Linux Cubed Series 7: Sunsite

home *** CD-ROM | disk | FTP | other *** search
/ Linux Cubed Series 7: Sunsite / Linux Cubed Series 7 - Sunsite Vol 1.iso / system / network / manageme / tcpdump-.0 / tcpdump-
Tape Archive | 1995-10-17 | 180.0 KB
open in:
MacOS 8.1 extracted |
Win98 extracted |
DOS extracted
browse contents |
view JSON data |
view as text

This file was processed as: Tape Archive (archive/tar).
Confidence	Program	Detection	Match Type	Support
`100%`	dexvert	Tape Archive `(archive/tar)`	magic	Supported
`100%`	file	POSIX tar archive (GNU)	default
`99%`	file	POSIX tar archive (GNU), file tcpdump-3.0.2/tcpdump.1, mode 100400 , uid 1751 , gid 144 , size 117067 , seconds 5601444130, user nicholas, group staff	default
`98%`	file	data	default
`62%`	TrID	TAR - Tape ARchive (GNU)	default
`37%`	TrID	TAR - Tape ARchive (file)	default
`100%`	siegfried	x-fmt/265 Tape Archive Format	default
`100%`	lsar	Tar	default
`100%`	gt2	TAR Archiv gefunden (Auflistung ist deaktiviert)	default
`100%`	disktype	GNU tar archive	default
`100%`	detectItEasy	Archive: tar	default
`100%`	binwalkID	POSIX tar archive (GNU), owner user name: "3.0.2/tcpdump.1"	default
`100%`	xdgMime	application/x-tar	default
hex view
+--------+-------------------------+-------------------------+--------+--------+
|00000000| 74 63 70 64 75 6d 70 2d | 33 2e 30 2e 32 2f 74 63 |tcpdump-|3.0.2/tc|
|00000010| 70 64 75 6d 70 2e 31 00 | 00 00 00 00 00 00 00 00 |pdump.1.|........|
|00000020| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000030| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000040| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000050| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000060| 00 00 00 00 31 30 30 34 | 30 30 20 00 20 20 31 37 |....1004|00 .  17|
|00000070| 35 31 20 00 20 20 20 31 | 34 34 20 00 20 20 20 20 |51 .   1|44 .    |
|00000080| 20 31 31 37 30 36 37 20 | 20 35 36 30 31 34 34 34 | 117067 | 5601444|
|00000090| 31 33 30 20 20 31 34 31 | 35 30 00 20 30 00 00 00 |130  141|50. 0...|
|000000a0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000000b0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000000c0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000000d0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000000e0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000000f0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000100| 00 75 73 74 61 72 20 20 | 00 6e 69 63 68 6f 6c 61 |.ustar  |.nichola|
|00000110| 73 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |s.......|........|
|00000120| 00 00 00 00 00 00 00 00 | 00 73 74 61 66 66 00 00 |........|.staff..|
|00000130| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000140| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000150| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000160| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000170| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000180| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000190| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001a0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001b0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001c0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001d0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001e0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|000001f0| 00 00 00 00 00 00 00 00 | 00 00 00 00 00 00 00 00 |........|........|
|00000200| 2e 5c 22 20 40 28 23 29 | 20 24 48 65 61 64 65 72 |.\" @(#)| $Header|
|00000210| 3a 20 74 63 70 64 75 6d | 70 2e 31 2c 76 20 31 2e |: tcpdum|p.1,v 1.|
|00000220| 34 35 20 39 34 2f 30 36 | 2f 32 30 20 31 38 3a 35 |45 94/06|/20 18:5|
|00000230| 34 3a 32 37 20 6c 65 72 | 65 73 20 45 78 70 20 24 |4:27 ler|es Exp $|
|00000240| 20 28 4c 42 4c 29 0a 2e | 5c 22 0a 2e 5c 22 20 43 | (LBL)..|\"..\" C|
|00000250| 6f 70 79 72 69 67 68 74 | 20 28 63 29 20 31 39 38 |opyright| (c) 198|
|00000260| 37 2c 20 31 39 38 38 2c | 20 31 39 38 39 2c 20 31 |7, 1988,| 1989, 1|
|00000270| 39 39 30 2c 20 31 39 39 | 31 2c 20 31 39 39 32 2c |990, 199|1, 1992,|
|00000280| 20 31 39 39 34 0a 2e 5c | 22 09 54 68 65 20 52 65 | 1994..\|".The Re|
|00000290| 67 65 6e 74 73 20 6f 66 | 20 74 68 65 20 55 6e 69 |gents of| the Uni|
|000002a0| 76 65 72 73 69 74 79 20 | 6f 66 20 43 61 6c 69 66 |versity |of Calif|
|000002b0| 6f 72 6e 69 61 2e 20 20 | 41 6c 6c 20 72 69 67 68 |ornia.  |All righ|
|000002c0| 74 73 20 72 65 73 65 72 | 76 65 64 2e 0a 2e 5c 22 |ts reser|ved...\"|
|000002d0| 20 41 6c 6c 20 72 69 67 | 68 74 73 20 72 65 73 65 | All rig|hts rese|
|000002e0| 72 76 65 64 2e 0a 2e 5c | 22 0a 2e 5c 22 20 52 65 |rved...\|"..\" Re|
|000002f0| 64 69 73 74 72 69 62 75 | 74 69 6f 6e 20 61 6e 64 |distribu|tion and|
|00000300| 20 75 73 65 20 69 6e 20 | 73 6f 75 72 63 65 20 61 | use in |source a|
|00000310| 6e 64 20 62 69 6e 61 72 | 79 20 66 6f 72 6d 73 2c |nd binar|y forms,|
|00000320| 20 77 69 74 68 20 6f 72 | 20 77 69 74 68 6f 75 74 | with or| without|
|00000330| 0a 2e 5c 22 20 6d 6f 64 | 69 66 69 63 61 74 69 6f |..\" mod|ificatio|
|00000340| 6e 2c 20 61 72 65 20 70 | 65 72 6d 69 74 74 65 64 |n, are p|ermitted|
|00000350| 20 70 72 6f 76 69 64 65 | 64 20 74 68 61 74 3a 20 | provide|d that: |
|00000360| 28 31 29 20 73 6f 75 72 | 63 65 20 63 6f 64 65 20 |(1) sour|ce code |
|00000370| 64 69 73 74 72 69 62 75 | 74 69 6f 6e 73 0a 2e 5c |distribu|tions..\|
|00000380| 22 20 72 65 74 61 69 6e | 20 74 68 65 20 61 62 6f |" retain| the abo|
|00000390| 76 65 20 63 6f 70 79 72 | 69 67 68 74 20 6e 6f 74 |ve copyr|ight not|
|000003a0| 69 63 65 20 61 6e 64 20 | 74 68 69 73 20 70 61 72 |ice and |this par|
|000003b0| 61 67 72 61 70 68 20 69 | 6e 20 69 74 73 20 65 6e |agraph i|n its en|
|000003c0| 74 69 72 65 74 79 2c 20 | 28 32 29 0a 2e 5c 22 20 |tirety, |(2)..\" |
|000003d0| 64 69 73 74 72 69 62 75 | 74 69 6f 6e 73 20 69 6e |distribu|tions in|
|000003e0| 63 6c 75 64 69 6e 67 20 | 62 69 6e 61 72 79 20 63 |cluding |binary c|
|000003f0| 6f 64 65 20 69 6e 63 6c | 75 64 65 20 74 68 65 20 |ode incl|ude the |
|00000400| 61 62 6f 76 65 20 63 6f | 70 79 72 69 67 68 74 20 |above co|pyright |
|00000410| 6e 6f 74 69 63 65 20 61 | 6e 64 0a 2e 5c 22 20 74 |notice a|nd..\" t|
|00000420| 68 69 73 20 70 61 72 61 | 67 72 61 70 68 20 69 6e |his para|graph in|
|00000430| 20 69 74 73 20 65 6e 74 | 69 72 65 74 79 20 69 6e | its ent|irety in|
|00000440| 20 74 68 65 20 64 6f 63 | 75 6d 65 6e 74 61 74 69 | the doc|umentati|
|00000450| 6f 6e 20 6f 72 20 6f 74 | 68 65 72 20 6d 61 74 65 |on or ot|her mate|
|00000460| 72 69 61 6c 73 0a 2e 5c | 22 20 70 72 6f 76 69 64 |rials..\|" provid|
|00000470| 65 64 20 77 69 74 68 20 | 74 68 65 20 64 69 73 74 |ed with |the dist|
|00000480| 72 69 62 75 74 69 6f 6e | 2c 20 61 6e 64 20 28 33 |ribution|, and (3|
|00000490| 29 20 61 6c 6c 20 61 64 | 76 65 72 74 69 73 69 6e |) all ad|vertisin|
|000004a0| 67 20 6d 61 74 65 72 69 | 61 6c 73 20 6d 65 6e 74 |g materi|als ment|
|000004b0| 69 6f 6e 69 6e 67 0a 2e | 5c 22 20 66 65 61 74 75 |ioning..|\" featu|
|000004c0| 72 65 73 20 6f 72 20 75 | 73 65 20 6f 66 20 74 68 |res or u|se of th|
|000004d0| 69 73 20 73 6f 66 74 77 | 61 72 65 20 64 69 73 70 |is softw|are disp|
|000004e0| 6c 61 79 20 74 68 65 20 | 66 6f 6c 6c 6f 77 69 6e |lay the |followin|
|000004f0| 67 20 61 63 6b 6e 6f 77 | 6c 65 64 67 65 6d 65 6e |g acknow|ledgemen|
|00000500| 74 3a 0a 2e 5c 22 20 60 | 60 54 68 69 73 20 70 72 |t:..\" `|`This pr|
|00000510| 6f 64 75 63 74 20 69 6e | 63 6c 75 64 65 73 20 73 |oduct in|cludes s|
|00000520| 6f 66 74 77 61 72 65 20 | 64 65 76 65 6c 6f 70 65 |oftware |develope|
|00000530| 64 20 62 79 20 74 68 65 | 20 55 6e 69 76 65 72 73 |d by the| Univers|
|00000540| 69 74 79 20 6f 66 20 43 | 61 6c 69 66 6f 72 6e 69 |ity of C|aliforni|
|00000550| 61 2c 0a 2e 5c 22 20 4c | 61 77 72 65 6e 63 65 20 |a,..\" L|awrence |
|00000560| 42 65 72 6b 65 6c 65 79 | 20 4c 61 62 6f 72 61 74 |Berkeley| Laborat|
|00000570| 6f 72 79 20 61 6e 64 20 | 69 74 73 20 63 6f 6e 74 |ory and |its cont|
|00000580| 72 69 62 75 74 6f 72 73 | 2e 27 27 20 4e 65 69 74 |ributors|.'' Neit|
|00000590| 68 65 72 20 74 68 65 20 | 6e 61 6d 65 20 6f 66 0a |her the |name of.|
|000005a0| 2e 5c 22 20 74 68 65 20 | 55 6e 69 76 65 72 73 69 |.\" the |Universi|
|000005b0| 74 79 20 6e 6f 72 20 74 | 68 65 20 6e 61 6d 65 73 |ty nor t|he names|
|000005c0| 20 6f 66 20 69 74 73 20 | 63 6f 6e 74 72 69 62 75 | of its |contribu|
|000005d0| 74 6f 72 73 20 6d 61 79 | 20 62 65 20 75 73 65 64 |tors may| be used|
|000005e0| 20 74 6f 20 65 6e 64 6f | 72 73 65 0a 2e 5c 22 20 | to endo|rse..\" |
|000005f0| 6f 72 20 70 72 6f 6d 6f | 74 65 20 70 72 6f 64 75 |or promo|te produ|
|00000600| 63 74 73 20 64 65 72 69 | 76 65 64 20 66 72 6f 6d |cts deri|ved from|
|00000610| 20 74 68 69 73 20 73 6f | 66 74 77 61 72 65 20 77 | this so|ftware w|
|00000620| 69 74 68 6f 75 74 20 73 | 70 65 63 69 66 69 63 20 |ithout s|pecific |
|00000630| 70 72 69 6f 72 0a 2e 5c | 22 20 77 72 69 74 74 65 |prior..\|" writte|
|00000640| 6e 20 70 65 72 6d 69 73 | 73 69 6f 6e 2e 0a 2e 5c |n permis|sion...\|
