Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > Администрирование *NIX систем > анализ отчета tcpdump


Автор: student80 27.11.2007, 11:54
Запустил я на маршрутизаторе tcpdump и он мне выдал отчет. помогите, пожалуйста, разобраться, что именно в нем написано.
Код

08:56:57.031491 IP 195.122.238.115.1031 > adm.sci-nnov.ru.domain:  12020+ A? www.gnu.org. (29)
08:56:57.059695 IP 195.122.238.115.kazaa > adm.sci-nnov.ru.domain:  4660+ PTR? 2.226.122.195.in-addr.arpa. (44)
08:56:57.061075 IP adm.sci-nnov.ru.domain > 195.122.238.115.kazaa:  4660* 1/2/4 (172)
08:56:57.063612 IP 195.122.238.115.kazaa > adm.sci-nnov.ru.domain:  6940+ PTR? 115.238.122.195.in-addr.arpa. (46)
08:56:57.101070 IP adm.sci-nnov.ru.domain > 195.122.238.115.kazaa:  6940 NXDomain 0/1/0 (101)
08:56:57.434747 IP adm.sci-nnov.ru.domain > 195.122.238.115.1031:  12020 2/4/0 CNAME gnu.org., (131)
08:56:57.440281 IP 195.122.238.115.1051 > www.gnu.org.www: S 396828385:396828385(0) win 65535 <mss 1452,nop,nop,sackOK>
08:56:57.605506 IP www.gnu.org.www > 195.122.238.115.1051: S 2221511180:2221511180(0) ack 396828386 win 5840 <mss 1460,nop,nop,sackOK>
08:56:57.605701 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 1 win 65535
08:56:57.609176 IP 195.122.238.115.1051 > www.gnu.org.www: P 1:377(376) ack 1 win 65535
08:56:57.774785 IP www.gnu.org.www > 195.122.238.115.1051: . ack 377 win 6432
08:56:57.778865 IP www.gnu.org.www > 195.122.238.115.1051: . 1:1453(1452) ack 377 win 6432
08:56:57.779124 IP www.gnu.org.www > 195.122.238.115.1051: . 1453:2905(1452) ack 377 win 6432
08:56:57.779474 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 2905 win 65535
08:56:57.946753 IP www.gnu.org.www > 195.122.238.115.1051: . 2905:4357(1452) ack 377 win 6432
08:56:57.947000 IP www.gnu.org.www > 195.122.238.115.1051: . 4357:5809(1452) ack 377 win 6432
08:56:57.947124 IP www.gnu.org.www > 195.122.238.115.1051: . 5809:7261(1452) ack 377 win 6432
08:56:57.947188 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 4357 win 64083
08:56:57.947469 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 7261 win 65535
08:56:58.018005 IP 195.122.238.115.1052 > www.gnu.org.www: S 2286714024:2286714024(0) win 65535 <mss 1452,nop,nop,sackOK>
08:56:58.114055 IP www.gnu.org.www > 195.122.238.115.1051: . 7261:8713(1452) ack 377 win 6432
08:56:58.114222 IP www.gnu.org.www > 195.122.238.115.1051: . 8713:10165(1452) ack 377 win 6432
08:56:58.114495 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 8713 win 64083
08:56:58.114519 IP www.gnu.org.www > 195.122.238.115.1051: . 10165:11617(1452) ack 377 win 6432
08:56:58.114640 IP www.gnu.org.www > 195.122.238.115.1051: P 11617:13069(1452) ack 377 win 6432
08:56:58.114762 IP www.gnu.org.www > 195.122.238.115.1051: . 13069:14521(1452) ack 377 win 6432
08:56:58.114890 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 11617 win 65535
08:56:58.114991 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 13069 win 64083
08:56:58.182224 IP www.gnu.org.www > 195.122.238.115.1052: S 2218204977:2218204977(0) ack 2286714025 win 5840 <mss 1460,nop,nop,sackOK>
08:56:58.182401 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 1 win 65535
08:56:58.182803 IP 195.122.238.115.1052 > www.gnu.org.www: P 1:257(256) ack 1 win 65535
08:56:58.281548 IP www.gnu.org.www > 195.122.238.115.1051: . 15973:17425(1452) ack 377 win 6432
08:56:58.281666 IP www.gnu.org.www > 195.122.238.115.1051: . 14521:15973(1452) ack 377 win 6432
08:56:58.281823 IP www.gnu.org.www > 195.122.238.115.1051: . 17425:18877(1452) ack 377 win 6432
08:56:58.281977 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 14521 win 65535 <nop,nop,sack 1 {15973:17425}>
08:56:58.282066 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 17425 win 65535
08:56:58.282076 IP www.gnu.org.www > 195.122.238.115.1051: . 18877:20329(1452) ack 377 win 6432
