వంటి పాయింట్ టు పాయింట్ ప్రోటోకాల్స్) ది బౌండ్ మరియు అవుట్బౌండ్ కావలసిన దిశను పేర్కొనడానికి క్వాలిఫైయర్లను ఉపయోగించవచ్చు.
  • ప్రోటో : క్వాలిఫయర్లు ఒక నిర్దిష్ట ప్రోటోకాల్కు ఆటని నియంత్రిస్తాయి. సాధ్యమయ్యే ప్రోటోస్: ఈథర్, FDDI, tr, ip, ip6, ARP, rarp, DEC నెట్, TCP, మరియుUDPఉదాహరణకు, 'ఈథర్ src foo', 'arp net 128.3', 'tcp port 21'. ప్రోటో క్వాలిఫైయర్ లేనట్లయితే, రకానికి చెందిన అన్ని ప్రోటోకాల్లు ఊహించబడతాయి. ఉదాహరణకు, 'src foo' అంటే 'ip లేదా arp లేదా rarp src foo' (రెండోది చట్టపరమైన వాక్యనిర్మాణం కాదు), 'net bar' అంటే 'ip లేదా arp లేదా rarp net net' మరియు 'port 53' అర్థం '(tcp లేదా udp) పోర్ట్ 53'.
    • 'fddi' వాస్తవానికి 'ఈథర్' కోసం అలియాస్; ఈ పార్సర్ వాటిని పేర్కొన్నది "పేర్కొన్న నెట్వర్క్ ఇంటర్ఫేస్లో ఉపయోగించిన డేటా లింక్ స్థాయి." FDDI శీర్షికలు ఈథర్నెట్-వంటి మూలం మరియు గమ్య చిరునామాలను కలిగి ఉంటాయి మరియు తరచుగా ఈథర్నెట్-వంటి ప్యాకెట్ రకాలను కలిగి ఉంటాయి, కాబట్టి మీరు ఈ FDDI ఫీల్డ్లలో ఫిల్టర్ చెయ్యవచ్చు సారూప్య ఈథర్నెట్ ఫీల్డులతో పాటు FDDI శీర్షికలు ఇతర రంగాలను కలిగి ఉంటాయి, కానీ మీరు వాటిని ఫిల్టర్ ఎక్స్పెషన్లో స్పష్టంగా పేర్కొనలేరు.
    • అదేవిధంగా 'tr' అనేది 'ఈథర్' కు అలియాస్; FDDI శీర్షికల గురించి మునుపటి పేరా యొక్క ప్రకటనలు కూడా టోకెన్ రింగ్ శీర్షికలకు వర్తిస్తాయి.

పైకి అదనంగా, నమూనాను అనుసరించని కొన్ని ప్రత్యేక "ప్రాచీన" కీలక పదాలు ఉన్నాయి:గేట్వే, ప్రసార, తక్కువ, ఎక్కువ, మరియు అంక వ్యక్తీకరణలు. ఇవి అన్ని క్రింద వివరించబడ్డాయి.

మరింత సంక్లిష్టమైన వడపోత భావాలు పదాలను ఉపయోగించి నిర్మించబడతాయిమరియు, లేదా, మరియుకాదు ఉదాహరణకు, "హోస్ట్ ఫూ మరియు పోర్ట్ ఫోర్ట్ కాదు మరియు పోర్ట్ ftp-data" కాదు. టైపింగ్ను సేవ్ చేయడానికి, ఒకే రకమైన క్వాలిఫైయర్ జాబితాలను తొలగించవచ్చు (ఉదా., "Tcp dst పోర్ట్ ftp లేదా ftp-data లేదా డొమైన్" అనేది "tcp dst పోర్ట్ ftp లేదా tcp dst పోర్ట్ ftp-data లేదా tcp dst పోర్ట్ డొమైన్" లాగా ఉంటుంది.)

ఇవి tcpdump ఆదేశంతో అనుమతించబడిన ప్రైమటివ్స్:

  • dst హోస్ట్ హోస్ట్
    • ప్యాకెట్ యొక్క IPv4 / v6 గమ్యం ఫీల్డ్ ఉంటే అది నిజమే హోస్ట్ , ఇది ఒక చిరునామా లేదా పేరు కావచ్చు.
