TCPDUMP中文手册(2)

　　它 只匹配 源端口 是 port 的 TCP 报文.
　　less length
　　如果 报文 的 长度 小于等于 length, 则 逻辑 为 真. 它等同于:
　　len <= length.
　　
　　greater length
　　如果 报文 的 长度 大于等于 length, 则 逻辑 为 真. 它等同于:
　　len >= length.
　　
　　ip proto protocol
　　如果 报文 是 IP 数据报(参见 ip(4P)), 其 内容 的 协议类型 是 protocol, 则 逻辑 为 真. Protocol 可以是 数字, 也可以是 下列 名称 中的 一个: icmp, igrp, udp, nd, 或 tcp. 注意 这些 标识符 tcp, udp, 和 icmp 也同样是 关键字, 所以 必须 用 反斜杠(\) 转义, 在 C-shell 中 应该是 \\ .
　　ether broadcast
　　如果 报文 是 以太广播报文, 则 逻辑 为 真. 关键字 ether 是 可选的.
　　ip broadcast
　　如果 报文 是 IP广播报文, 则 逻辑 为 真. Tcpdump 检查 全0 和 全1 广播约定, 并且 检查 本地 的 子网掩码.
　　ether multicast
　　如果 报文 是 以太多目传送报文(multicast), 则 逻辑 为 真. 关键字 ether 是 可选的. 这实际上 是 `ether[0] & 1 != 0' 的简写.
　　ip multicast
　　如果 报文 是 IP多目传送报文, 则 逻辑 为 真.
　　ether proto protocol
　　如果 报文协议 属于 以太类型 的 protocol, 则 逻辑 为 真. Protocol 可以是 数字, 也可以是 名字, 如 ip, arp, 或 rarp. 注意 这些 标识符 也是 关键字, 所以 必须 用 反斜杠(\) 转义. [如果是 FDDI (例如, `fddi protocol arp'), 协议 标识 来自 802.2 逻辑链路控制(LLC)报头, 它 通常 位于 FDDI 报头 的 顶层. 当 根据 协议标识过滤 报文 时, Tcpdump 假设 所有的 FDDI 报文 含有 LLC 报头, 而且 LLC 报头 用的是 SNAP 格式.]
　　
　　decnet src host
　　如果 DECNET 的 源地址 是 host, 则 逻辑 为 真, 该 主机地址 的 形式 可能 是 ``10.123'', 或者是 DECNET 主机名. [只有 配置成 运行 DECNET 的 Ultrix 系统 支持 DECNET 主机名.]
　　decnet dst host
　　如果 DECNET 的 目的地址 是 host, 则 逻辑 为 真.
　　decnet host host
　　如果 DECNET 的 源地址 或 目的地址 是 host, 则 逻辑 为 真.
　　ip, arp, rarp, decnet
　　是:
　　ether proto p
　　
　　的 简写 形式, 其中 p 为 上述 协议 的 一种.
　　lat, moprc, mopdl
　　是:
　　ether proto p
　　
　　的 简写 形式, 其中 p 为 上述 协议 的 一种. 注意 tcpdump 目前 不知道 如何 分析 这些 协议.
　　tcp, udp, icmp
　　是:
　　ip proto p
　　
　　的 简写 形式, 其中 p 为 上述 协议 的 一种.
　　expr relop expr
　　如果 这个 关系 成立, 则 逻辑 为 真, 其中 relop 是 >, <, >=, <=, =, != 之一, expr 是 数学表达式, 由 常整数(标准C语法形式), 普通的 二进制运算符 [+, -, *, /, &, |], 一个 长度运算符, 和 指定的 报文数据访问算符 组成. 要 访问 报文内 的 数据, 使用 下面的 语法:
　　proto [ expr : size ]
　　
　　Proto 是 ether, fddi, ip, arp, rarp, tcp, udp, or icmp 之一, 同时 也指出了 下标 操作 的协议层. expr 给出 字节单位 的 偏移量, 该 偏移量 相对于 指定的 协议层. Size 是 可选项, 指出 感兴趣的 字节数; 它可以 是 1, 2, 4, 缺省为 1 字节. 由 关键字 len 给出的 长度运算符 指明 报文 的 长度.