08:56:58.282136 IP www.gnu.org.www > 195.122.238.115.1051: P 23233:24076(843) ack 377 win 6432
08:56:58.282420 IP www.gnu.org.www > 195.122.238.115.1051: . 20329:21781(1452) ack 377 win 6432
08:56:58.282450 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 20329 win 65535
08:56:58.282495 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 20329 win 65535 <nop,nop,sack 1 {23233:24076}>
08:56:58.282654 IP www.gnu.org.www > 195.122.238.115.1051: P 21781:23233(1452) ack 377 win 6432
08:56:58.282808 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 21781 win 64083 <nop,nop,sack 1 {23233:24076}>
08:56:58.283024 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 24076 win 65535
08:56:58.308435 IP 195.122.238.115.1051 > www.gnu.org.www: P 377:650(273) ack 24076 win 65535
08:56:58.347055 IP www.gnu.org.www > 195.122.238.115.1052: . ack 257 win 6432
08:56:58.348395 IP www.gnu.org.www > 195.122.238.115.1052: P 1:281(280) ack 257 win 6432
08:56:58.350595 IP www.gnu.org.www > 195.122.238.115.1052: . 281:1733(1452) ack 257 win 6432
08:56:58.350995 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 1733 win 65535
08:56:58.476404 IP www.gnu.org.www > 195.122.238.115.1051: . 24076:25528(1452) ack 650 win 7504
08:56:58.476604 IP www.gnu.org.www > 195.122.238.115.1051: . 25528:26980(1452) ack 650 win 7504
08:56:58.476757 IP www.gnu.org.www > 195.122.238.115.1051: . 26980:28432(1452) ack 650 win 7504
08:56:58.476957 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 26980 win 65535
08:56:58.477111 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 28432 win 64083
08:56:58.518185 IP www.gnu.org.www > 195.122.238.115.1052: . 1733:3185(1452) ack 257 win 6432
08:56:58.518306 IP www.gnu.org.www > 195.122.238.115.1052: . 3185:4637(1452) ack 257 win 6432
08:56:58.518428 IP www.gnu.org.www > 195.122.238.115.1052: . 4637:6089(1452) ack 257 win 6432
08:56:58.518707 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 4637 win 65535
08:56:58.639675 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 6089 win 64083
08:56:58.642301 IP www.gnu.org.www > 195.122.238.115.1051: P 28432:29147(715) ack 650 win 7504
08:56:58.647816 IP 195.122.238.115.1051 > www.gnu.org.www: P 650:922(272) ack 29147 win 65535
08:56:58.684891 IP www.gnu.org.www > 195.122.238.115.1052: P 7541:7860(319) ack 257 win 6432
08:56:58.685116 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 6089 win 64083 <nop,nop,sack 1 {7541:7860}>
08:56:58.685674 IP www.gnu.org.www > 195.122.238.115.1052: . 6089:7541(1452) ack 257 win 6432
08:56:58.686033 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 7860 win 65535
08:56:58.707147 IP 195.122.238.115.1052 > www.gnu.org.www: P 257:509(252) ack 7860 win 65535
08:56:58.814422 IP www.gnu.org.www > 195.122.238.115.1051: P 29147:29425(278) ack 922 win 8576
08:56:58.814516 IP www.gnu.org.www > 195.122.238.115.1051: P 32329:32734(405) ack 922 win 8576
08:56:58.814704 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 29425 win 65257 <nop,nop,sack 1 {32329:32734}>
08:56:58.815767 IP www.gnu.org.www > 195.122.238.115.1051: . 30877:32329(1452) ack 922 win 8576
08:56:58.815999 IP www.gnu.org.www > 195.122.238.115.1051: . 29425:30877(1452) ack 922 win 8576
08:56:58.816152 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 29425 win 65257 <nop,nop,sack 1 {30877:32734}>
08:56:58.816356 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 32734 win 65535
08:56:58.873697 IP www.gnu.org.www > 195.122.238.115.1052: P 7860:8139(279) ack 509 win 7504
08:56:58.875523 IP www.gnu.org.www > 195.122.238.115.1052: . 8139:9591(1452) ack 509 win 7504
08:56:58.875647 IP www.gnu.org.www > 195.122.238.115.1052: . 9591:11043(1452) ack 509 win 7504
08:56:58.875932 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 9591 win 65535
08:56:59.042188 IP www.gnu.org.www > 195.122.238.115.1052: . 11043:12495(1452) ack 509 win 7504
08:56:59.042321 IP www.gnu.org.www > 195.122.238.115.1052: P 12495:13561(1066) ack 509 win 7504