  • src host హోస్ట్
    • ప్యాకెట్ యొక్క IPv4 / V6 మూల క్షేత్రము నిజమైతే ట్రూ హోస్ట్ .
  • హోస్ట్ హోస్ట్
    • ప్యాకెట్ యొక్క IPv4 / V6 మూలం లేదా గమ్యస్థానం ఉంటే ట్రూ హోస్ట్ . పైన హోస్ట్ వ్యక్తీకరణలు ఏ కీలక పదాలు తో prepended,ip, ARP, rarp, లేదాip6, వంటి ip హోస్ట్ హోస్ట్ (ఇది సమానం ఈథర్ ప్రోటో ip మరియు హోస్ట్ హోస్ట్).
    • ఉంటే హోస్ట్ బహుళ IP చిరునామాలతో ఒక పేరు, ప్రతి చిరునామా మ్యాచ్ కోసం తనిఖీ చేయబడుతుంది.
  • ఈథర్ dst ehost
    • ఈథర్నెట్ గమ్యం చిరునామా ఉంటే ట్రూ ehost . Ehost / etc / ethers నుండి ఒక పేరు లేదా ఒక సంఖ్య కావచ్చు (చూడండి ఈథర్ల (3N) సంఖ్యా ఫార్మాట్ కోసం).
  • ఈథర్ src ehost
    • ఈథర్నెట్ సోర్స్ చిరునామా ఉంటే ట్రూ ehost .
  • ఈథర్ హోస్ట్ ehost
    • ఈథర్నెట్ మూలం లేదా గమ్యం చిరునామా ఉంటే ట్రూ ehost .
  • గేట్వే హోస్ట్
    • ఉపయోగించిన ప్యాకెట్ ట్రూ హోస్ట్ గేట్ వేగా (అంటే, ఈథర్నెట్ మూలం లేదా గమ్యస్థాన చిరునామా హోస్ట్ కానీ IP మూలం లేదా IP గమ్యం కాదు హోస్ట్ ).
    • హోస్ట్ తప్పనిసరిగా ఒక పేరు అయి ఉండాలి మరియు యంత్రం యొక్క హోస్ట్-నేమ్-టు-ఐ-ఐ-పిన్ రిజల్యూషన్ స్పష్టీకరణ యంత్రాంగాలు (హోస్ట్ పేరు ఫైల్, DNS, NIS, మొదలైనవి) మరియు యంత్రం యొక్క హోస్ట్-నేటివ్ టు ఈథర్నెట్-అడ్రస్ రిజల్యూషన్ మెషనిజం (/ etc / ethers, మొదలైనవి).
    • సమానమైన వ్యక్తీకరణ ఈథర్ హోస్ట్ ehost మరియు ఇప్పుడు హోస్ట్ హోస్ట్ , ఇది పేర్లు లేదా సంఖ్యల కోసం ఉపయోగించబడుతుంది హోస్ట్ / ఎహోస్ట్ .) ఈ సింటాక్స్ ఈ సమయంలో IPv6- ప్రారంభించబడిన ఆకృతీకరణలో పనిచేయదు.
  • dst net నికర
    • పాకెట్ యొక్క IPv4 / v6 గమ్యం చిరునామా యొక్క నెట్వర్క్ నంబర్ కలిగివుంటే ట్రూ నికర . నికర / etc / networks నుండి లేదా ఒక నెట్వర్క్ సంఖ్య గాని కావచ్చు (చూడండి నెట్వర్క్లు (4) వివరాల కోసం).
  • src నెట్ నికర
    • పాకెట్ యొక్క IPv4 / v6 మూలం చిరునామా అనునది నెట్వర్క్ సంఖ్యను కలిగివుంటే ట్రూ నికర .
  • నికర నికర
    • పాకెట్ యొక్క IPv4 / v6 మూలం లేదా గమ్యస్థాన చిరునామా యొక్క నెట్వర్క్ సంఖ్యను కలిగి ఉంటే ట్రూ నికర .
  • నికర నికర మాస్క్ మాస్కుగా
    • IP చిరునామా సరిపోలితే ట్రూ నికర ప్రత్యేకమైనది మాస్కుగా . అర్హత సాధించవచ్చుsrc లేదాDST. ఈ సింటాక్స్ IPv6 కు చెల్లుబాటు కాదని గమనించండి నికర .