|00000650| 22 20 54 48 49 53 20 53 | 4f 46 54 57 41 52 45 20 |" THIS S|OFTWARE |
|00000660| 49 53 20 50 52 4f 56 49 | 44 45 44 20 60 60 41 53 |IS PROVI|DED ``AS|
|00000670| 20 49 53 27 27 20 41 4e | 44 20 57 49 54 48 4f 55 | IS'' AN|D WITHOU|
|00000680| 54 20 41 4e 59 20 45 58 | 50 52 45 53 53 20 4f 52 |T ANY EX|PRESS OR|
|00000690| 20 49 4d 50 4c 49 45 44 | 0a 2e 5c 22 20 57 41 52 | IMPLIED|..\" WAR|
|000006a0| 52 41 4e 54 49 45 53 2c | 20 49 4e 43 4c 55 44 49 |RANTIES,| INCLUDI|
|000006b0| 4e 47 2c 20 57 49 54 48 | 4f 55 54 20 4c 49 4d 49 |NG, WITH|OUT LIMI|
|000006c0| 54 41 54 49 4f 4e 2c 20 | 54 48 45 20 49 4d 50 4c |TATION, |THE IMPL|
|000006d0| 49 45 44 20 57 41 52 52 | 41 4e 54 49 45 53 20 4f |IED WARR|ANTIES O|
|000006e0| 46 0a 2e 5c 22 20 4d 45 | 52 43 48 41 4e 54 41 42 |F..\" ME|RCHANTAB|
|000006f0| 49 4c 49 54 59 20 41 4e | 44 20 46 49 54 4e 45 53 |ILITY AN|D FITNES|
|00000700| 53 20 46 4f 52 20 41 20 | 50 41 52 54 49 43 55 4c |S FOR A |PARTICUL|
|00000710| 41 52 20 50 55 52 50 4f | 53 45 2e 0a 2e 5c 22 0a |AR PURPO|SE...\".|
|00000720| 2e 54 48 20 54 43 50 44 | 55 4d 50 20 31 20 20 22 |.TH TCPD|UMP 1  "|
|00000730| 32 30 20 4a 75 6e 20 31 | 39 39 34 22 0a 2e 53 48 |20 Jun 1|994"..SH|
|00000740| 20 4e 41 4d 45 0a 74 63 | 70 64 75 6d 70 20 5c 2d | NAME.tc|pdump \-|
|00000750| 20 64 75 6d 70 20 74 72 | 61 66 66 69 63 20 6f 6e | dump tr|affic on|
|00000760| 20 61 20 6e 65 74 77 6f | 72 6b 0a 2e 53 48 20 53 | a netwo|rk..SH S|
|00000770| 59 4e 4f 50 53 49 53 0a | 2e 6e 61 0a 2e 42 20 74 |YNOPSIS.|.na..B t|
|00000780| 63 70 64 75 6d 70 0a 5b | 0a 2e 42 20 5c 2d 64 65 |cpdump.[|..B \-de|
|00000790| 66 6c 6e 4e 4f 70 71 53 | 74 76 78 0a 5d 20 5b 0a |flnNOpqS|tvx.] [.|
|000007a0| 2e 42 20 5c 2d 63 0a 2e | 49 20 63 6f 75 6e 74 0a |.B \-c..|I count.|
|000007b0| 5d 20 5b 0a 2e 42 20 5c | 2d 46 0a 2e 49 20 66 69 |] [..B \|-F..I fi|
|000007c0| 6c 65 0a 5d 0a 2e 62 72 | 0a 2e 74 69 20 2b 38 0a |le.]..br|..ti +8.|
|000007d0| 5b 0a 2e 42 20 5c 2d 69 | 0a 2e 49 20 69 6e 74 65 |[..B \-i|..I inte|
|000007e0| 72 66 61 63 65 0a 5d 20 | 5b 0a 2e 42 20 5c 2d 72 |rface.] |[..B \-r|
|000007f0| 0a 2e 49 20 66 69 6c 65 | 0a 5d 0a 5b 0a 2e 42 20 |..I file|.].[..B |
|00000800| 5c 2d 73 0a 2e 49 20 73 | 6e 61 70 6c 65 6e 0a 5d |\-s..I s|naplen.]|
|00000810| 0a 2e 62 72 0a 2e 74 69 | 20 2b 38 0a 5b 0a 2e 42 |..br..ti| +8.[..B|
|00000820| 20 5c 2d 77 0a 2e 49 20 | 66 69 6c 65 0a 5d 0a 2e | \-w..I |file.]..|
|00000830| 49 20 65 78 70 72 65 73 | 73 69 6f 6e 0a 2e 62 72 |I expres|sion..br|
|00000840| 0a 2e 61 64 0a 2e 53 48 | 20 44 45 53 43 52 49 50 |..ad..SH| DESCRIP|
|00000850| 54 49 4f 4e 0a 2e 4c 50 | 0a 5c 66 49 54 63 70 64 |TION..LP|.\fITcpd|
|00000860| 75 6d 70 5c 66 50 20 70 | 72 69 6e 74 73 20 6f 75 |ump\fP p|rints ou|
|00000870| 74 20 74 68 65 20 68 65 | 61 64 65 72 73 20 6f 66 |t the he|aders of|
|00000880| 20 70 61 63 6b 65 74 73 | 20 6f 6e 20 61 20 6e 65 | packets| on a ne|
|00000890| 74 77 6f 72 6b 20 69 6e | 74 65 72 66 61 63 65 0a |twork in|terface.|
|000008a0| 74 68 61 74 20 6d 61 74 | 63 68 20 74 68 65 20 62 |that mat|ch the b|
|000008b0| 6f 6f 6c 65 61 6e 20 5c | 66 49 65 78 70 72 65 73 |oolean \|fIexpres|
|000008c0| 73 69 6f 6e 5c 66 50 2e | 0a 2e 42 20 55 6e 64 65 |sion\fP.|..B Unde|
|000008d0| 72 20 53 75 6e 4f 53 3a | 0a 59 6f 75 20 6d 75 73 |r SunOS:|.You mus|
|000008e0| 74 20 62 65 20 72 6f 6f | 74 20 74 6f 20 69 6e 76 |t be roo|t to inv|
|000008f0| 6f 6b 65 20 5c 66 49 74 | 63 70 64 75 6d 70 5c 66 |oke \fIt|cpdump\f|
|00000900| 50 20 6f 72 20 69 74 20 | 6d 75 73 74 20 62 65 20 |P or it |must be |
|00000910| 69 6e 73 74 61 6c 6c 65 | 64 0a 73 65 74 75 69 64 |installe|d.setuid|
|00000920| 20 74 6f 20 72 6f 6f 74 | 2e 0a 2e 42 20 55 6e 64 | to root|...B Und|
|00000930| 65 72 20 55 6c 74 72 69 | 78 3a 0a 41 6e 79 20 75 |er Ultri|x:.Any u|
|00000940| 73 65 72 20 63 61 6e 20 | 69 6e 76 6f 6b 65 20 5c |ser can |invoke \|
|00000950| 66 49 74 63 70 64 75 6d | 70 5c 66 50 20 6f 6e 63 |fItcpdum|p\fP onc|
|00000960| 65 20 74 68 65 20 73 75 | 70 65 72 2d 75 73 65 72 |e the su|per-user|
|00000970| 20 68 61 73 20 65 6e 61 | 62 6c 65 64 0a 70 72 6f | has ena|bled.pro|
|00000980| 6d 69 73 63 75 6f 75 73 | 2d 6d 6f 64 65 20 6f 70 |miscuous|-mode op|
|00000990| 65 72 61 74 69 6f 6e 20 | 75 73 69 6e 67 0a 2e 49 |eration |using..I|
|000009a0| 52 20 70 66 63 6f 6e 66 | 69 67 20 28 38 29 2e 0a |R pfconf|ig (8)..|
|000009b0| 2e 42 20 55 6e 64 65 72 | 20 42 53 44 3a 0a 41 63 |.B Under| BSD:.Ac|
|000009c0| 63 65 73 73 20 69 73 20 | 63 6f 6e 74 72 6f 6c 6c |cess is |controll|
|000009d0| 65 64 20 62 79 20 74 68 | 65 20 70 65 72 6d 69 73 |ed by th|e permis|
|000009e0| 73 69 6f 6e 73 20 6f 6e | 0a 2e 49 20 2f 64 65 76 |sions on|..I /dev|
|000009f0| 2f 62 70 66 30 2c 0a 65 | 74 63 2e 0a 2e 53 48 20 |/bpf0,.e|tc...SH |
|00000a00| 4f 50 54 49 4f 4e 53 0a | 2e 54 50 0a 2e 42 20 5c |OPTIONS.|.TP..B \|
|00000a10| 2d 63 0a 45 78 69 74 20 | 61 66 74 65 72 20 72 65 |-c.Exit |after re|
|00000a20| 63 65 69 76 69 6e 67 20 | 5c 66 49 63 6f 75 6e 74 |ceiving |\fIcount|
|00000a30| 5c 66 50 20 70 61 63 6b | 65 74 73 2e 0a 2e 54 50 |\fP pack|ets...TP|
|00000a40| 0a 2e 42 20 5c 2d 64 0a | 44 75 6d 70 20 74 68 65 |..B \-d.|Dump the|
|00000a50| 20 63 6f 6d 70 69 6c 65 | 64 20 70 61 63 6b 65 74 | compile|d packet|
|00000a60| 2d 6d 61 74 63 68 69 6e | 67 20 63 6f 64 65 20 74 |-matchin|g code t|
|00000a70| 6f 20 73 74 61 6e 64 61 | 72 64 20 6f 75 74 70 75 |o standa|rd outpu|
|00000a80| 74 20 61 6e 64 20 73 74 | 6f 70 2e 0a 2e 54 50 0a |t and st|op...TP.|
|00000a90| 2e 42 20 5c 2d 65 0a 50 | 72 69 6e 74 20 74 68 65 |.B \-e.P|rint the|
|00000aa0| 20 6c 69 6e 6b 2d 6c 65 | 76 65 6c 20 68 65 61 64 | link-le|vel head|
|00000ab0| 65 72 20 6f 6e 20 65 61 | 63 68 20 64 75 6d 70 20 |er on ea|ch dump |
|00000ac0| 6c 69 6e 65 2e 0a 2e 54 | 50 0a 2e 42 20 5c 2d 66 |line...T|P..B \-f|
|00000ad0| 0a 50 72 69 6e 74 20 60 | 66 6f 72 65 69 67 6e 27 |.Print `|foreign'|
|00000ae0| 20 69 6e 74 65 72 6e 65 | 74 20 61 64 64 72 65 73 | interne|t addres|
|00000af0| 73 65 73 20 6e 75 6d 65 | 72 69 63 61 6c 6c 79 20 |ses nume|rically |
|00000b00| 72 61 74 68 65 72 20 74 | 68 61 6e 20 73 79 6d 62 |rather t|han symb|
|00000b10| 6f 6c 69 63 61 6c 6c 79 | 0a 28 74 68 69 73 20 6f |olically|.(this o|
|00000b20| 70 74 69 6f 6e 20 69 73 | 20 69 6e 74 65 6e 64 65 |ption is| intende|
|00000b30| 64 20 74 6f 20 67 65 74 | 20 61 72 6f 75 6e 64 20 |d to get| around |
|00000b40| 73 65 72 69 6f 75 73 20 | 62 72 61 69 6e 20 64 61 |serious |brain da|
|00000b50| 6d 61 67 65 20 69 6e 0a | 53 75 6e 27 73 20 79 70 |mage in.|Sun's yp|
|00000b60| 20 73 65 72 76 65 72 20 | 5c 28 65 6d 20 75 73 75 | server |\(em usu|
|00000b70| 61 6c 6c 79 20 69 74 20 | 68 61 6e 67 73 20 66 6f |ally it |hangs fo|
|00000b80| 72 65 76 65 72 20 74 72 | 61 6e 73 6c 61 74 69 6e |rever tr|anslatin|
|00000b90| 67 20 6e 6f 6e 2d 6c 6f | 63 61 6c 0a 69 6e 74 65 |g non-lo|cal.inte|
|00000ba0| 72 6e 65 74 20 6e 75 6d | 62 65 72 73 29 2e 0a 2e |rnet num|bers)...|
|00000bb0| 54 50 0a 2e 42 20 5c 2d | 46 0a 55 73 65 20 5c 66 |TP..B \-|F.Use \f|
|00000bc0| 49 66 69 6c 65 5c 66 50 | 20 61 73 20 69 6e 70 75 |Ifile\fP| as inpu|
|00000bd0| 74 20 66 6f 72 20 74 68 | 65 20 66 69 6c 74 65 72 |t for th|e filter|
|00000be0| 20 65 78 70 72 65 73 73 | 69 6f 6e 2e 0a 41 6e 20 | express|ion..An |
|00000bf0| 61 64 64 69 74 69 6f 6e | 61 6c 20 65 78 70 72 65 |addition|al expre|
|00000c00| 73 73 69 6f 6e 20 67 69 | 76 65 6e 20 6f 6e 20 74 |ssion gi|ven on t|
|00000c10| 68 65 20 63 6f 6d 6d 61 | 6e 64 20 6c 69 6e 65 20 |he comma|nd line |
|00000c20| 69 73 20 69 67 6e 6f 72 | 65 64 2e 0a 2e 54 50 0a |is ignor|ed...TP.|
|00000c30| 2e 42 20 5c 2d 69 0a 4c | 69 73 74 65 6e 20 6f 6e |.B \-i.L|isten on|
|00000c40| 20 5c 66 49 69 6e 74 65 | 72 66 61 63 65 5c 66 50 | \fIinte|rface\fP|
|00000c50| 2e 0a 49 66 20 75 6e 73 | 70 65 63 69 66 69 65 64 |..If uns|pecified|
|00000c60| 2c 20 5c 66 49 74 63 70 | 64 75 6d 70 5c 66 50 20 |, \fItcp|dump\fP |
|00000c70| 73 65 61 72 63 68 65 73 | 20 74 68 65 20 73 79 73 |searches| the sys|
|00000c80| 74 65 6d 20 69 6e 74 65 | 72 66 61 63 65 20 6c 69 |tem inte|rface li|
|00000c90| 73 74 20 66 6f 72 20 74 | 68 65 0a 6c 6f 77 65 73 |st for t|he.lowes|
|00000ca0| 74 20 6e 75 6d 62 65 72 | 65 64 2c 20 63 6f 6e 66 |t number|ed, conf|
|00000cb0| 69 67 75 72 65 64 20 75 | 70 20 69 6e 74 65 72 66 |igured u|p interf|
|00000cc0| 61 63 65 20 28 65 78 63 | 6c 75 64 69 6e 67 20 6c |ace (exc|luding l|
|00000cd0| 6f 6f 70 62 61 63 6b 29 | 2e 0a 54 69 65 73 20 61 |oopback)|..Ties a|
|00000ce0| 72 65 20 62 72 6f 6b 65 | 6e 20 62 79 20 63 68 6f |re broke|n by cho|
|00000cf0| 6f 73 69 6e 67 20 74 68 | 65 20 65 61 72 6c 69 65 |osing th|e earlie|
|00000d00| 73 74 20 6d 61 74 63 68 | 2e 0a 2e 54 50 0a 2e 42 |st match|...TP..B|
|00000d10| 20 5c 2d 6c 0a 4d 61 6b | 65 20 73 74 64 6f 75 74 | \-l.Mak|e stdout|
|00000d20| 20 6c 69 6e 65 20 62 75 | 66 66 65 72 65 64 2e 20 | line bu|ffered. |
|00000d30| 20 55 73 65 66 75 6c 20 | 69 66 20 79 6f 75 20 77 | Useful |if you w|