　　例如, `ether[0] & 1 != 0' 捕捉 所有的 多目传送 报文. 表达式 `ip[0] & 0xf != 5' 捕捉 所有 带 可选域 的 IP 报文. 表达式 `ip[6:2] & 0x1fff = 0' 只捕捉 未分片 和 片偏移为0 的 数据报. 这种 检查 隐含在 tcp 和 udp 下标操作 中. 例如, tcp[0] 一定是 TCP 报头 的 第一个 字节, 而不是 其中 某个 IP片 的 第一个 字节.
　　
　　原语 可以 用 下述 方法 结合使用:
　　
　　园括弧 括起来的 原语 和 操作符 (园括弧 在 Shell 中 有专用, 所以必须转义).
　　取反操作 (`!' or `not').
　　连结操作 (`&&' or `and').
　　或操作 (`||' or `or').
　　取反操作 有 最高优先级. 或操作 和 连结操作 有 相同的 优先级, 运算时 从左到右 结合. 注意 连结操作 需要 显式的 and 算符, 而不是 并列放置.
　　
　　如果 给出 标识符, 但没给 关键字, 那么 暗指 最近使用 的 关键字. 例如,
　　
　　not host vs and ace
　　
　　作为
　　not host vs and host ace
　　
　　的 简写形式, 不应该 和
　　not ( host vs or ace )
　　
　　混淆.
　　表达式参数 可以 作为 单个 参数 传给 tcpdump, 也可以 作为 复合参数, 后者 更方便 一些. 一般说来, 如果 表达式 包含 Shell 元字符(metacharacter), 传递 单个 括起来的 参数 要 容易 一些. 复合参数 在 被解析前 用 空格 联接 一起.
　　
　　
　　示例 (EXAMPLES)
　　显示 所有 进出 sundown 的 报文:
　　
　　tcpdump host sundown
　　
　　显示 helios 和 主机 hot, ace 之间 的 报文 传送:
　　
　　tcpdump host helios and \( hot or ace \)
　　
　　显示 ace 和 除了 helios 以外的 所有 主机 的 IP报文:
　　
　　tcpdump ip host ace and not helios
　　
　　显示 本地的主机 和 Berkeley的主机 之间 的 网络数据:
　　
　　tcpdump net ucb-ether
　　
　　显示 所有 通过 网关 snup 的 ftp 报文 (注意 这个 表达式 被 单引号 括起, 防止 shell 解释 园括弧):
　　
　　tcpdump 'gateway snup and (port ftp or ftp-data)'
　　
　　显示 既不是 来自 本地主机, 也不是 传往 本地主机 的 网络数据 (如果 你 把 网关 通往 某个 其他网络, 这个 做法 将不会 把 数据 发往 你的本地网络).
　　
　　tcpdump ip and not net localnet
　　
　　显示 每个 TCP会话 的 起始 和 结束 报文 (SYN 和 FIN 报文), 而且 会话方 中有一个 远程主机.
　　
　　tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet'
　　
　　显示 经过 网关 snup 中 大于 576 字节的 IP 数据报:
　　
　　tcpdump 'gateway snup and ip[2:2] > 576'
　　
　　显示 IP 广播 或 多目传送 的 数据报, 这些 报文 不是 通过 以太网 的 广播 或 多目传送 形式 传送的:
　　
　　tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
　　
　　显示 所有 不是 回响请求/应答 的 ICMP 报文 (也就是说, 不是 ping 报文):
　　
　　tcpdump 'icmp[0] != 8 and icmp[0] != 0"
　　
　　输出格式 (OUTPUT FORMAT)
　　tcpdump 的 输出格式 取决于 协议. 下面的 描述 给出 大多数 格式 的简要说明 和 范例.
　　
　　链路层报头 (Link Level Headers)
　　
　　如果 给出 '-e' 选项 就 显示 链路层报头. 在 以太网上, 显示 报文的 源目地址, 协议 和 报文长度.
　　
　　在 FDDI 网络上, '-e' 选项 导致 tcpdump 显示出 `帧控制(frame control)' 域, 源目地址 和 报文长度. (`帧控制' 域 负责 解释 其余的 报文. 普通报文 (比如说 载有 IP数据报) 是 `异步' 报文, 优先级 介于 0 到 7; 例如, `async4'. 这些 被认为 载有 802.2 逻辑链路控制(LLC) 报文; 如果 它们 不是 ISO 数据报 或者 所谓的 SNAP 报文, 就显示出 LLC 报头.
　　
　　(注意: 以下 描述中 假设 你 熟悉 RFC-1144 中说明的 SLIP 压缩算法.)