  • నికర నికర / లెన్
    • IPv4 / v6 చిరునామా సరిపోలితే ట్రూ నికర నెట్ మాస్క్ తో లెన్ విస్తృత బిట్స్. అర్హత సాధించవచ్చుsrc లేదాDST.
  • dst పోర్ట్ పోర్ట్
    • ప్యాకెట్ ip / tcp, ip / udp, ip6 / tcp, లేదా ip6 / udp అయితే ట్రూ మరియు లక్ష్యపు పోర్టు విలువ పోర్ట్ . ది పోర్ట్ / etc / services లో ఉపయోగించే సంఖ్య లేదా పేరు కావచ్చు TCP (4P) మరియు UDP (4p)). ఒక పేరు ఉపయోగించినట్లయితే, పోర్ట్ సంఖ్య మరియు ప్రోటోకాల్ రెండూ తనిఖీ చేయబడతాయి. సంఖ్య లేదా సందిగ్ధమైన పేరు ఉపయోగించబడితే, పోర్ట్ సంఖ్య మాత్రమే తనిఖీ చేయబడుతుంది (ఉదా.dst పోర్ట్ 513 tcp / లాగిన్ ట్రాఫిక్ మరియు udp / ఎవరు ట్రాఫిక్, మరియుపోర్ట్ డొమైన్ tcp / డొమైన్ మరియు udp / డొమైన్ ట్రాఫిక్ రెండింటినీ ప్రింట్ చేస్తుంది).
  • src పోర్ట్ పోర్ట్
    • ప్యాకెట్ ఒక మూల పోర్ట్ విలువ కలిగి ఉంటే ట్రూ పోర్ట్ .
  • పోర్ట్ పోర్ట్
    • ప్యాకెట్ యొక్క మూలం లేదా గమ్యం పోర్ట్ అయితే ఇది నిజమైతే పోర్ట్ . ఎగువ పోర్ట్ వ్యక్తీకరణలు ఏవి కీలక పదాలుతో ముందే చేయబడతాయి,TCP లేదాUDP, వంటి tcp src పోర్ట్ పోర్ట్ , ఇది సోర్స్ పోర్టు అయిన TCP ప్యాకెట్లను మాత్రమే సరిపోతుంది పోర్ట్ .
  • తక్కువ పొడవు
    • ప్యాకెట్ పొడవు తక్కువగా ఉంటే లేదా సమానంగా ఉంటుంది పొడవు . ఇది సమానం len <= పొడవు .
  • ఎక్కువ పొడవు
    • ప్యాకెట్ పొడవు ఎక్కువ లేదా సమానంగా ఉంటే ట్రూ పొడవు . ఇది సమానం len> = పొడవు .
  • ip ప్రోటో ప్రోటోకాల్
    • ప్యాకెట్ ఒక IP ప్యాకెట్ అయితే ట్రూ (చూడండి ip (4P)) ప్రోటోకాల్ రకం ప్రోటోకాల్ . ప్రోటోకాల్ పేర్లు ఒకటి లేదా ఒకటి కావచ్చు ICMP , icmp6 , IGMP , igrp , PIM , అబ్బా , ESP , vrrp , UDP , లేదా TCP . గుర్తింపుదారులు TCP , UDP , మరియు ICMP కూడా కీలక పదాలు మరియు C-shell లో ఇది బాక్ స్లాష్ (), ద్వారా తప్పించుకొని తప్పక. ఈ ఆదిమ ప్రోటోకాల్ శీర్షిక గొలుసును వెంటాడదు.
  • ip6 ప్రోటో ప్రోటోకాల్
    • ప్యాకెట్ అనునది ప్రోటోకాల్ రకం యొక్క IPv6 పాకెట్ ప్రోటోకాల్ . ఈ ఆదిమ ప్రోటోకాల్ శీర్షిక గొలుసును వెంటాడదు.