|00000d40| 61 6e 74 20 74 6f 20 73 | 65 65 20 74 68 65 20 64 |ant to s|ee the d|
|00000d50| 61 74 61 0a 77 68 69 6c | 65 20 63 61 70 74 75 72 |ata.whil|e captur|
|00000d60| 69 6e 67 20 69 74 2e 20 | 20 45 2e 67 2e 2c 0a 2e |ing it. | E.g.,..|
|00000d70| 62 72 0a 60 60 74 63 70 | 64 75 6d 70 5c 20 5c 20 |br.``tcp|dump\ \ |
|00000d80| 5c 2d 6c 5c 20 5c 20 7c | 5c 20 5c 20 74 65 65 20 |\-l\ \ ||\ \ tee |
|00000d90| 64 61 74 27 27 20 6f 72 | 0a 60 60 74 63 70 64 75 |dat'' or|.``tcpdu|
|00000da0| 6d 70 5c 20 5c 20 5c 2d | 6c 20 5c 20 5c 20 3e 20 |mp\ \ \-|l \ \ > |
|00000db0| 64 61 74 5c 20 5c 20 26 | 5c 20 5c 20 74 61 69 6c |dat\ \ &|\ \ tail|
|00000dc0| 5c 20 5c 20 5c 2d 66 5c | 20 5c 20 64 61 74 27 27 |\ \ \-f\| \ dat''|
|00000dd0| 2e 0a 2e 54 50 0a 2e 42 | 20 5c 2d 6e 0a 44 6f 6e |...TP..B| \-n.Don|
|00000de0| 27 74 20 63 6f 6e 76 65 | 72 74 20 61 64 64 72 65 |'t conve|rt addre|
|00000df0| 73 73 65 73 20 28 69 2e | 65 2e 2c 20 68 6f 73 74 |sses (i.|e., host|
|00000e00| 20 61 64 64 72 65 73 73 | 65 73 2c 20 70 6f 72 74 | address|es, port|
|00000e10| 20 6e 75 6d 62 65 72 73 | 2c 20 65 74 63 2e 29 20 | numbers|, etc.) |
|00000e20| 74 6f 20 6e 61 6d 65 73 | 2e 0a 2e 54 50 0a 2e 42 |to names|...TP..B|
|00000e30| 20 5c 2d 4e 0a 44 6f 6e | 27 74 20 70 72 69 6e 74 | \-N.Don|'t print|
|00000e40| 20 64 6f 6d 61 69 6e 20 | 6e 61 6d 65 20 71 75 61 | domain |name qua|
|00000e50| 6c 69 66 69 63 61 74 69 | 6f 6e 20 6f 66 20 68 6f |lificati|on of ho|
|00000e60| 73 74 20 6e 61 6d 65 73 | 2e 20 20 45 2e 67 2e 2c |st names|.  E.g.,|
|00000e70| 0a 69 66 20 79 6f 75 20 | 67 69 76 65 20 74 68 69 |.if you |give thi|
|00000e80| 73 20 66 6c 61 67 20 74 | 68 65 6e 20 5c 66 49 74 |s flag t|hen \fIt|
|00000e90| 63 70 64 75 6d 70 5c 66 | 50 20 77 69 6c 6c 20 70 |cpdump\f|P will p|
|00000ea0| 72 69 6e 74 20 60 60 6e | 69 63 27 27 0a 69 6e 73 |rint ``n|ic''.ins|
|00000eb0| 74 65 61 64 20 6f 66 20 | 60 60 6e 69 63 2e 64 64 |tead of |``nic.dd|
|00000ec0| 6e 2e 6d 69 6c 27 27 2e | 0a 2e 54 50 0a 2e 42 20 |n.mil''.|..TP..B |
|00000ed0| 5c 2d 4f 0a 44 6f 20 6e | 6f 74 20 72 75 6e 20 74 |\-O.Do n|ot run t|
|00000ee0| 68 65 20 70 61 63 6b 65 | 74 2d 6d 61 74 63 68 69 |he packe|t-matchi|
|00000ef0| 6e 67 20 63 6f 64 65 20 | 6f 70 74 69 6d 69 7a 65 |ng code |optimize|
|00000f00| 72 2e 20 20 54 68 69 73 | 20 69 73 20 75 73 65 66 |r.  This| is usef|
|00000f10| 75 6c 20 6f 6e 6c 79 0a | 69 66 20 79 6f 75 20 73 |ul only.|if you s|
|00000f20| 75 73 70 65 63 74 20 61 | 20 62 75 67 20 69 6e 20 |uspect a| bug in |
|00000f30| 74 68 65 20 6f 70 74 69 | 6d 69 7a 65 72 2e 0a 2e |the opti|mizer...|
|00000f40| 54 50 0a 2e 42 20 5c 2d | 70 0a 5c 66 49 44 6f 6e |TP..B \-|p.\fIDon|
|00000f50| 27 74 5c 66 50 20 70 75 | 74 20 74 68 65 20 69 6e |'t\fP pu|t the in|
|00000f60| 74 65 72 66 61 63 65 0a | 69 6e 74 6f 20 70 72 6f |terface.|into pro|
|00000f70| 6d 69 73 63 75 6f 75 73 | 20 6d 6f 64 65 2e 20 20 |miscuous| mode.  |
|00000f80| 4e 6f 74 65 20 74 68 61 | 74 20 74 68 65 20 69 6e |Note tha|t the in|
|00000f90| 74 65 72 66 61 63 65 20 | 6d 69 67 68 74 20 62 65 |terface |might be|
|00000fa0| 20 69 6e 20 70 72 6f 6d | 69 73 63 75 6f 75 73 0a | in prom|iscuous.|
|00000fb0| 66 6f 72 20 73 6f 6d 65 | 20 6f 74 68 65 72 20 72 |for some| other r|
|00000fc0| 65 61 73 6f 6e 3b 20 68 | 65 6e 63 65 2c 20 60 2d |eason; h|ence, `-|
|00000fd0| 70 27 20 63 61 6e 6e 6f | 74 20 62 65 20 75 73 65 |p' canno|t be use|
|00000fe0| 64 20 61 73 20 61 6e 20 | 61 62 62 72 65 76 69 61 |d as an |abbrevia|
|00000ff0| 74 69 6f 6e 20 66 6f 72 | 0a 60 65 74 68 65 72 20 |tion for|.`ether |
|00001000| 68 6f 73 74 20 7b 6c 6f | 63 61 6c 68 6f 73 74 7d |host {lo|calhost}|
|00001010| 20 6f 72 20 62 72 6f 61 | 64 63 61 73 74 27 2e 0a | or broa|dcast'..|
|00001020| 2e 54 50 0a 2e 42 20 5c | 2d 71 0a 51 75 69 63 6b |.TP..B \|-q.Quick|
|00001030| 20 28 71 75 69 65 74 3f | 29 20 6f 75 74 70 75 74 | (quiet?|) output|
|00001040| 2e 20 20 50 72 69 6e 74 | 20 6c 65 73 73 20 70 72 |.  Print| less pr|
|00001050| 6f 74 6f 63 6f 6c 20 69 | 6e 66 6f 72 6d 61 74 69 |otocol i|nformati|
|00001060| 6f 6e 20 73 6f 20 6f 75 | 74 70 75 74 0a 6c 69 6e |on so ou|tput.lin|
|00001070| 65 73 20 61 72 65 20 73 | 68 6f 72 74 65 72 2e 0a |es are s|horter..|
|00001080| 2e 54 50 0a 2e 42 20 5c | 2d 72 0a 52 65 61 64 20 |.TP..B \|-r.Read |
|00001090| 70 61 63 6b 65 74 73 20 | 66 72 6f 6d 20 5c 66 49 |packets |from \fI|
|000010a0| 66 69 6c 65 5c 66 52 20 | 28 77 68 69 63 68 20 77 |file\fR |(which w|
|000010b0| 61 73 20 63 72 65 61 74 | 65 64 20 77 69 74 68 20 |as creat|ed with |
|000010c0| 74 68 65 20 2d 77 20 6f | 70 74 69 6f 6e 29 2e 0a |the -w o|ption)..|
|000010d0| 53 74 61 6e 64 61 72 64 | 20 69 6e 70 75 74 20 69 |Standard| input i|
|000010e0| 73 20 75 73 65 64 20 69 | 66 20 5c 66 49 66 69 6c |s used i|f \fIfil|
|000010f0| 65 5c 66 52 20 69 73 20 | 60 60 2d 27 27 2e 0a 2e |e\fR is |``-''...|
|00001100| 54 50 0a 2e 42 20 5c 2d | 73 0a 53 6e 61 72 66 20 |TP..B \-|s.Snarf |
|00001110| 5c 66 49 73 6e 61 70 6c | 65 6e 5c 66 50 20 62 79 |\fIsnapl|en\fP by|
|00001120| 74 65 73 20 6f 66 20 64 | 61 74 61 20 66 72 6f 6d |tes of d|ata from|
|00001130| 20 65 61 63 68 20 70 61 | 63 6b 65 74 20 72 61 74 | each pa|cket rat|
|00001140| 68 65 72 20 74 68 61 6e | 20 74 68 65 0a 64 65 66 |her than| the.def|
|00001150| 61 75 6c 74 20 6f 66 20 | 36 38 20 28 77 69 74 68 |ault of |68 (with|
|00001160| 20 4e 49 54 2c 20 74 68 | 65 20 6d 69 6e 69 6d 75 | NIT, th|e minimu|
|00001170| 6d 20 69 73 20 61 63 74 | 75 61 6c 6c 79 20 39 36 |m is act|ually 96|
|00001180| 29 2e 0a 36 38 20 62 79 | 74 65 73 20 69 73 20 61 |)..68 by|tes is a|
|00001190| 64 65 71 75 61 74 65 20 | 66 6f 72 20 49 50 2c 20 |dequate |for IP, |
|000011a0| 49 43 4d 50 2c 20 54 43 | 50 0a 61 6e 64 20 55 44 |ICMP, TC|P.and UD|
|000011b0| 50 20 62 75 74 20 6d 61 | 79 20 74 72 75 6e 63 61 |P but ma|y trunca|
|000011c0| 74 65 20 70 72 6f 74 6f | 63 6f 6c 20 69 6e 66 6f |te proto|col info|
|000011d0| 72 6d 61 74 69 6f 6e 20 | 66 72 6f 6d 20 6e 61 6d |rmation |from nam|
|000011e0| 65 20 73 65 72 76 65 72 | 20 61 6e 64 20 4e 46 53 |e server| and NFS|
|000011f0| 0a 70 61 63 6b 65 74 73 | 20 28 73 65 65 20 62 65 |.packets| (see be|
|00001200| 6c 6f 77 29 2e 20 20 50 | 61 63 6b 65 74 73 20 74 |low).  P|ackets t|
|00001210| 72 75 6e 63 61 74 65 64 | 20 62 65 63 61 75 73 65 |runcated| because|
|00001220| 20 6f 66 20 61 20 6c 69 | 6d 69 74 65 64 20 73 6e | of a li|mited sn|
|00001230| 61 70 73 68 6f 74 0a 61 | 72 65 20 69 6e 64 69 63 |apshot.a|re indic|
|00001240| 61 74 65 64 20 69 6e 20 | 74 68 65 20 6f 75 74 70 |ated in |the outp|
|00001250| 75 74 20 77 69 74 68 20 | 60 60 5b 7c 5c 66 49 70 |ut with |``[|\fIp|
|00001260| 72 6f 74 6f 5c 66 50 5d | 27 27 2c 20 77 68 65 72 |roto\fP]|'', wher|
|00001270| 65 20 5c 66 49 70 72 6f | 74 6f 5c 66 50 0a 69 73 |e \fIpro|to\fP.is|
|00001280| 20 74 68 65 20 6e 61 6d | 65 20 6f 66 20 74 68 65 | the nam|e of the|
|00001290| 20 70 72 6f 74 6f 63 6f | 6c 20 6c 65 76 65 6c 20 | protoco|l level |
|000012a0| 61 74 20 77 68 69 63 68 | 20 74 68 65 20 74 72 75 |at which| the tru|
|000012b0| 6e 63 61 74 69 6f 6e 20 | 68 61 73 20 6f 63 63 75 |ncation |has occu|
|000012c0| 72 72 65 64 2e 0a 4e 6f | 74 65 20 74 68 61 74 20 |rred..No|te that |
|000012d0| 74 61 6b 69 6e 67 20 6c | 61 72 67 65 72 20 73 6e |taking l|arger sn|
|000012e0| 61 70 73 68 6f 74 73 20 | 62 6f 74 68 20 69 6e 63 |apshots |both inc|
|000012f0| 72 65 61 73 65 73 0a 74 | 68 65 20 61 6d 6f 75 6e |reases.t|he amoun|
|00001300| 74 20 6f 66 20 74 69 6d | 65 20 69 74 20 74 61 6b |t of tim|e it tak|
|00001310| 65 73 20 74 6f 20 70 72 | 6f 63 65 73 73 20 70 61 |es to pr|ocess pa|
|00001320| 63 6b 65 74 73 20 61 6e | 64 2c 20 65 66 66 65 63 |ckets an|d, effec|
|00001330| 74 69 76 65 6c 79 2c 0a | 64 65 63 72 65 61 73 65 |tively,.|decrease|
|00001340| 73 20 74 68 65 20 61 6d | 6f 75 6e 74 20 6f 66 20 |s the am|ount of |
|00001350| 70 61 63 6b 65 74 20 62 | 75 66 66 65 72 69 6e 67 |packet b|uffering|
|00001360| 2e 20 20 54 68 69 73 20 | 6d 61 79 20 63 61 75 73 |.  This |may caus|
|00001370| 65 20 70 61 63 6b 65 74 | 73 20 74 6f 20 62 65 0a |e packet|s to be.|
|00001380| 6c 6f 73 74 2e 20 20 59 | 6f 75 20 73 68 6f 75 6c |lost.  Y|ou shoul|
|00001390| 64 20 6c 69 6d 69 74 20 | 5c 66 49 73 6e 61 70 6c |d limit |\fIsnapl|
|000013a0| 65 6e 5c 66 50 20 74 6f | 20 74 68 65 20 73 6d 61 |en\fP to| the sma|
|000013b0| 6c 6c 65 73 74 20 6e 75 | 6d 62 65 72 20 74 68 61 |llest nu|mber tha|
|000013c0| 74 20 77 69 6c 6c 0a 63 | 61 70 74 75 72 65 20 74 |t will.c|apture t|
|000013d0| 68 65 20 70 72 6f 74 6f | 63 6f 6c 20 69 6e 66 6f |he proto|col info|
|000013e0| 72 6d 61 74 69 6f 6e 20 | 79 6f 75 27 72 65 20 69 |rmation |you're i|
|000013f0| 6e 74 65 72 65 73 74 65 | 64 20 69 6e 2e 0a 2e 54 |ntereste|d in...T|
|00001400| 50 0a 2e 42 20 5c 2d 53 | 0a 50 72 69 6e 74 20 61 |P..B \-S|.Print a|
|00001410| 62 73 6f 6c 75 74 65 2c | 20 72 61 74 68 65 72 20 |bsolute,| rather |
|00001420| 74 68 61 6e 20 72 65 6c | 61 74 69 76 65 2c 20 54 |than rel|ative, T|
|00001430| 43 50 20 73 65 71 75 65 | 6e 63 65 20 6e 75 6d 62 |CP seque|nce numb|