08:56:59.042644 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 12495 win 65535
08:56:59.081100 IP 195.122.238.115.1051 > www.gnu.org.www: P 922:1180(258) ack 32734 win 65535
08:56:59.093058 IP 195.122.238.115.1031 > adm.sci-nnov.ru.domain:  49653+ A? www.fsf.org. (29)
08:56:59.186499 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 13561 win 64469
08:56:59.247536 IP www.gnu.org.www > 195.122.238.115.1051: P 32734:33010(276) ack 1180 win 8576
08:56:59.247710 IP www.gnu.org.www > 195.122.238.115.1051: P 33010:33513(503) ack 1180 win 8576
08:56:59.247917 IP 195.122.238.115.1051 > www.gnu.org.www: . ack 33513 win 64756
08:56:59.313469 IP adm.sci-nnov.ru.domain > 195.122.238.115.1031:  49653 2/4/0 CNAME fsf.org., (135)
08:56:59.314825 IP 195.122.238.115.1053 > www.fsf.org.www: S 270898549:270898549(0) win 65535 <mss 1452,nop,nop,sackOK>
08:56:59.359581 IP 195.122.238.115.1054 > www.fsf.org.www: S 211625267:211625267(0) win 65535 <mss 1452,nop,nop,sackOK>
08:56:59.365673 IP 195.122.238.115.1052 > www.gnu.org.www: P 509:773(264) ack 13561 win 64469
08:56:59.478654 IP www.fsf.org.www > 195.122.238.115.1053: S 1082900924:1082900924(0) ack 270898550 win 5840 <mss 1460,nop,nop,sackOK>
08:56:59.478846 IP 195.122.238.115.1053 > www.fsf.org.www: . ack 1 win 65535
08:56:59.483533 IP 195.122.238.115.1053 > www.fsf.org.www: P 1:256(255) ack 1 win 65535
08:56:59.515328 IP www.fsf.org.www > 195.122.238.115.1054: S 1094428705:1094428705(0) ack 211625268 win 5840 <mss 1460,nop,nop,sackOK>
08:56:59.515494 IP 195.122.238.115.1054 > www.fsf.org.www: . ack 1 win 65535
08:56:59.530456 IP 195.122.238.115.1054 > www.fsf.org.www: P 1:262(261) ack 1 win 65535
08:56:59.531199 IP www.gnu.org.www > 195.122.238.115.1052: P 13561:13840(279) ack 773 win 8576
08:56:59.534136 IP www.gnu.org.www > 195.122.238.115.1052: . 13840:15292(1452) ack 773 win 8576
08:56:59.534181 IP www.gnu.org.www > 195.122.238.115.1052: P 16744:17289(545) ack 773 win 8576
08:56:59.534309 IP www.gnu.org.www > 195.122.238.115.1052: . 15292:16744(1452) ack 773 win 8576
08:56:59.534571 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 15292 win 65535
08:56:59.534587 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 15292 win 65535 <nop,nop,sack 1 {16744:17289}>
08:56:59.534653 IP 195.122.238.115.1052 > www.gnu.org.www: . ack 17289 win 65535
08:56:59.649888 IP www.fsf.org.www > 195.122.238.115.1053: . ack 256 win 6432
08:56:59.650987 IP www.fsf.org.www > 195.122.238.115.1053: P 1:481(480) ack 256 win 6432
08:56:59.684963 IP www.fsf.org.www > 195.122.238.115.1054: . ack 262 win 6432
08:56:59.688673 IP www.fsf.org.www > 195.122.238.115.1054: . 1:1453(1452) ack 262 win 6432
08:56:59.688955 IP www.fsf.org.www > 195.122.238.115.1054: . 1453:2905(1452) ack 262 win 6432
08:56:59.689332 IP 195.122.238.115.1054 > www.fsf.org.www: . ack 2905 win 65535
08:56:59.842732 IP 195.122.238.115.1053 > www.fsf.org.www: . ack 481 win 65055
08:56:59.845423 IP www.fsf.org.www > 195.122.238.115.1054: P 2905:3057(152) ack 262 win 6432
08:56:59.858478 IP 195.122.238.115.1053 > www.fsf.org.www: P 256:519(263) ack 481 win 65055
08:57:00.026068 IP www.fsf.org.www > 195.122.238.115.1053: . 481:1933(1452) ack 519 win 7504
08:57:00.026136 IP www.fsf.org.www > 195.122.238.115.1053: P 1933:2776(843) ack 519 win 7504
08:57:00.026526 IP 195.122.238.115.1053 > www.fsf.org.www: . ack 2776 win 65535
08:57:00.061454 IP 195.122.238.115.1054 > www.fsf.org.www: . ack 3057 win 65383
08:57:02.113784 IP 195.122.238.115.kazaa > adm.sci-nnov.ru.domain:  57010+ PTR? 10.41.232.199.in-addr.arpa. (44)
08:57:02.572552 IP adm.sci-nnov.ru.domain > 195.122.238.115.kazaa:  57010 2/4/0[|domain]
08:57:02.573378 IP 195.122.238.115.kazaa > adm.sci-nnov.ru.domain:  33582+ PTR? 5.41.232.199.in-addr.arpa. (43)
08:57:02.802233 IP adm.sci-nnov.ru.domain > 195.122.238.115.kazaa:  33582 2/4/0[|domain]