  • ip6 ప్రోటోచ్ ప్రోటోకాల్
    • ప్యాకెట్ IPv6 ప్యాకెట్ అయితే ట్రూ మరియు టైప్ తో ప్రోటోకాల్ హెడర్ కలిగి ఉంటుంది ప్రోటోకాల్ దాని ప్రోటోకాల్ శీర్షిక గొలుసులో. ఉదాహరణకి, ipv6 protochain 6 ప్రోటోకాల్ హెడర్ చైన్లో TCP ప్రోటోకాల్ శీర్షికతో ఏదైనా IPv6 ప్యాకెట్కు సరిపోతుంది. IPv6 శీర్షిక మరియు TCP హెడర్ మధ్య, ప్యాకెట్, ఉదాహరణకు, ధృవీకరణ శీర్షిక, రౌటింగ్ శీర్షిక లేదా హాప్-హాప్ ఎంపిక హెడర్ కలిగి ఉండవచ్చు. ఈ ఆదిమ ద్వారా విడుదలైన BPF కోడ్ సంక్లిష్టంగా ఉంటుంది మరియు BPF ఆప్టిమైజర్ కోడ్ ద్వారా ఆప్టిమైజ్ చేయబడదు tcpdump , కాబట్టి ఇది కొంతవరకు నెమ్మదిగా ఉంటుంది.
  • ip ప్రోటోచ్ ప్రోటోకాల్
    • కు సమానమైనip6 ప్రోటోచ్ ప్రోటోకాల్ , కానీ ఇది IPv4 కోసం.
  • ఈథర్ ప్రసారం
    • ప్యాకెట్ ఒక ఈథర్నెట్ ప్రసార ప్యాకెట్ అయితే ట్రూ. ది ఈథర్ కీవర్డ్ ఐచ్ఛికం.
  • ip ప్రసారం
    • ప్యాకెట్ అనేది ఒక IP ప్రసార ప్యాకెట్ అయితే ట్రూ. ఇది అన్ని సున్నాలను మరియు అన్ని-వాటి ప్రసారాల కన్వెన్షన్లను తనిఖీ చేస్తుంది మరియు స్థానిక సబ్నెట్ ముసుగును చూస్తుంది.
  • ఈథర్ మల్టీకస్ట్
    • ప్యాకెట్ ఒక ఈథర్నెట్ మల్టీకాస్ట్ ప్యాకెట్ అయితే ట్రూ. ది ఈథర్ కీవర్డ్ ఐచ్ఛికం. ఇది 'ఈథర్ 0 & 1! = 0'.
  • ip మల్టికాస్ట్
    • ప్యాకెట్ అనేది IP మల్టికాస్ట్ ప్యాకెట్ అయితే ట్రూ.
  • ip6 మల్టీకాస్ట్
    • ప్యాకెట్ అనేది IPv6 మల్టీకాస్ట్ ప్యాకెట్ అయితే ట్రూ.
  • ఈథర్ ప్రోటో ప్రోటోకాల్
    • ప్యాకెట్ ఈథర్ రకానికి చెందినట్లయితే ట్రూ ప్రోటోకాల్ . ప్రోటోకాల్ పేర్లు ఒకటి లేదా ఒకటి కావచ్చు ip , ip6 , ARP , rarp , ఒక చర్చ , AARP , DEC నెట్ , SCA , లాటిట్యూడ్ , mopdl , moprc , ISO , ఎస్టీపీ , IPX , లేదా netbeui . ఈ ఐడెంటిఫైయర్ లు కూడా కీలకమైనవి మరియు బ్యాక్లాష్ () ద్వారా తప్పించుకోవాలి.
    • FDDI విషయంలో (ఉదా., 'fddi ప్రోటోకాల్ arp') మరియు టోకెన్ రింగ్ (ఉదా.,'tr ప్రోటోకాల్ arp'), ప్రోటోకాల్ గుర్తింపు 802.2 లాజికల్ లింక్ కంట్రోల్ (LLC) శీర్షిక నుండి వస్తుంది, ఇది సాధారణంగా FDDI లేదా టోకెన్ రింగ్ శీర్షిక పైన పొరలుగా ఉంటుంది.
    • FDDI లేదా టోకెన్ రింగ్లో చాలా ప్రోటోకాల్ ఐడెంటిఫైయర్లకు ఫిల్టరింగ్ చేసినప్పుడు, tcpdump SNAP ఫార్మాట్ లో ఒక LLC శీర్షిక యొక్క ప్రోటోకాల్ ఐడి ఫీల్డ్ ను కేవలం 0x000000 యొక్క ఆర్గనైజేషనల్ యూనిట్ ఐడెంటిఫయర్ (OUI), చెక్కిన ఈథర్నెట్ కోసం తనిఖీ చేస్తుంది; ఇది ప్యాక్ SNAP ఆకృతిలో 0x000000 యొక్క OUI తో ఉన్నదో లేదో తనిఖీ చేయదు.