|00001440| 65 72 73 2e 0a 2e 54 50 | 0a 2e 42 20 5c 2d 74 0a |ers...TP|..B \-t.|
|00001450| 5c 66 49 44 6f 6e 27 74 | 5c 66 50 20 70 72 69 6e |\fIDon't|\fP prin|
|00001460| 74 20 61 20 74 69 6d 65 | 73 74 61 6d 70 20 6f 6e |t a time|stamp on|
|00001470| 20 65 61 63 68 20 64 75 | 6d 70 20 6c 69 6e 65 2e | each du|mp line.|
|00001480| 0a 2e 54 50 0a 2e 42 20 | 5c 2d 74 74 0a 50 72 69 |..TP..B |\-tt.Pri|
|00001490| 6e 74 20 61 6e 20 75 6e | 66 6f 72 6d 61 74 74 65 |nt an un|formatte|
|000014a0| 64 20 74 69 6d 65 73 74 | 61 6d 70 20 6f 6e 20 65 |d timest|amp on e|
|000014b0| 61 63 68 20 64 75 6d 70 | 20 6c 69 6e 65 2e 0a 2e |ach dump| line...|
|000014c0| 54 50 0a 2e 42 20 5c 2d | 76 0a 28 53 6c 69 67 68 |TP..B \-|v.(Sligh|
|000014d0| 74 6c 79 20 6d 6f 72 65 | 29 20 76 65 72 62 6f 73 |tly more|) verbos|
|000014e0| 65 20 6f 75 74 70 75 74 | 2e 20 20 46 6f 72 20 65 |e output|.  For e|
|000014f0| 78 61 6d 70 6c 65 2c 20 | 74 68 65 20 74 69 6d 65 |xample, |the time|
|00001500| 20 74 6f 20 6c 69 76 65 | 0a 61 6e 64 20 74 79 70 | to live|.and typ|
|00001510| 65 20 6f 66 20 73 65 72 | 76 69 63 65 20 69 6e 66 |e of ser|vice inf|
|00001520| 6f 72 6d 61 74 69 6f 6e | 20 69 6e 20 61 6e 20 49 |ormation| in an I|
|00001530| 50 20 70 61 63 6b 65 74 | 20 69 73 20 70 72 69 6e |P packet| is prin|
|00001540| 74 65 64 2e 0a 2e 54 50 | 0a 2e 42 20 5c 2d 76 76 |ted...TP|..B \-vv|
|00001550| 0a 45 76 65 6e 20 6d 6f | 72 65 20 76 65 72 62 6f |.Even mo|re verbo|
|00001560| 73 65 20 6f 75 74 70 75 | 74 2e 20 20 46 6f 72 20 |se outpu|t.  For |
|00001570| 65 78 61 6d 70 6c 65 2c | 20 61 64 64 69 74 69 6f |example,| additio|
|00001580| 6e 61 6c 20 66 69 65 6c | 64 73 20 61 72 65 0a 70 |nal fiel|ds are.p|
|00001590| 72 69 6e 74 65 64 20 66 | 72 6f 6d 20 4e 46 53 20 |rinted f|rom NFS |
|000015a0| 72 65 70 6c 79 20 70 61 | 63 6b 65 74 73 2e 0a 2e |reply pa|ckets...|
|000015b0| 54 50 0a 2e 42 20 5c 2d | 77 0a 57 72 69 74 65 20 |TP..B \-|w.Write |
|000015c0| 74 68 65 20 72 61 77 20 | 70 61 63 6b 65 74 73 20 |the raw |packets |
|000015d0| 74 6f 20 5c 66 49 66 69 | 6c 65 5c 66 52 20 72 61 |to \fIfi|le\fR ra|
|000015e0| 74 68 65 72 20 74 68 61 | 6e 20 70 61 72 73 69 6e |ther tha|n parsin|
|000015f0| 67 20 61 6e 64 20 70 72 | 69 6e 74 69 6e 67 0a 74 |g and pr|inting.t|
|00001600| 68 65 6d 20 6f 75 74 2e | 20 20 54 68 65 79 20 63 |hem out.|  They c|
|00001610| 61 6e 20 6c 61 74 65 72 | 20 62 65 20 70 72 69 6e |an later| be prin|
|00001620| 74 65 64 20 77 69 74 68 | 20 74 68 65 20 5c 2d 72 |ted with| the \-r|
|00001630| 20 6f 70 74 69 6f 6e 2e | 0a 53 74 61 6e 64 61 72 | option.|.Standar|
|00001640| 64 20 6f 75 74 70 75 74 | 20 69 73 20 75 73 65 64 |d output| is used|
|00001650| 20 69 66 20 5c 66 49 66 | 69 6c 65 5c 66 52 20 69 | if \fIf|ile\fR i|
|00001660| 73 20 60 60 2d 27 27 2e | 0a 2e 54 50 0a 2e 42 20 |s ``-''.|..TP..B |
|00001670| 5c 2d 78 0a 50 72 69 6e | 74 20 65 61 63 68 20 70 |\-x.Prin|t each p|
|00001680| 61 63 6b 65 74 20 28 6d | 69 6e 75 73 20 69 74 73 |acket (m|inus its|
|00001690| 20 6c 69 6e 6b 20 6c 65 | 76 65 6c 20 68 65 61 64 | link le|vel head|
|000016a0| 65 72 29 20 69 6e 20 68 | 65 78 2e 0a 54 68 65 20 |er) in h|ex..The |
|000016b0| 73 6d 61 6c 6c 65 72 20 | 6f 66 20 74 68 65 20 65 |smaller |of the e|
|000016c0| 6e 74 69 72 65 20 70 61 | 63 6b 65 74 20 6f 72 0a |ntire pa|cket or.|
|000016d0| 2e 49 20 73 6e 61 70 6c | 65 6e 0a 62 79 74 65 73 |.I snapl|en.bytes|
|000016e0| 20 77 69 6c 6c 20 62 65 | 20 70 72 69 6e 74 65 64 | will be| printed|
|000016f0| 2e 0a 2e 49 50 20 22 5c | 66 49 20 65 78 70 72 65 |...IP "\|fI expre|
|00001700| 73 73 69 6f 6e 5c 66 50 | 22 0a 2e 52 53 0a 73 65 |ssion\fP|"..RS.se|
|00001710| 6c 65 63 74 73 20 77 68 | 69 63 68 20 70 61 63 6b |lects wh|ich pack|
|00001720| 65 74 73 20 77 69 6c 6c | 20 62 65 20 64 75 6d 70 |ets will| be dump|
|00001730| 65 64 2e 20 20 49 66 20 | 6e 6f 20 5c 66 49 65 78 |ed.  If |no \fIex|
|00001740| 70 72 65 73 73 69 6f 6e | 5c 66 50 0a 69 73 20 67 |pression|\fP.is g|
|00001750| 69 76 65 6e 2c 20 61 6c | 6c 20 70 61 63 6b 65 74 |iven, al|l packet|
|00001760| 73 20 6f 6e 20 74 68 65 | 20 6e 65 74 20 77 69 6c |s on the| net wil|
|00001770| 6c 20 62 65 20 64 75 6d | 70 65 64 2e 20 20 4f 74 |l be dum|ped.  Ot|
|00001780| 68 65 72 77 69 73 65 2c | 0a 6f 6e 6c 79 20 70 61 |herwise,|.only pa|
|00001790| 63 6b 65 74 73 20 66 6f | 72 20 77 68 69 63 68 20 |ckets fo|r which |
|000017a0| 5c 66 49 65 78 70 72 65 | 73 73 69 6f 6e 5c 66 50 |\fIexpre|ssion\fP|
|000017b0| 20 69 73 20 60 74 72 75 | 65 27 20 77 69 6c 6c 20 | is `tru|e' will |
|000017c0| 62 65 20 64 75 6d 70 65 | 64 2e 0a 2e 4c 50 0a 54 |be dumpe|d...LP.T|
|000017d0| 68 65 20 5c 66 49 65 78 | 70 72 65 73 73 69 6f 6e |he \fIex|pression|
|000017e0| 5c 66 50 20 63 6f 6e 73 | 69 73 74 73 20 6f 66 20 |\fP cons|ists of |
|000017f0| 6f 6e 65 20 6f 72 20 6d | 6f 72 65 0a 2e 49 20 70 |one or m|ore..I p|
|00001800| 72 69 6d 69 74 69 76 65 | 73 2e 0a 50 72 69 6d 69 |rimitive|s..Primi|
|00001810| 74 69 76 65 73 20 75 73 | 75 61 6c 6c 79 20 63 6f |tives us|ually co|
|00001820| 6e 73 69 73 74 20 6f 66 | 20 61 6e 0a 2e 49 20 69 |nsist of| an..I i|
|00001830| 64 0a 28 6e 61 6d 65 20 | 6f 72 20 6e 75 6d 62 65 |d.(name |or numbe|
|00001840| 72 29 20 70 72 65 63 65 | 64 65 64 20 62 79 20 6f |r) prece|ded by o|
|00001850| 6e 65 20 6f 72 20 6d 6f | 72 65 20 71 75 61 6c 69 |ne or mo|re quali|
|00001860| 66 69 65 72 73 2e 20 20 | 54 68 65 72 65 20 61 72 |fiers.  |There ar|
|00001870| 65 20 74 68 72 65 65 0a | 64 69 66 66 65 72 65 6e |e three.|differen|
|00001880| 74 20 6b 69 6e 64 73 20 | 6f 66 20 71 75 61 6c 69 |t kinds |of quali|
|00001890| 66 69 65 72 3a 0a 2e 49 | 50 20 5c 66 49 74 79 70 |fier:..I|P \fItyp|
|000018a0| 65 5c 66 50 0a 71 75 61 | 6c 69 66 69 65 72 73 20 |e\fP.qua|lifiers |
|000018b0| 73 61 79 20 77 68 61 74 | 20 6b 69 6e 64 20 6f 66 |say what| kind of|
|000018c0| 20 74 68 69 6e 67 20 74 | 68 65 20 69 64 20 6e 61 | thing t|he id na|
|000018d0| 6d 65 20 6f 72 20 6e 75 | 6d 62 65 72 20 72 65 66 |me or nu|mber ref|
|000018e0| 65 72 73 20 74 6f 2e 0a | 50 6f 73 73 69 62 6c 65 |ers to..|Possible|
|000018f0| 20 74 79 70 65 73 20 61 | 72 65 0a 2e 42 52 20 68 | types a|re..BR h|
|00001900| 6f 73 74 20 2c 0a 2e 42 | 20 6e 65 74 0a 61 6e 64 |ost ,..B| net.and|
|00001910| 0a 2e 42 52 20 70 6f 72 | 74 20 2e 0a 45 2e 67 2e |..BR por|t ..E.g.|
|00001920| 2c 20 60 68 6f 73 74 20 | 66 6f 6f 27 2c 20 60 6e |, `host |foo', `n|
|00001930| 65 74 20 31 32 38 2e 33 | 27 2c 20 60 70 6f 72 74 |et 128.3|', `port|
|00001940| 20 32 30 27 2e 20 20 49 | 66 20 74 68 65 72 65 20 | 20'.  I|f there |
|00001950| 69 73 20 6e 6f 20 74 79 | 70 65 0a 71 75 61 6c 69 |is no ty|pe.quali|
|00001960| 66 69 65 72 2c 0a 2e 42 | 20 68 6f 73 74 0a 69 73 |fier,..B| host.is|
|00001970| 20 61 73 73 75 6d 65 64 | 2e 0a 2e 49 50 20 5c 66 | assumed|...IP \f|
|00001980| 49 64 69 72 5c 66 50 0a | 71 75 61 6c 69 66 69 65 |Idir\fP.|qualifie|
|00001990| 72 73 20 73 70 65 63 69 | 66 79 20 61 20 70 61 72 |rs speci|fy a par|
|000019a0| 74 69 63 75 6c 61 72 20 | 74 72 61 6e 66 65 72 20 |ticular |tranfer |
|000019b0| 64 69 72 65 63 74 69 6f | 6e 20 74 6f 20 61 6e 64 |directio|n to and|
|000019c0| 2f 6f 72 20 66 72 6f 6d | 0a 2e 49 20 69 64 2e 0a |/or from|..I id..|
|000019d0| 50 6f 73 73 69 62 6c 65 | 20 64 69 72 65 63 74 69 |Possible| directi|
|000019e0| 6f 6e 73 20 61 72 65 0a | 2e 42 52 20 73 72 63 20 |ons are.|.BR src |
|000019f0| 2c 0a 2e 42 52 20 64 73 | 74 20 2c 0a 2e 42 20 22 |,..BR ds|t ,..B "|
|00001a00| 73 72 63 20 6f 72 20 64 | 73 74 22 0a 61 6e 64 0a |src or d|st".and.|
|00001a10| 2e 42 20 22 73 72 63 20 | 61 6e 64 22 0a 2e 42 52 |.B "src |and"..BR|
|00001a20| 20 64 73 74 20 2e 0a 45 | 2e 67 2e 2c 20 60 73 72 | dst ..E|.g., `sr|
|00001a30| 63 20 66 6f 6f 27 2c 20 | 60 64 73 74 20 6e 65 74 |c foo', |`dst net|
|00001a40| 20 31 32 38 2e 33 27 2c | 20 60 73 72 63 20 6f 72 | 128.3',| `src or|
|00001a50| 20 64 73 74 20 70 6f 72 | 74 20 66 74 70 2d 64 61 | dst por|t ftp-da|
|00001a60| 74 61 27 2e 20 20 49 66 | 0a 74 68 65 72 65 20 69 |ta'.  If|.there i|
|00001a70| 73 20 6e 6f 20 64 69 72 | 20 71 75 61 6c 69 66 69 |s no dir| qualifi|
|00001a80| 65 72 2c 0a 2e 42 20 22 | 73 72 63 20 6f 72 20 64 |er,..B "|src or d|
|00001a90| 73 74 22 0a 69 73 20 61 | 73 73 75 6d 65 64 2e 0a |st".is a|ssumed..|
|00001aa0| 2e 49 50 20 5c 66 49 70 | 72 6f 74 6f 5c 66 50 0a |.IP \fIp|roto\fP.|
|00001ab0| 71 75 61 6c 69 66 69 65 | 72 73 20 72 65 73 74 72 |qualifie|rs restr|
|00001ac0| 69 63 74 20 74 68 65 20 | 6d 61 74 63 68 20 74 6f |ict the |match to|
|00001ad0| 20 61 20 70 61 72 74 69 | 63 75 6c 61 72 20 70 72 | a parti|cular pr|
|00001ae0| 6f 74 6f 63 6f 6c 2e 20 | 20 50 6f 73 73 69 62 6c |otocol. | Possibl|
|00001af0| 65 0a 70 72 6f 74 6f 73 | 20 61 72 65 3a 0a 2e 42 |e.protos| are:..B|
|00001b00| 52 20 65 74 68 65 72 20 | 2c 0a 2e 42 52 20 66 64 |R ether |,..BR fd|
|00001b10| 64 69 20 2c 0a 2e 42 52 | 20 69 70 20 2c 0a 2e 42 |di ,..BR| ip ,..B|
|00001b20| 52 20 61 72 70 20 2c 0a | 2e 42 52 20 72 61 72 70 |R arp ,.|.BR rarp|