как я понимаю, идет загрузка сайта www.gnu.org.
первый столбец - это время. но что за цифры после секунд стоят?
второй столбец это протокол.
третий столбец - источник с портом
четвертый - назначение пакета с портом.
а вот дальше непонятные знаки цифры.
объясните, пожалуйста, что они означают?

Автор: ZeeLax 27.11.2007, 11:58
Цитата(student80 @  27.11.2007,  14:54 Найти цитируемый пост)
первый столбец - это время. но что за цифры после секунд стоят?

Доли секунд.

Код

man tcpdump

Автор: Imple 27.11.2007, 12:01
Цитата(student80 @  27.11.2007,  14:54 Найти цитируемый пост)
а вот дальше непонятные знаки цифры.


В зависимости от заголовков пакета, там может быть дано краткое содержимое пакета, или например состояние флагов tcp-заголовка, ну и т.д.

Автор: student80 27.11.2007, 13:04
запускал я его так
Код

tcpdump

и он начал выводить отчет
соединение ppp0

Автор: Imple 27.11.2007, 13:23
Цитата(student80 @  27.11.2007,  16:04 Найти цитируемый пост)
запускал я его так

К чему вы это?

Автор: student80 27.11.2007, 16:46
Цитата(Imple @ 27.11.2007,  13:23)
К чему вы это?

без параметров запускал. все пакеты там собраны.
чтобы наверное понятнее было, чтобы рассказать мне какие там флаги и заголовки.
можете хотя бы первые 5 строчек объяснить мне, что там за интересные цифры-символы?

Автор: bilbobagginz 27.11.2007, 18:17
там много интересного.
нужно ман курить, и книжку по сетям не помешает, по живым сетевым протоколам ( не OSI )

 

Автор: ZeeLax 27.11.2007, 20:25
И OSI тоже вкурите.
Код

man tcpdump
прочитали?

Автор: powerfox 27.11.2007, 21:54
Модератор: перенёс в администрирование

Автор: student80 28.11.2007, 09:47
хорошая команда man smile
по OSI и сетям читал я книжку когда-то.
чтож, буду ман читать тогда.
все-равно спасибо.

Автор: dual 18.1.2008, 18:48
А еще можно воспользоваться wireshark. Программа одинаково хорошо работает и в Linux, и в Windows и имеет графический интерфейс, что облегчит поиски необходимой информации в пойманных пакетах.

Автор: bilbobagginz 18.1.2008, 21:53
Цитата(dual @  18.1.2008,  18:48 Найти цитируемый пост)
А еще можно воспользоваться wireshark. Программа одинаково хорошо работает и в Linux, и в Windows и имеет графический интерфейс, что облегчит поиски необходимой информации в пойманных пакетах. 

да, но стоит заметить, что wireshark (ранее ethereal) -  врядли стоит устанавливать на маршрутизатор.

гораздо практичнее запустить tcpdump с флажками:
Код

tcpdump -vv -w tcpdump.out

всё запишется в бинарный файл tcpdump.out, а потом, перенеся этот файл на свой десктоп, можно открыть его с wireshark или ethereal.

Привет.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)