    • మినహాయింపులు ISO , ఇది కోసం DSAP (గమ్యస్థాన సర్వీస్ యాక్సెస్ పాయింట్) మరియు SSAP (మూల సేవా యాక్సెస్ పాయింట్) LLC శీర్షిక యొక్క తనిఖీలను తనిఖీ చేస్తుంది, ఎస్టీపీ మరియు netbeui , ఇది LLC శీర్షిక యొక్క DSAP ను తనిఖీ చేస్తుంది మరియు ఒక చర్చ , ఇది SNAP- ఫార్మాట్ పాకెట్ కోసం 0x080007 మరియు Appletalk ఎటిప్ట్ యొక్క OUI తో తనిఖీ చేస్తుంది.
    • ఈథర్నెట్ విషయంలో, tcpdump ఈ ప్రోటోకాల్స్లో ఎక్కువ భాగం ఈథర్నెట్ రకాన్ని తనిఖీ చేస్తుంది; మినహాయింపులు ISO , సాప్ , మరియు netbeui , ఇది కోసం ఒక 802.3 ఫ్రేమ్ కోసం తనిఖీ మరియు అప్పుడు FDDI మరియు టోకెన్ రింగ్ కోసం చేస్తుంది LLC శీర్షిక తనిఖీ; ఒక చర్చ , ఇది ఎథెర్ నెట్ ఫ్రేమ్లో మరియు యాడెల్టాక్ ఎటిప్ట్ కోసం FDDI మరియు టోకెన్ రింగ్ లకు ఒక SNAP- ఫార్మాట్ ప్యాకెట్ కోసం రెండు తనిఖీ చేస్తుంది; AARP , ఇది యాప్టాల్క్ ARP ఎటిప్ట్ కోసం ఒక ఈథర్నెట్ ఫ్రేమ్లో లేదా 0x000000 యొక్క OUI తో 802.2 SNAP ఫ్రేమ్లో తనిఖీ చేస్తుంది; మరియు IPX , ఇది ఒక ఈథర్నెట్ ఫ్రేమ్లో IPX ఎటిప్ట్ కోసం తనిఖీ చేస్తున్నప్పుడు, LLC శీర్షికలో IPX DSAP, 802.3, ఐపిఎక్స్ యొక్క ఎల్.ఎల్. శీర్షిక ఎన్కోప్యులేషన్ మరియు ఒక SNAP చట్రంలో IPX ఎటిప్ట్తో తనిఖీ చేస్తుంది.
  • decnet src హోస్ట్
    • DECNET సోర్స్ చిరునామా ఉంటే ట్రూ హోస్ట్ , ఇది "10.123" లేదా ఒక DECNET హోస్ట్ పేరు యొక్క చిరునామాగా ఉండవచ్చు. DECNET ను అమలు చేయడానికి కాన్ఫిగర్ చేసిన Ultrix వ్యవస్థల్లో DECNET హోస్ట్ పేరు మద్దతు మాత్రమే అందుబాటులో ఉంది.
  • decnet dst హోస్ట్
    • DECNET గమ్యం చిరునామా ఉంటే ట్రూ హోస్ట్ .
  • డీనెట్ హోస్ట్ హోస్ట్
    • DECNET సోర్స్ లేదా గమ్య చిరునామా ఉంటే ట్రూ హోస్ట్ .
  • ip, ip6, ARP, rarp, ఒక చర్చ, AARP, DEC నెట్, ISO, ఎస్టీపీ, IPX, netbeui
    • కోసం సంక్షిప్తాలు ఈథర్ ప్రోటో p ఎక్కడ p పైన ప్రోటోకాల్లలో ఒకటి.
  • లాటిట్యూడ్, moprc, mopdl
    • కోసం సంక్షిప్తాలు ఈథర్ ప్రోటో p ఎక్కడ p పైన ప్రోటోకాల్లలో ఒకటి. గమనించండి tcpdump ప్రస్తుతం ఈ ప్రోటోకాల్స్ను అన్వయించడం ఎలాగో తెలియదు.