|00001b30| 20 2c 0a 2e 42 52 20 64 | 65 63 6e 65 74 20 2c 0a | ,..BR d|ecnet ,.|
|00001b40| 2e 42 52 20 6c 61 74 20 | 2c 0a 2e 42 52 20 6d 6f |.BR lat |,..BR mo|
|00001b50| 70 72 63 20 2c 0a 2e 42 | 52 20 6d 6f 70 64 6c 20 |prc ,..B|R mopdl |
|00001b60| 2c 0a 2e 42 20 74 63 70 | 0a 61 6e 64 0a 2e 42 52 |,..B tcp|.and..BR|
|00001b70| 20 75 64 70 20 2e 0a 45 | 2e 67 2e 2c 20 60 65 74 | udp ..E|.g., `et|
|00001b80| 68 65 72 20 73 72 63 20 | 66 6f 6f 27 2c 20 60 61 |her src |foo', `a|
|00001b90| 72 70 20 6e 65 74 20 31 | 32 38 2e 33 27 2c 20 60 |rp net 1|28.3', `|
|00001ba0| 74 63 70 20 70 6f 72 74 | 20 32 31 27 2e 20 20 49 |tcp port| 21'.  I|
|00001bb0| 66 20 74 68 65 72 65 20 | 69 73 0a 6e 6f 20 70 72 |f there |is.no pr|
|00001bc0| 6f 74 6f 20 71 75 61 6c | 69 66 69 65 72 2c 20 61 |oto qual|ifier, a|
|00001bd0| 6c 6c 20 70 72 6f 74 6f | 63 6f 6c 73 20 63 6f 6e |ll proto|cols con|
|00001be0| 73 69 73 74 65 6e 74 20 | 77 69 74 68 20 74 68 65 |sistent |with the|
|00001bf0| 20 74 79 70 65 20 61 72 | 65 0a 61 73 73 75 6d 65 | type ar|e.assume|
|00001c00| 64 2e 20 20 45 2e 67 2e | 2c 20 60 73 72 63 20 66 |d.  E.g.|, `src f|
|00001c10| 6f 6f 27 20 6d 65 61 6e | 73 20 60 28 69 70 20 6f |oo' mean|s `(ip o|
|00001c20| 72 20 61 72 70 20 6f 72 | 20 72 61 72 70 29 20 73 |r arp or| rarp) s|
|00001c30| 72 63 20 66 6f 6f 27 0a | 28 65 78 63 65 70 74 20 |rc foo'.|(except |
|00001c40| 74 68 65 20 6c 61 74 74 | 65 72 20 69 73 20 6e 6f |the latt|er is no|
|00001c50| 74 20 6c 65 67 61 6c 20 | 73 79 6e 74 61 78 29 2c |t legal |syntax),|
|00001c60| 20 60 6e 65 74 20 62 61 | 72 27 20 6d 65 61 6e 73 | `net ba|r' means|
|00001c70| 20 60 28 69 70 20 6f 72 | 0a 61 72 70 20 6f 72 20 | `(ip or|.arp or |
|00001c80| 72 61 72 70 29 20 6e 65 | 74 20 62 61 72 27 20 61 |rarp) ne|t bar' a|
|00001c90| 6e 64 20 60 70 6f 72 74 | 20 35 33 27 20 6d 65 61 |nd `port| 53' mea|
|00001ca0| 6e 73 20 60 28 74 63 70 | 20 6f 72 20 75 64 70 29 |ns `(tcp| or udp)|
|00001cb0| 20 70 6f 72 74 20 35 33 | 27 2e 0a 2e 4c 50 0a 5b | port 53|'...LP.[|
|00001cc0| 60 66 64 64 69 27 20 69 | 73 20 61 63 74 75 61 6c |`fddi' i|s actual|
|00001cd0| 6c 79 20 61 6e 20 61 6c | 69 61 73 20 66 6f 72 20 |ly an al|ias for |
|00001ce0| 60 65 74 68 65 72 27 3b | 20 74 68 65 20 70 61 72 |`ether';| the par|
|00001cf0| 73 65 72 20 74 72 65 61 | 74 73 20 74 68 65 6d 0a |ser trea|ts them.|
|00001d00| 69 64 65 6e 74 69 63 61 | 6c 6c 79 20 61 73 20 6d |identica|lly as m|
|00001d10| 65 61 6e 69 6e 67 20 60 | 60 74 68 65 20 64 61 74 |eaning `|`the dat|
|00001d20| 61 20 6c 69 6e 6b 20 6c | 65 76 65 6c 20 75 73 65 |a link l|evel use|
|00001d30| 64 20 6f 6e 20 74 68 65 | 20 73 70 65 63 69 66 69 |d on the| specifi|
|00001d40| 65 64 0a 6e 65 74 77 6f | 72 6b 20 69 6e 74 65 72 |ed.netwo|rk inter|
|00001d50| 66 61 63 65 2e 27 27 20 | 20 46 44 44 49 20 68 65 |face.'' | FDDI he|
|00001d60| 61 64 65 72 73 20 63 6f | 6e 74 61 69 6e 20 45 74 |aders co|ntain Et|
|00001d70| 68 65 72 6e 65 74 2d 6c | 69 6b 65 20 73 6f 75 72 |hernet-l|ike sour|
|00001d80| 63 65 0a 61 6e 64 20 64 | 65 73 74 69 6e 61 74 69 |ce.and d|estinati|
|00001d90| 6f 6e 20 61 64 64 72 65 | 73 73 65 73 2c 20 61 6e |on addre|sses, an|
|00001da0| 64 20 6f 66 74 65 6e 20 | 63 6f 6e 74 61 69 6e 20 |d often |contain |
|00001db0| 45 74 68 65 72 6e 65 74 | 2d 6c 69 6b 65 20 70 61 |Ethernet|-like pa|
|00001dc0| 63 6b 65 74 0a 74 79 70 | 65 73 2c 20 73 6f 20 79 |cket.typ|es, so y|
|00001dd0| 6f 75 20 63 61 6e 20 66 | 69 6c 74 65 72 20 6f 6e |ou can f|ilter on|
|00001de0| 20 74 68 65 73 65 20 46 | 44 44 49 20 66 69 65 6c | these F|DDI fiel|
|00001df0| 64 73 20 6a 75 73 74 20 | 61 73 20 77 69 74 68 20 |ds just |as with |
|00001e00| 74 68 65 0a 61 6e 61 6c | 6f 67 6f 75 73 20 45 74 |the.anal|ogous Et|
|00001e10| 68 65 72 6e 65 74 20 66 | 69 65 6c 64 73 2e 20 20 |hernet f|ields.  |
|00001e20| 46 44 44 49 20 68 65 61 | 64 65 72 73 20 61 6c 73 |FDDI hea|ders als|
|00001e30| 6f 20 63 6f 6e 74 61 69 | 6e 20 6f 74 68 65 72 20 |o contai|n other |
|00001e40| 66 69 65 6c 64 73 2c 0a | 62 75 74 20 79 6f 75 20 |fields,.|but you |
|00001e50| 63 61 6e 6e 6f 74 20 6e | 61 6d 65 20 74 68 65 6d |cannot n|ame them|
|00001e60| 20 65 78 70 6c 69 63 69 | 74 6c 79 20 69 6e 20 61 | explici|tly in a|
|00001e70| 20 66 69 6c 74 65 72 20 | 65 78 70 72 65 73 73 69 | filter |expressi|
|00001e80| 6f 6e 2e 5d 0a 2e 4c 50 | 0a 49 6e 20 61 64 64 69 |on.]..LP|.In addi|
|00001e90| 74 69 6f 6e 20 74 6f 20 | 74 68 65 20 61 62 6f 76 |tion to |the abov|
|00001ea0| 65 2c 20 74 68 65 72 65 | 20 61 72 65 20 73 6f 6d |e, there| are som|
|00001eb0| 65 20 73 70 65 63 69 61 | 6c 20 60 70 72 69 6d 69 |e specia|l `primi|
|00001ec0| 74 69 76 65 27 20 6b 65 | 79 77 6f 72 64 73 0a 74 |tive' ke|ywords.t|
|00001ed0| 68 61 74 20 64 6f 6e 27 | 74 20 66 6f 6c 6c 6f 77 |hat don'|t follow|
|00001ee0| 20 74 68 65 20 70 61 74 | 74 65 72 6e 3a 0a 2e 42 | the pat|tern:..B|
|00001ef0| 52 20 67 61 74 65 77 61 | 79 20 2c 0a 2e 42 52 20 |R gatewa|y ,..BR |
|00001f00| 62 72 6f 61 64 63 61 73 | 74 20 2c 0a 2e 42 52 20 |broadcas|t ,..BR |
|00001f10| 6c 65 73 73 20 2c 0a 2e | 42 20 67 72 65 61 74 65 |less ,..|B greate|
|00001f20| 72 0a 61 6e 64 20 61 72 | 69 74 68 6d 65 74 69 63 |r.and ar|ithmetic|
|00001f30| 20 65 78 70 72 65 73 73 | 69 6f 6e 73 2e 20 20 41 | express|ions.  A|
|00001f40| 6c 6c 20 6f 66 20 74 68 | 65 73 65 20 61 72 65 20 |ll of th|ese are |
|00001f50| 64 65 73 63 72 69 62 65 | 64 20 62 65 6c 6f 77 2e |describe|d below.|
|00001f60| 0a 2e 4c 50 0a 4d 6f 72 | 65 20 63 6f 6d 70 6c 65 |..LP.Mor|e comple|
|00001f70| 78 20 66 69 6c 74 65 72 | 20 65 78 70 72 65 73 73 |x filter| express|
|00001f80| 69 6f 6e 73 20 61 72 65 | 20 62 75 69 6c 74 20 75 |ions are| built u|
|00001f90| 70 20 62 79 20 75 73 69 | 6e 67 20 74 68 65 20 77 |p by usi|ng the w|
|00001fa0| 6f 72 64 73 0a 2e 42 52 | 20 61 6e 64 20 2c 0a 2e |ords..BR| and ,..|
|00001fb0| 42 20 6f 72 0a 61 6e 64 | 0a 2e 42 20 6e 6f 74 0a |B or.and|..B not.|
|00001fc0| 74 6f 20 63 6f 6d 62 69 | 6e 65 20 70 72 69 6d 69 |to combi|ne primi|
|00001fd0| 74 69 76 65 73 2e 20 20 | 45 2e 67 2e 2c 20 60 68 |tives.  |E.g., `h|
|00001fe0| 6f 73 74 20 66 6f 6f 20 | 61 6e 64 20 6e 6f 74 20 |ost foo |and not |
|00001ff0| 70 6f 72 74 20 66 74 70 | 20 61 6e 64 20 6e 6f 74 |port ftp| and not|
|00002000| 20 70 6f 72 74 20 66 74 | 70 2d 64 61 74 61 27 2e | port ft|p-data'.|
|00002010| 0a 54 6f 20 73 61 76 65 | 20 74 79 70 69 6e 67 2c |.To save| typing,|
|00002020| 20 69 64 65 6e 74 69 63 | 61 6c 20 71 75 61 6c 69 | identic|al quali|
|00002030| 66 69 65 72 20 6c 69 73 | 74 73 20 63 61 6e 20 62 |fier lis|ts can b|
|00002040| 65 20 6f 6d 69 74 74 65 | 64 2e 20 20 45 2e 67 2e |e omitte|d.  E.g.|
|00002050| 2c 0a 60 74 63 70 20 64 | 73 74 20 70 6f 72 74 20 |,.`tcp d|st port |
|00002060| 66 74 70 20 6f 72 20 66 | 74 70 2d 64 61 74 61 20 |ftp or f|tp-data |
|00002070| 6f 72 20 64 6f 6d 61 69 | 6e 27 20 69 73 20 65 78 |or domai|n' is ex|
|00002080| 61 63 74 6c 79 20 74 68 | 65 20 73 61 6d 65 20 61 |actly th|e same a|
|00002090| 73 0a 60 74 63 70 20 64 | 73 74 20 70 6f 72 74 20 |s.`tcp d|st port |
|000020a0| 66 74 70 20 6f 72 20 74 | 63 70 20 64 73 74 20 70 |ftp or t|cp dst p|
|000020b0| 6f 72 74 20 66 74 70 2d | 64 61 74 61 20 6f 72 20 |ort ftp-|data or |
|000020c0| 74 63 70 20 64 73 74 20 | 70 6f 72 74 20 64 6f 6d |tcp dst |port dom|
|000020d0| 61 69 6e 27 2e 0a 2e 4c | 50 0a 41 6c 6c 6f 77 61 |ain'...L|P.Allowa|
|000020e0| 62 6c 65 20 70 72 69 6d | 69 74 69 76 65 73 20 61 |ble prim|itives a|
|000020f0| 72 65 3a 0a 2e 49 50 20 | 22 5c 66 42 64 73 74 20 |re:..IP |"\fBdst |
|00002100| 68 6f 73 74 20 5c 66 49 | 68 6f 73 74 5c 66 52 22 |host \fI|host\fR"|
|00002110| 0a 54 72 75 65 20 69 66 | 20 74 68 65 20 49 50 20 |.True if| the IP |
|00002120| 64 65 73 74 69 6e 61 74 | 69 6f 6e 20 66 69 65 6c |destinat|ion fiel|
|00002130| 64 20 6f 66 20 74 68 65 | 20 70 61 63 6b 65 74 20 |d of the| packet |
|00002140| 69 73 20 5c 66 49 68 6f | 73 74 5c 66 50 2c 0a 77 |is \fIho|st\fP,.w|
|00002150| 68 69 63 68 20 6d 61 79 | 20 62 65 20 65 69 74 68 |hich may| be eith|
|00002160| 65 72 20 61 6e 20 61 64 | 64 72 65 73 73 20 6f 72 |er an ad|dress or|
|00002170| 20 61 20 6e 61 6d 65 2e | 0a 2e 49 50 20 22 5c 66 | a name.|..IP "\f|
|00002180| 42 73 72 63 20 68 6f 73 | 74 20 5c 66 49 68 6f 73 |Bsrc hos|t \fIhos|
|00002190| 74 5c 66 52 22 0a 54 72 | 75 65 20 69 66 20 74 68 |t\fR".Tr|ue if th|
|000021a0| 65 20 49 50 20 73 6f 75 | 72 63 65 20 66 69 65 6c |e IP sou|rce fiel|
|000021b0| 64 20 6f 66 20 74 68 65 | 20 70 61 63 6b 65 74 20 |d of the| packet |
|000021c0| 69 73 20 5c 66 49 68 6f | 73 74 5c 66 50 2e 0a 2e |is \fIho|st\fP...|
|000021d0| 49 50 20 22 5c 66 42 68 | 6f 73 74 20 5c 66 49 68 |IP "\fBh|ost \fIh|
|000021e0| 6f 73 74 5c 66 50 0a 54 | 72 75 65 20 69 66 20 65 |ost\fP.T|rue if e|
|000021f0| 69 74 68 65 72 20 74 68 | 65 20 49 50 20 73 6f 75 |ither th|e IP sou|
|00002200| 72 63 65 20 6f 72 20 64 | 65 73 74 69 6e 61 74 69 |rce or d|estinati|
|00002210| 6f 6e 20 6f 66 20 74 68 | 65 20 70 61 63 6b 65 74 |on of th|e packet|
|00002220| 20 69 73 20 5c 66 49 68 | 6f 73 74 5c 66 50 2e 0a | is \fIh|ost\fP..|