  • VLAN Vlan_id
    • ప్యాకెట్ IEEE 802.1Q VLAN ప్యాకెట్ అయితే ట్రూ. ఉంటే Vlan_id తెలుపబడినది, ప్యాకెట్ తెలిపినట్లైతే అది నిజము vlan_id . మొదటిది గమనించండిVLAN కీవర్డ్ లో ఎదుర్కొంది వ్యక్తీకరణ మిగిలిన డీకోడింగ్ ఆఫ్సెట్లను మారుస్తుంది వ్యక్తీకరణ ప్యాకెట్ అనేది VLAN ప్యాకెట్ అని భావనపై.
  • TCP, UDP, ICMP
    • కోసం సంక్షిప్తాలు ip ప్రోటో p లేదా ip6 ప్రోటో p ఎక్కడ p పైన ప్రోటోకాల్లలో ఒకటి.
  • ఐసో ప్రోటో ప్రోటోకాల్
    • ప్యాకెట్ అనేది OSI ప్యాకెట్ యొక్క ప్రోటోకాల్ రకమే ప్రోటోకాల్ . ప్రోటోకాల్ పేర్లు ఒకటి లేదా ఒకటి కావచ్చు clnp , esis , లేదా ఐసిస్ .
  • clnp, esis, ఐసిస్
    • కోసం సంక్షిప్తాలు ఐసో ప్రోటో p ఎక్కడ p పైన ప్రోటోకాల్లలో ఒకటి. గమనించండి tcpdump ఈ ప్రోటోకాల్స్ను అన్వయించడం అసంపూర్ణమైన పని చేస్తుంది.
  • expr relap expr
    • సంబంధం ఉంటే, ఇక్కడ relop > ఒకటి, <,> =, <=, =,! =, మరియు expr (ప్రామాణిక C సింటాక్స్లో వ్యక్తీకరించబడింది), సాధారణ బైనరీ ఆపరేటర్లు +, -, *, /, & | |, పొడవు ఆపరేటర్లు మరియు ప్రత్యేక ప్యాకెట్ డేటా యాక్సెసర్లు కలిగి ఉన్న ఒక అంకగణిత వ్యక్తీకరణ. ప్యాకెట్ లోపల డాటా యాక్సెస్ చేయుటకు, కింది సిన్టాక్స్ ఉపయోగించండి: ప్రోటో expr: పరిమాణం .

ప్రోటో ఒకటిఈథర్, FDDI, tr, PPP, స్లిప్, లింక్, ip, ARP, rarp, TCP, UDP, ICMP, లేదా ip6, మరియు ఇండెక్స్ ఆపరేషన్ కోసం ప్రోటోకాల్ పొరను సూచిస్తుంది (ఈథర్, FDDI, tr, PPP, స్లిప్, మరియులింక్ అన్ని లింక్ పొరను సూచిస్తాయి). గమనించండి tcp, udp , మరియు ఇతర ఎగువ-లేయర్ ప్రోటోకాల్ రకాలు IPv4 కు మాత్రమే వర్తిస్తాయి, IPv6 కాదు (ఇది భవిష్యత్తులో పరిష్కరించబడుతుంది). సూచించబడిన ప్రోటోకాల్ పొరకు సంబంధించి బైట్ ఆఫ్సెట్, ఇవ్వబడుతుంది expr . పరిమాణం ఐచ్ఛికం మరియు ఆసక్తి రంగంలో బైట్ల సంఖ్యను సూచిస్తుంది; ఇది ఒకటి, రెండు, లేదా నాలుగు, మరియు ఒకదానికి అప్రమేయం కావచ్చు. కీవర్డ్ సూచించిన పొడవు ఆపరేటర్లెన్, ప్యాకెట్ పొడవు ఇస్తుంది.

ఉదాహరణకి, 'ఈథర్ 0 & 1! = 0'అన్ని బహుళ ట్రాఫిక్ క్యాచ్లు. వ్యక్తీకరణ 'ip 0 & 0xf! = 5'అన్ని IP ప్యాకెట్లను ఎంపికలు తో పట్టుకుంటాడు. వ్యక్తీకరణ 'ip 6: 2 & 0x1fff = 0'మాత్రమే unfragmented datagrams మరియు ఫ్రాగ్మెంటెడ్ datagrams సంక్షిప్త సున్నా క్యాచ్లు. ఈ చెక్ పరిపూర్ణంగా వర్తించబడుతుందిTCP మరియుUDP <

ఎడిటర్స్ ఛాయిస్