|00002230| 41 6e 79 20 6f 66 20 74 | 68 65 20 61 62 6f 76 65 |Any of t|he above|
|00002240| 20 68 6f 73 74 20 65 78 | 70 72 65 73 73 69 6f 6e | host ex|pression|
|00002250| 73 20 63 61 6e 20 62 65 | 20 70 72 65 70 65 6e 64 |s can be| prepend|
|00002260| 65 64 20 77 69 74 68 20 | 74 68 65 20 6b 65 79 77 |ed with |the keyw|
|00002270| 6f 72 64 73 2c 0a 5c 66 | 42 69 70 5c 66 50 2c 20 |ords,.\f|Bip\fP, |
|00002280| 5c 66 42 61 72 70 5c 66 | 50 2c 20 6f 72 20 5c 66 |\fBarp\f|P, or \f|
|00002290| 42 72 61 72 70 5c 66 50 | 20 61 73 20 69 6e 3a 0a |Brarp\fP| as in:.|
|000022a0| 2e 69 6e 20 2b 2e 35 69 | 0a 2e 6e 66 0a 5c 66 42 |.in +.5i|..nf.\fB|
|000022b0| 69 70 20 68 6f 73 74 20 | 5c 66 49 68 6f 73 74 5c |ip host |\fIhost\|
|000022c0| 66 52 0a 2e 66 69 0a 2e | 69 6e 20 2d 2e 35 69 0a |fR..fi..|in -.5i.|
|000022d0| 77 68 69 63 68 20 69 73 | 20 65 71 75 69 76 61 6c |which is| equival|
|000022e0| 65 6e 74 20 74 6f 3a 0a | 2e 69 6e 20 2b 2e 35 69 |ent to:.|.in +.5i|
|000022f0| 0a 2e 6e 66 0a 5c 66 42 | 65 74 68 65 72 20 70 72 |..nf.\fB|ether pr|
|00002300| 6f 74 6f 20 5c 66 49 5c | 5c 69 70 5c 66 42 20 61 |oto \fI\|\ip\fB a|
|00002310| 6e 64 20 68 6f 73 74 20 | 5c 66 49 68 6f 73 74 5c |nd host |\fIhost\|
|00002320| 66 52 0a 2e 66 69 0a 2e | 69 6e 20 2d 2e 35 69 0a |fR..fi..|in -.5i.|
|00002330| 49 66 20 5c 66 49 68 6f | 73 74 5c 66 52 20 69 73 |If \fIho|st\fR is|
|00002340| 20 61 20 6e 61 6d 65 20 | 77 69 74 68 20 6d 75 6c | a name |with mul|
|00002350| 74 69 70 6c 65 20 49 50 | 20 61 64 64 72 65 73 73 |tiple IP| address|
|00002360| 65 73 2c 20 65 61 63 68 | 20 61 64 64 72 65 73 73 |es, each| address|
|00002370| 20 77 69 6c 6c 0a 62 65 | 20 63 68 65 63 6b 65 64 | will.be| checked|
|00002380| 20 66 6f 72 20 61 20 6d | 61 74 63 68 2e 0a 2e 49 | for a m|atch...I|
|00002390| 50 20 22 5c 66 42 65 74 | 68 65 72 20 64 73 74 20 |P "\fBet|her dst |
|000023a0| 5c 66 49 65 68 6f 73 74 | 5c 66 50 0a 54 72 75 65 |\fIehost|\fP.True|
|000023b0| 20 69 66 20 74 68 65 20 | 65 74 68 65 72 6e 65 74 | if the |ethernet|
|000023c0| 20 64 65 73 74 69 6e 61 | 74 69 6f 6e 20 61 64 64 | destina|tion add|
|000023d0| 72 65 73 73 20 69 73 20 | 5c 66 49 65 68 6f 73 74 |ress is |\fIehost|
|000023e0| 5c 66 50 2e 20 20 5c 66 | 49 45 68 6f 73 74 5c 66 |\fP.  \f|IEhost\f|
|000023f0| 50 0a 6d 61 79 20 62 65 | 20 65 69 74 68 65 72 20 |P.may be| either |
|00002400| 61 20 6e 61 6d 65 20 66 | 72 6f 6d 20 2f 65 74 63 |a name f|rom /etc|
|00002410| 2f 65 74 68 65 72 73 20 | 6f 72 20 61 20 6e 75 6d |/ethers |or a num|
|00002420| 62 65 72 20 28 73 65 65 | 0a 2e 49 52 20 65 74 68 |ber (see|..IR eth|
|00002430| 65 72 73 20 28 33 4e 29 | 0a 66 6f 72 20 6e 75 6d |ers (3N)|.for num|
|00002440| 65 72 69 63 20 66 6f 72 | 6d 61 74 29 2e 0a 2e 49 |eric for|mat)...I|
|00002450| 50 20 22 5c 66 42 65 74 | 68 65 72 20 73 72 63 20 |P "\fBet|her src |
|00002460| 5c 66 49 65 68 6f 73 74 | 5c 66 50 0a 54 72 75 65 |\fIehost|\fP.True|
|00002470| 20 69 66 20 74 68 65 20 | 65 74 68 65 72 6e 65 74 | if the |ethernet|
|00002480| 20 73 6f 75 72 63 65 20 | 61 64 64 72 65 73 73 20 | source |address |
|00002490| 69 73 20 5c 66 49 65 68 | 6f 73 74 5c 66 50 2e 0a |is \fIeh|ost\fP..|
|000024a0| 2e 49 50 20 22 5c 66 42 | 65 74 68 65 72 20 68 6f |.IP "\fB|ether ho|
|000024b0| 73 74 20 5c 66 49 65 68 | 6f 73 74 5c 66 50 0a 54 |st \fIeh|ost\fP.T|
|000024c0| 72 75 65 20 69 66 20 65 | 69 74 68 65 72 20 74 68 |rue if e|ither th|
|000024d0| 65 20 65 74 68 65 72 6e | 65 74 20 73 6f 75 72 63 |e ethern|et sourc|
|000024e0| 65 20 6f 72 20 64 65 73 | 74 69 6e 61 74 69 6f 6e |e or des|tination|
|000024f0| 20 61 64 64 72 65 73 73 | 20 69 73 20 5c 66 49 65 | address| is \fIe|
|00002500| 68 6f 73 74 5c 66 50 2e | 0a 2e 49 50 20 22 5c 66 |host\fP.|..IP "\f|
|00002510| 42 67 61 74 65 77 61 79 | 5c 66 50 20 5c 66 49 68 |Bgateway|\fP \fIh|
|00002520| 6f 73 74 5c 66 50 0a 54 | 72 75 65 20 69 66 20 74 |ost\fP.T|rue if t|
|00002530| 68 65 20 70 61 63 6b 65 | 74 20 75 73 65 64 20 5c |he packe|t used \|
|00002540| 66 49 68 6f 73 74 5c 66 | 50 20 61 73 20 61 20 67 |fIhost\f|P as a g|
|00002550| 61 74 65 77 61 79 2e 20 | 20 49 2e 65 2e 2c 20 74 |ateway. | I.e., t|
|00002560| 68 65 20 65 74 68 65 72 | 6e 65 74 0a 73 6f 75 72 |he ether|net.sour|
|00002570| 63 65 20 6f 72 20 64 65 | 73 74 69 6e 61 74 69 6f |ce or de|stinatio|
|00002580| 6e 20 61 64 64 72 65 73 | 73 20 77 61 73 20 5c 66 |n addres|s was \f|
|00002590| 49 68 6f 73 74 5c 66 50 | 20 62 75 74 20 6e 65 69 |Ihost\fP| but nei|
|000025a0| 74 68 65 72 20 74 68 65 | 20 49 50 20 73 6f 75 72 |ther the| IP sour|
|000025b0| 63 65 0a 6e 6f 72 20 74 | 68 65 20 49 50 20 64 65 |ce.nor t|he IP de|
|000025c0| 73 74 69 6e 61 74 69 6f | 6e 20 77 61 73 20 5c 66 |stinatio|n was \f|
|000025d0| 49 68 6f 73 74 5c 66 50 | 2e 20 20 5c 66 49 48 6f |Ihost\fP|.  \fIHo|
|000025e0| 73 74 5c 66 50 20 6d 75 | 73 74 20 62 65 20 61 20 |st\fP mu|st be a |
|000025f0| 6e 61 6d 65 20 61 6e 64 | 0a 6d 75 73 74 20 62 65 |name and|.must be|
|00002600| 20 66 6f 75 6e 64 20 69 | 6e 20 62 6f 74 68 20 2f | found i|n both /|
|00002610| 65 74 63 2f 68 6f 73 74 | 73 20 61 6e 64 20 2f 65 |etc/host|s and /e|
|00002620| 74 63 2f 65 74 68 65 72 | 73 2e 20 20 28 41 6e 20 |tc/ether|s.  (An |
|00002630| 65 71 75 69 76 61 6c 65 | 6e 74 0a 65 78 70 72 65 |equivale|nt.expre|
|00002640| 73 73 69 6f 6e 20 69 73 | 0a 2e 69 6e 20 2b 2e 35 |ssion is|..in +.5|
|00002650| 69 0a 2e 6e 66 0a 5c 66 | 42 65 74 68 65 72 20 68 |i..nf.\f|Bether h|
|00002660| 6f 73 74 20 5c 66 49 65 | 68 6f 73 74 20 5c 66 42 |ost \fIe|host \fB|
|00002670| 61 6e 64 20 6e 6f 74 20 | 68 6f 73 74 20 5c 66 49 |and not |host \fI|
|00002680| 68 6f 73 74 5c 66 52 0a | 2e 66 69 0a 2e 69 6e 20 |host\fR.|.fi..in |
|00002690| 2d 2e 35 69 0a 77 68 69 | 63 68 20 63 61 6e 20 62 |-.5i.whi|ch can b|
|000026a0| 65 20 75 73 65 64 20 77 | 69 74 68 20 65 69 74 68 |e used w|ith eith|
|000026b0| 65 72 20 6e 61 6d 65 73 | 20 6f 72 20 6e 75 6d 62 |er names| or numb|
|000026c0| 65 72 73 20 66 6f 72 20 | 5c 66 49 68 6f 73 74 20 |ers for |\fIhost |
|000026d0| 2f 20 65 68 6f 73 74 5c | 66 50 2e 29 0a 2e 49 50 |/ ehost\|fP.)..IP|
|000026e0| 20 22 5c 66 42 64 73 74 | 20 6e 65 74 20 5c 66 49 | "\fBdst| net \fI|
|000026f0| 6e 65 74 5c 66 52 22 0a | 54 72 75 65 20 69 66 20 |net\fR".|True if |
|00002700| 74 68 65 20 49 50 20 64 | 65 73 74 69 6e 61 74 69 |the IP d|estinati|
|00002710| 6f 6e 20 61 64 64 72 65 | 73 73 20 6f 66 20 74 68 |on addre|ss of th|
|00002720| 65 20 70 61 63 6b 65 74 | 20 68 61 73 20 61 20 6e |e packet| has a n|
|00002730| 65 74 77 6f 72 6b 0a 6e | 75 6d 62 65 72 20 6f 66 |etwork.n|umber of|
|00002740| 20 5c 66 49 6e 65 74 5c | 66 50 2c 20 77 68 69 63 | \fInet\|fP, whic|
|00002750| 68 20 6d 61 79 20 62 65 | 20 65 69 74 68 65 72 20 |h may be| either |
|00002760| 61 6e 20 61 64 64 72 65 | 73 73 20 6f 72 20 61 20 |an addre|ss or a |
|00002770| 6e 61 6d 65 2e 0a 2e 49 | 50 20 22 5c 66 42 73 72 |name...I|P "\fBsr|
|00002780| 63 20 6e 65 74 20 5c 66 | 49 6e 65 74 5c 66 52 22 |c net \f|Inet\fR"|
|00002790| 0a 54 72 75 65 20 69 66 | 20 74 68 65 20 49 50 20 |.True if| the IP |
|000027a0| 73 6f 75 72 63 65 20 61 | 64 64 72 65 73 73 20 6f |source a|ddress o|
|000027b0| 66 20 74 68 65 20 70 61 | 63 6b 65 74 20 68 61 73 |f the pa|cket has|
|000027c0| 20 61 20 6e 65 74 77 6f | 72 6b 0a 6e 75 6d 62 65 | a netwo|rk.numbe|
|000027d0| 72 20 6f 66 20 5c 66 49 | 6e 65 74 5c 66 50 2e 0a |r of \fI|net\fP..|
|000027e0| 2e 49 50 20 22 5c 66 42 | 6e 65 74 20 5c 66 49 6e |.IP "\fB|net \fIn|
|000027f0| 65 74 5c 66 52 22 0a 54 | 72 75 65 20 69 66 20 65 |et\fR".T|rue if e|
|00002800| 69 74 68 65 72 20 74 68 | 65 20 49 50 20 73 6f 75 |ither th|e IP sou|
|00002810| 72 63 65 20 6f 72 20 64 | 65 73 74 69 6e 61 74 69 |rce or d|estinati|
|00002820| 6f 6e 20 61 64 64 72 65 | 73 73 20 6f 66 20 74 68 |on addre|ss of th|
|00002830| 65 20 70 61 63 6b 65 74 | 20 68 61 73 20 61 20 6e |e packet| has a n|
|00002840| 65 74 77 6f 72 6b 0a 6e | 75 6d 62 65 72 20 6f 66 |etwork.n|umber of|
|00002850| 20 5c 66 49 6e 65 74 5c | 66 50 2e 0a 2e 49 50 20 | \fInet\|fP...IP |
|00002860| 22 5c 66 42 64 73 74 20 | 70 6f 72 74 20 5c 66 49 |"\fBdst |port \fI|
|00002870| 70 6f 72 74 5c 66 52 22 | 0a 54 72 75 65 20 69 66 |port\fR"|.True if|
|00002880| 20 74 68 65 20 70 61 63 | 6b 65 74 20 69 73 20 69 | the pac|ket is i|
|00002890| 70 2f 74 63 70 20 6f 72 | 20 69 70 2f 75 64 70 20 |p/tcp or| ip/udp |
|000028a0| 61 6e 64 20 68 61 73 20 | 61 0a 64 65 73 74 69 6e |and has |a.destin|
|000028b0| 61 74 69 6f 6e 20 70 6f | 72 74 20 76 61 6c 75 65 |ation po|rt value|
|000028c0| 20 6f 66 20 5c 66 49 70 | 6f 72 74 5c 66 50 2e 0a | of \fIp|ort\fP..|
|000028d0| 54 68 65 20 5c 66 49 70 | 6f 72 74 5c 66 50 20 63 |The \fIp|ort\fP c|
|000028e0| 61 6e 20 62 65 20 61 20 | 6e 75 6d 62 65 72 20 6f |an be a |number o|
|000028f0| 72 20 61 20 6e 61 6d 65 | 20 75 73 65 64 20 69 6e |r a name| used in|
|00002900| 20 2f 65 74 63 2f 73 65 | 72 76 69 63 65 73 20 28 | /etc/se|rvices (|
|00002910| 73 65 65 0a 2e 49 52 20 | 74 63 70 20 28 34 50 29 |see..IR |tcp (4P)|
|00002920| 0a 61 6e 64 0a 2e 49 52 | 20 75 64 70 20 28 34 50 |.and..IR| udp (4P|
|00002930| 29 29 2e 0a 49 66 20 61 | 20 6e 61 6d 65 20 69 73 |))..If a| name is|
|00002940| 20 75 73 65 64 2c 20 62 | 6f 74 68 20 74 68 65 20 | used, b|oth the |
|00002950| 70 6f 72 74 0a 6e 75 6d | 62 65 72 20 61 6e 64 20 |port.num|ber and |
|00002960| 70 72 6f 74 6f 63 6f 6c | 20 61 72 65 20 63 68 65 |protocol| are che|
|00002970| 63 6b 65 64 2e 20 20 49 | 66 20 61 20 6e 75 6d 62 |cked.  I|f a numb|
|00002980| 65 72 20 6f 72 20 61 6d | 62 69 67 75 6f 75 73 20 |er or am|biguous |
|00002990| 6e 61 6d 65 20 69 73 20 | 75 73 65 64 2c 0a 6f 6e |name is |used,.on|
|000029a0| 6c 79 20 74 68 65 20 70 | 6f 72 74 20 6e 75 6d 62 |ly the p|ort numb|
|000029b0| 65 72 20 69 73 20 63 68 | 65 63 6b 65 64 20 28 65 |er is ch|ecked (e|
|000029c0| 2e 67 2e 2c 20 5c 66 42 | 64 73 74 20 70 6f 72 74 |.g., \fB|dst port|
|000029d0| 20 35 31 33 5c 66 52 20 | 77 69 6c 6c 20 70 72 69 | 513\fR |will pri|
|000029e0| 6e 74 20 62 6f 74 68 0a | 74 63 70 2f 6c 6f 67 69 |nt both.|tcp/logi|
|000029f0| 6e 20 74 72 61 66 66 69 | 63 20 61 6e 64 20 75 64 |n traffi|c and ud|
|00002a00| 70 2f 77 68 6f 20 74 72 | 61 66 66 69 63 2c 20 61 |p/who tr|affic, a|
|00002a10| 6e 64 20 5c 66 42 70 6f | 72 74 20 64 6f 6d 61 69 |nd \fBpo|rt domai|
|00002a20| 6e 5c 66 52 20 77 69 6c | 6c 20 70 72 69 6e 74 0a |n\fR wil|l print.|
|00002a30| 62 6f 74 68 20 74 63 70 | 2f 64 6f 6d 61 69 6e 20 |both tcp|/domain |
|00002a40| 61 6e 64 20 75 64 70 2f | 64 6f 6d 61 69 6e 20 74 |and udp/|domain t|
|00002a50| 72 61 66 66 69 63 29 2e | 0a 2e 49 50 20 22 5c 66 |raffic).|..IP "\f|
|00002a60| 42 73 72 63 20 70 6f 72 | 74 20 5c 66 49 70 6f 72 |Bsrc por|t \fIpor|
|00002a70| 74 5c 66 52 22 0a 54 72 | 75 65 20 69 66 20 74 68 |t\fR".Tr|ue if th|
|00002a80| 65 20 70 61 63 6b 65 74 | 20 68 61 73 20 61 20 73 |e packet| has a s|
|00002a90| 6f 75 72 63 65 20 70 6f | 72 74 20 76 61 6c 75 65 |ource po|rt value|
|00002aa0| 20 6f 66 20 5c 66 49 70 | 6f 72 74 5c 66 50 2e 0a | of \fIp|ort\fP..|
|00002ab0| 2e 49 50 20 22 5c 66 42 | 70 6f 72 74 20 5c 66 49 |.IP "\fB|port \fI|
|00002ac0| 70 6f 72 74 5c 66 52 22 | 0a 54 72 75 65 20 69 66 |port\fR"|.True if|
|00002ad0| 20 65 69 74 68 65 72 20 | 74 68 65 20 73 6f 75 72 | either |the sour|
|00002ae0| 63 65 20 6f 72 20 64 65 | 73 74 69 6e 61 74 69 6f |ce or de|stinatio|
|00002af0| 6e 20 70 6f 72 74 20 6f | 66 20 74 68 65 20 70 61 |n port o|f the pa|
|00002b00| 63 6b 65 74 20 69 73 20 | 5c 66 49 70 6f 72 74 5c |cket is |\fIport\|
|00002b10| 66 50 2e 0a 41 6e 79 20 | 6f 66 20 74 68 65 20 61 |fP..Any |of the a|
|00002b20| 62 6f 76 65 20 70 6f 72 | 74 20 65 78 70 72 65 73 |bove por|t expres|
|00002b30| 73 69 6f 6e 73 20 63 61 | 6e 20 62 65 20 70 72 65 |sions ca|n be pre|
|00002b40| 70 65 6e 64 65 64 20 77 | 69 74 68 20 74 68 65 20 |pended w|ith the |
|00002b50| 6b 65 79 77 6f 72 64 73 | 2c 0a 5c 66 42 74 63 70 |keywords|,.\fBtcp|
|00002b60| 5c 66 50 20 6f 72 20 5c | 66 42 75 64 70 5c 66 50 |\fP or \|fBudp\fP|
|00002b70| 2c 20 61 73 20 69 6e 3a | 0a 2e 69 6e 20 2b 2e 35 |, as in:|..in +.5|
|00002b80| 69 0a 2e 6e 66 0a 5c 66 | 42 74 63 70 20 73 72 63 |i..nf.\f|Btcp src|
|00002b90| 20 70 6f 72 74 20 5c 66 | 49 70 6f 72 74 5c 66 52 | port \f|Iport\fR|
|00002ba0| 0a 2e 66 69 0a 2e 69 6e | 20 2d 2e 35 69 0a 77 68 |..fi..in| -.5i.wh|
|00002bb0| 69 63 68 20 6d 61 74 63 | 68 65 73 20 6f 6e 6c 79 |ich matc|hes only|
|00002bc0| 20 74 63 70 20 70 61 63 | 6b 65 74 73 2e 0a 2e 49 | tcp pac|kets...I|
|00002bd0| 50 20 22 5c 66 42 6c 65 | 73 73 20 5c 66 49 6c 65 |P "\fBle|ss \fIle|
|00002be0| 6e 67 74 68 5c 66 52 22 | 0a 54 72 75 65 20 69 66 |ngth\fR"|.True if|
|00002bf0| 20 74 68 65 20 70 61 63 | 6b 65 74 20 68 61 73 20 | the pac|ket has |
|00002c00| 61 20 6c 65 6e 67 74 68 | 20 6c 65 73 73 20 74 68 |a length| less th|
|00002c10| 61 6e 20 6f 72 20 65 71 | 75 61 6c 20 74 6f 20 5c |an or eq|ual to \|
|00002c20| 66 49 6c 65 6e 67 74 68 | 5c 66 50 2e 0a 54 68 69 |fIlength|\fP..Thi|
|00002c30| 73 20 69 73 20 65 71 75 | 69 76 61 6c 65 6e 74 20 |s is equ|ivalent |
|00002c40| 74 6f 3a 0a 2e 69 6e 20 | 2b 2e 35 69 0a 2e 6e 66 |to:..in |+.5i..nf|
|00002c50| 0a 5c 66 42 6c 65 6e 20 | 3c 3d 20 5c 66 49 6c 65 |.\fBlen |<= \fIle|
|00002c60| 6e 67 74 68 5c 66 50 2e | 0a 2e 66 69 0a 2e 69 6e |ngth\fP.|..fi..in|
|00002c70| 20 2d 2e 35 69 0a 2e 49 | 50 20 22 5c 66 42 67 72 | -.5i..I|P "\fBgr|
|00002c80| 65 61 74 65 72 20 5c 66 | 49 6c 65 6e 67 74 68 5c |eater \f|Ilength\|
|00002c90| 66 52 22 0a 54 72 75 65 | 20 69 66 20 74 68 65 20 |fR".True| if the |
|00002ca0| 70 61 63 6b 65 74 20 68 | 61 73 20 61 20 6c 65 6e |packet h|as a len|
|00002cb0| 67 74 68 20 67 72 65 61 | 74 65 72 20 74 68 61 6e |gth grea|ter than|
|00002cc0| 20 6f 72 20 65 71 75 61 | 6c 20 74 6f 20 5c 66 49 | or equa|l to \fI|
|00002cd0| 6c 65 6e 67 74 68 5c 66 | 50 2e 0a 54 68 69 73 20 |length\f|P..This |
|00002ce0| 69 73 20 65 71 75 69 76 | 61 6c 65 6e 74 20 74 6f |is equiv|alent to|
|00002cf0| 3a 0a 2e 69 6e 20 2b 2e | 35 69 0a 2e 6e 66 0a 5c |:..in +.|5i..nf.\|
|00002d00| 66 42 6c 65 6e 20 3e 3d | 20 5c 66 49 6c 65 6e 67 |fBlen >=| \fIleng|
|00002d10| 74 68 5c 66 50 2e 0a 2e | 66 69 0a 2e 69 6e 20 2d |th\fP...|fi..in -|
|00002d20| 2e 35 69 0a 2e 49 50 20 | 22 5c 66 42 69 70 20 70 |.5i..IP |"\fBip p|
|00002d30| 72 6f 74 6f 20 5c 66 49 | 70 72 6f 74 6f 63 6f 6c |roto \fI|protocol|
|00002d40| 5c 66 52 22 0a 54 72 75 | 65 20 69 66 20 74 68 65 |\fR".Tru|e if the|
|00002d50| 20 70 61 63 6b 65 74 20 | 69 73 20 61 6e 20 69 70 | packet |is an ip|
|00002d60| 20 70 61 63 6b 65 74 20 | 28 73 65 65 0a 2e 49 52 | packet |(see..IR|
|00002d70| 20 69 70 20 28 34 50 29 | 29 0a 6f 66 20 70 72 6f | ip (4P)|).of pro|
|00002d80| 74 6f 63 6f 6c 20 74 79 | 70 65 20 5c 66 49 70 72 |tocol ty|pe \fIpr|
|00002d90| 6f 74 6f 63 6f 6c 5c 66 | 50 2e 0a 5c 66 49 50 72 |otocol\f|P..\fIPr|
|00002da0| 6f 74 6f 63 6f 6c 5c 66 | 50 20 63 61 6e 20 62 65 |otocol\f|P can be|
|00002db0| 20 61 20 6e 75 6d 62 65 | 72 20 6f 72 20 6f 6e 65 | a numbe|r or one|
|00002dc0| 20 6f 66 20 74 68 65 20 | 6e 61 6d 65 73 0a 5c 66 | of the |names.\f|
|00002dd0| 49 69 63 6d 70 5c 66 50 | 2c 20 5c 66 49 75 64 70 |Iicmp\fP|, \fIudp|
|00002de0| 5c 66 50 2c 20 5c 66 49 | 6e 64 5c 66 50 2c 20 6f |\fP, \fI|nd\fP, o|
|00002df0| 72 20 5c 66 49 74 63 70 | 5c 66 50 2e 0a 4e 6f 74 |r \fItcp|\fP..Not|
|00002e00| 65 20 74 68 61 74 20 74 | 68 65 20 69 64 65 6e 74 |e that t|he ident|
|00002e10| 69 66 69 65 72 73 20 5c | 66 49 74 63 70 5c 66 50 |ifiers \|fItcp\fP|
|00002e20| 2c 20 5c 66 49 75 64 70 | 5c 66 50 2c 20 61 6e 64 |, \fIudp|\fP, and|
|00002e30| 20 5c 66 49 69 63 6d 70 | 5c 66 50 20 61 72 65 20 | \fIicmp|\fP are |
|00002e40| 61 6c 73 6f 0a 6b 65 79 | 77 6f 72 64 73 20 61 6e |also.key|words an|
|00002e50| 64 20 6d 75 73 74 20 62 | 65 20 65 73 63 61 70 65 |d must b|e escape|
|00002e60| 64 20 76 69 61 20 62 61 | 63 6b 73 6c 61 73 68 20 |d via ba|ckslash |
|00002e70| 28 5c 5c 29 2c 20 77 68 | 69 63 68 20 69 73 20 5c |(\\), wh|ich is \|
|00002e80| 5c 5c 5c 20 69 6e 20 74 | 68 65 20 43 2d 73 68 65 |\\\ in t|he C-she|
|00002e90| 6c 6c 2e 0a 2e 49 50 20 | 22 5c 66 42 65 74 68 65 |ll...IP |"\fBethe|
|00002ea0| 72 20 62 72 6f 61 64 63 | 61 73 74 5c 66 52 22 0a |r broadc|ast\fR".|
|00002eb0| 54 72 75 65 20 69 66 20 | 74 68 65 20 70 61 63 6b |True if |the pack|
|00002ec0| 65 74 20 69 73 20 61 6e | 20 65 74 68 65 72 6e 65 |et is an| etherne|
|00002ed0| 74 20 62 72 6f 61 64 63 | 61 73 74 20 70 61 63 6b |t broadc|ast pack|
|00002ee0| 65 74 2e 20 20 54 68 65 | 20 5c 66 49 65 74 68 65 |et.  The| \fIethe|
|00002ef0| 72 5c 66 50 0a 6b 65 79 | 77 6f 72 64 20 69 73 20 |r\fP.key|word is |
|00002f00| 6f 70 74 69 6f 6e 61 6c | 2e 0a 2e 49 50 20 22 5c |optional|...IP "\|
|00002f10| 66 42 69 70 20 62 72 6f | 61 64 63 61 73 74 5c 66 |fBip bro|adcast\f|
|00002f20| 52 22 0a 54 72 75 65 20 | 69 66 20 74 68 65 20 70 |R".True |if the p|
|00002f30| 61 63 6b 65 74 20 69 73 | 20 61 6e 20 49 50 20 62 |acket is| an IP b|
|00002f40| 72 6f 61 64 63 61 73 74 | 20 70 61 63 6b 65 74 2e |roadcast| packet.|
|00002f50| 20 20 49 74 20 63 68 65 | 63 6b 73 20 66 6f 72 20 |  It che|cks for |
|00002f60| 62 6f 74 68 0a 74 68 65 | 20 61 6c 6c 2d 7a 65 72 |both.the| all-zer|
|00002f70| 6f 65 73 20 61 6e 64 20 | 61 6c 6c 2d 6f 6e 65 73 |oes and |all-ones|
|00002f80| 20 62 72 6f 61 64 63 61 | 73 74 20 63 6f 6e 76 65 | broadca|st conve|
|00002f90| 6e 74 69 6f 6e 73 2c 20 | 61 6e 64 20 6c 6f 6f 6b |ntions, |and look|
|00002fa0| 73 20 75 70 0a 74 68 65 | 20 6c 6f 63 61 6c 20 73 |s up.the| local s|
|00002fb0| 75 62 6e 65 74 20 6d 61 | 73 6b 2e 0a 2e 49 50 20 |ubnet ma|sk...IP |
|00002fc0| 22 5c 66 42 65 74 68 65 | 72 20 6d 75 6c 74 69 63 |"\fBethe|r multic|
|00002fd0| 61 73 74 5c 66 52 22 0a | 54 72 75 65 20 69 66 20 |ast\fR".|True if |
|00002fe0| 74 68 65 20 70 61 63 6b | 65 74 20 69 73 20 61 6e |the pack|et is an|
|00002ff0| 20 65 74 68 65 72 6e 65 | 74 20 6d 75 6c 74 69 63 | etherne|t multic|
|00003000| 61 73 74 20 70 61 63 6b | 65 74 2e 20 20 54 68 65 |ast pack|et.  The|
|00003010| 20 5c 66 49 65 74 68 65 | 72 5c 66 50 0a 6b 65 79 | \fIethe|r\fP.key|
|00003020| 77 6f 72 64 20 69 73 20 | 6f 70 74 69 6f 6e 61 6c |word is |optional|
|00003030| 2e 0a 54 68 69 73 20 69 | 73 20 73 68 6f 72 74 68 |..This i|s shorth|
|00003040| 61 6e 64 20 66 6f 72 20 | 60 5c 66 42 65 74 68 65 |and for |`\fBethe|
|00003050| 72 5b 30 5d 20 26 20 31 | 20 21 3d 20 30 5c 66 50 |r[0] & 1| != 0\fP|
|00003060| 27 2e 0a 2e 49 50 20 22 | 5c 66 42 69 70 20 6d 75 |'...IP "|\fBip mu|
|00003070| 6c 74 69 63 61 73 74 5c | 66 52 22 0a 54 72 75 65 |lticast\|fR".True|
|00003080| 20 69 66 20 74 68 65 20 | 70 61 63 6b 65 74 20 69 | if the |packet i|
|00003090| 73 20 61 6e 20 49 50 20 | 6d 75 6c 74 69 63 61 73 |s an IP |multicas|
|000030a0| 74 20 70 61 63 6b 65 74 | 2e 0a 2e 49 50 20 20 22 |t packet|...IP  "|
|000030b0| 5c 66 42 65 74 68 65 72 | 20 70 72 6f 74 6f 20 5c |\fBether| proto \|
|000030c0| 66 49 70 72 6f 74 6f 63 | 6f 6c 5c 66 52 22 0a 54 |fIprotoc|ol\fR".T|
|000030d0| 72 75 65 20 69 66 20 74 | 68 65 20 70 61 63 6b 65 |rue if t|he packe|
|000030e0| 74 20 69 73 20 6f 66 20 | 65 74 68 65 72 20 74 79 |t is of |ether ty|
|000030f0| 70 65 20 5c 66 49 70 72 | 6f 74 6f 63 6f 6c 5c 66 |pe \fIpr|otocol\f|
|00003100| 52 2e 0a 5c 66 49 50 72 | 6f 74 6f 63 6f 6c 5c 66 |R..\fIPr|otocol\f|
|00003110| 50 20 63 61 6e 20 62 65 | 20 61 20 6e 75 6d 62 65 |P can be| a numbe|
|00003120| 72 20 6f 72 20 61 20 6e | 61 6d 65 20 6c 69 6b 65 |r or a n|ame like|
|00003130| 0a 5c 66 49 69 70 5c 66 | 50 2c 20 5c 66 49 61 72 |.\fIip\f|P, \fIar|
|00003140| 70 5c 66 50 2c 20 6f 72 | 20 5c 66 49 72 61 72 70 |p\fP, or| \fIrarp|
|00003150| 5c 66 50 2e 0a 4e 6f 74 | 65 20 74 68 65 73 65 20 |\fP..Not|e these |
|00003160| 69 64 65 6e 74 69 66 69 | 65 72 73 20 61 72 65 20 |identifi|ers are |
|00003170| 61 6c 73 6f 20 6b 65 79 | 77 6f 72 64 73 0a 61 6e |also key|words.an|
|00003180| 64 20 6d 75 73 74 20 62 | 65 20 65 73 63 61 70 65 |d must b|e escape|
|00003190| 64 20 76 69 61 20 62 61 | 63 6b 73 6c 61 73 68 20 |d via ba|ckslash |
|000031a0| 28 5c 5c 29 2e 0a 5b 49 | 6e 20 74 68 65 20 63 61 |(\\)..[I|n the ca|
|000031b0| 73 65 20 6f 66 20 46 44 | 44 49 20 28 65 2e 67 2e |se of FD|DI (e.g.|
|000031c0| 2c 20 60 5c 66 42 66 64 | 64 69 20 70 72 6f 74 6f |, `\fBfd|di proto|
|000031d0| 63 6f 6c 20 61 72 70 5c | 66 52 27 29 2c 20 74 68 |col arp\|fR'), th|
|000031e0| 65 0a 70 72 6f 74 6f 63 | 6f 6c 20 69 64 65 6e 74 |e.protoc|ol ident|
|000031f0| 69 66 69 63 61 74 69 6f | 6e 20 63 6f 6d 65 73 20 |ificatio|n comes |
|00003200| 66 72 6f 6d 20 74 68 65 | 20 38 30 32 2e 32 20 4c |from the| 802.2 L|
|00003210| 6f 67 69 63 61 6c 20 4c | 69 6e 6b 20 43 6f 6e 74 |ogical L|ink Cont|
|00003220| 72 6f 6c 0a 28 4c 4c 43 | 29 20 68 65 61 64 65 72 |rol.(LLC|) header|
|00003230| 2c 20 77 68 69 63 68 20 | 69 73 20 75 73 75 61 6c |, which |is usual|
|00003240| 6c 79 20 6c 61 79 65 72 | 65 64 20 6f 6e 20 74 6f |ly layer|ed on to|
|00003250| 70 20 6f 66 20 74 68 65 | 20 46 44 44 49 20 68 65 |p of the| FDDI he|
|00003260| 61 64 65 72 2e 0a 5c 66 | 49 74 63 70 64 75 6d 70 |ader..\f|Itcpdump|
|00003270| 5c 66 50 20 61 73 73 75 | 6d 65 73 2c 20 77 68 65 |\fP assu|mes, whe|
|00003280| 6e 20 66 69 6c 74 65 72 | 69 6e 67 20 6f 6e 20 74 |n filter|ing on t|
|00003290| 68 65 20 70 72 6f 74 6f | 63 6f 6c 20 69 64 65 6e |he proto|col iden|
|000032a0| 74 69 66 69 65 72 2c 0a | 74 68 61 74 20 61 6c 6c |tifier,.|that all|
|000032b0| 20 46 44 44 49 20 70 61 | 63 6b 65 74 73 20 69 6e | FDDI pa|ckets in|
|000032c0| 63 6c 75 64 65 20 61 6e | 20 4c 4c 43 20 68 65 61 |clude an| LLC hea|
|000032d0| 64 65 72 2c 20 61 6e 64 | 20 74 68 61 74 20 74 68 |der, and| that th|
|000032e0| 65 20 4c 4c 43 20 68 65 | 61 64 65 72 0a 69 73 20 |e LLC he|ader.is |
|000032f0| 69 6e 20 73 6f 2d 63 61 | 6c 6c 65 64 20 53 4e 41 |in so-ca|lled SNA|
|00003300| 50 20 66 6f 72 6d 61 74 | 2e 5d 0a 2e 49 50 20 22 |P format|.]..IP "|
|00003310| 5c 66 42 64 65 63 6e 65 | 74 20 73 72 63 20 5c 66 |\fBdecne|t src \f|
|00003320| 49 68 6f 73 74 5c 66 52 | 22 0a 54 72 75 65 20 69 |Ihost\fR|".True i|
|00003330| 66 20 74 68 65 20 44 45 | 43 4e 45 54 20 73 6f 75 |f the DE|CNET sou|
|00003340| 72 63 65 20 61 64 64 72 | 65 73 73 20 69 73 0a 2e |rce addr|ess is..|
|00003350| 49 52 20 68 6f 73 74 20 | 2c 0a 77 68 69 63 68 20 |IR host |,.which |
|00003360| 6d 61 79 20 62 65 20 61 | 6e 20 61 64 64 72 65 73 |may be a|n addres|
|00003370| 73 20 6f 66 20 74 68 65 | 20 66 6f 72 6d 20 60 60 |s of the| form ``|
|00003380| 31 30 2e 31 32 33 27 27 | 2c 20 6f 72 20 61 20 44 |10.123''|, or a D|
|00003390| 45 43 4e 45 54 20 68 6f | 73 74 0a 6e 61 6d 65 2e |ECNET ho|st.name.|
|000033a0| 20 20 5b 44 45 43 4e 45 | 54 20 68 6f 73 74 20 6e |  [DECNE|T host n|
|000033b0| 61 6d 65 20 73 75 70 70 | 6f 72 74 20 69 73 20 6f |ame supp|ort is o|
|000033c0| 6e 6c 79 20 61 76 61 69 | 6c 61 62 6c 65 20 6f 6e |nly avai|lable on|
|000033d0| 20 55 6c 74 72 69 78 20 | 73 79 73 74 65 6d 73 0a | Ultrix |systems.|
|000033e0| 74 68 61 74 20 61 72 65 | 20 63 6f 6e 66 69 67 75 |that are| configu|
|000033f0| 72 65 64 20 74 6f 20 72 | 75 6e 20 44 45 43 4e 45 |red to r|un DECNE|
|00003400| 54 2e 5d 0a 2e 49 50 20 | 22 5c 66 42 64 65 63 6e |T.]..IP |"\fBdecn|
|00003410| 65 74 20 64 73 74 20 5c | 66 49 68 6f 73 74 5c 66 |et dst \|fIhost\f|
|00003420| 52 22 0a 54 72 75 65 20 | 69 66 20 74 68 65 20 44 |R".True |if the D|
|00003430| 45 43 4e 45 54 20 64 65 | 73 74 69 6e 61 74 69 6f |ECNET de|stinatio|
|00003440| 6e 20 61 64 64 72 65 73 | 73 20 69 73 0a 2e 49 52 |n addres|s is..IR|
|00003450| 20 68 6f 73 74 20 2e 0a | 2e 49 50 20 22 5c 66 42 | host ..|.IP "\fB|
|00003460| 64 65 63 6e 65 74 20 68 | 6f 73 74 20 5c 66 49 68 |decnet h|ost \fIh|
|00003470| 6f 73 74 5c 66 52 22 0a | 54 72 75 65 20 69 66 20 |ost\fR".|True if |
|00003480| 65 69 74 68 65 72 20 74 | 68 65 20 44 45 43 4e 45 |either t|he DECNE|
|00003490| 54 20 73 6f 75 72 63 65 | 20 6f 72 20 64 65 73 74 |T source| or dest|
|000034a0| 69 6e 61 74 69 6f 6e 20 | 61 64 64 72 65 73 73 20 |ination |address |
|000034b0| 69 73 0a 2e 49 52 20 68 | 6f 73 74 20 2e 0a 2e 49 |is..IR h|ost ...I|
|000034c0| 50 20 22 5c 66 42 69 70 | 5c 66 52 2c 20 5c 66 42 |P "\fBip|\fR, \fB|
|000034d0| 61 72 70 5c 66 52 2c 20 | 5c 66 42 72 61 72 70 5c |arp\fR, |\fBrarp\|
|000034e0| 66 52 2c 20 5c 66 42 64 | 65 63 6e 65 74 5c 66 52 |fR, \fBd|ecnet\fR|
|000034f0| 22 0a 41 62 62 72 65 76 | 69 61 74 69 6f 6e 73 20 |".Abbrev|iations |
|00003500| 66 6f 72 3a 0a 2e 69 6e | 20 2b 2e 35 69 0a 2e 6e |for:..in| +.5i..n|
|00003510| 66 0a 5c 66 42 65 74 68 | 65 72 20 70 72 6f 74 6f |f.\fBeth|er proto|
|00003520| 20 5c 66 49 70 5c 66 52 | 0a 2e 66 69 0a 2e 69 6e | \fIp\fR|..fi..in|
|00003530| 20 2d 2e 35 69 0a 77 68 | 65 72 65 20 5c 66 49 70 | -.5i.wh|ere \fIp|
|00003540| 5c 66 52 20 69 73 20 6f | 6e 65 20 6f 66 20 74 68 |\fR is o|ne of th|
|00003550| 65 20 61 62 6f 76 65 20 | 70 72 6f 74 6f 63 6f 6c |e above |protocol|
|00003560| 73 2e 0a 2e 49 50 20 22 | 5c 66 42 6c 61 74 5c 66 |s...IP "|\fBlat\f|
|00003570| 52 2c 20 5c 66 42 6d 6f | 70 72 63 5c 66 52 2c 20 |R, \fBmo|prc\fR, |
|00003580| 5c 66 42 6d 6f 70 64 6c | 5c 66 52 22 0a 41 62 62 |\fBmopdl|\fR".Abb|
|00003590| 72 65 76 69 61 74 69 6f | 6e 73 20 66 6f 72 3a 0a |reviatio|ns for:.|
|000035a0| 2e 69 6e 20 2b 2e 35 69 | 0a 2e 6e 66 0a 5c 66 42 |.in +.5i|..nf.\fB|
|000035b0| 65 74 68 65 72 20 70 72 | 6f 74 6f 20 5c 66 49 70 |ether pr|oto \fIp|
|000035c0| 5c 66 52 0a 2e 66 69 0a | 2e 69 6e 20 2d 2e 35 69 |\fR..fi.|.in -.5i|
|000035d0| 0a 77 68 65 72 65 20 5c | 66 49 70 5c 66 52 20 69 |.where \|fIp\fR i|
|000035e0| 73 20 6f 6e 65 20 6f 66 | 20 74 68 65 20 61 62 6f |s one of| the abo|
|000035f0| 76 65 20 70 72 6f 74 6f | 63 6f 6c 73 2e 0a 4e 6f |ve proto|cols..No|
|00003600| 74 65 20 74 68 61 74 0a | 5c 66 49 74 63 70 64 75 |te that.|\fItcpdu|
|00003610| 6d 70 5c 66 50 20 64 6f | 65 73 20 6e 6f 74 20 63 |mp\fP do|es not c|
|00003620| 75 72 72 65 6e 74 6c 79 | 20 6b 6e 6f 77 20 68 6f |urrently| know ho|
|00003630| 77 20 74 6f 20 70 61 72 | 73 65 20 74 68 65 73 65 |w to par|se these|
|00003640| 20 70 72 6f 74 6f 63 6f | 6c 73 2e 0a 2e 49 50 20 | protoco|ls...IP |
|00003650| 20 22 5c 66 42 74 63 70 | 5c 66 52 2c 20 5c 66 42 | "\fBtcp|\fR, \fB|
|00003660| 75 64 70 5c 66 52 2c 20 | 5c 66 42 69 63 6d 70 5c |udp\fR, |\fBicmp\|
|00003670| 66 52 22 0a 41 62 62 72 | 65 76 69 61 74 69 6f 6e |fR".Abbr|eviation|
|00003680| 73 20 66 6f 72 3a 0a 2e | 69 6e 20 2b 2e 35 69 0a |s for:..|in +.5i.|
|00003690| 2e 6e 66 0a 5c 66 42 69 | 70 20 70 72 6f 74 6f 20 |.nf.\fBi|p proto |
|000036a0| 5c 66 49 70 5c 66 52 0a | 2e 66 69 0a 2e 69 6e 20 |\fIp\fR.|.fi..in |
|000036b0| 2d 2e 35 69 0a 77 68 65 | 72 65 20 5c 66 49 70 5c |-.5i.whe|re \fIp\|
|000036c0| 66 52 20 69 73 20 6f 6e | 65 20 6f 66 20 74 68 65 |fR is on|e of the|
|000036d0| 20 61 62 6f 76 65 20 70 | 72 6f 74 6f 63 6f 6c 73 | above p|rotocols|
|000036e0| 2e 0a 2e 49 50 20 20 22 | 5c 66 49 65 78 70 72 20 |...IP  "|\fIexpr |
|000036f0| 72 65 6c 6f 70 20 65 78 | 70 72 5c 66 52 22 0a 54 |relop ex|pr\fR".T|
|00003700| 72 75 65 20 69 66 20 74 | 68 65 20 72 65 6c 61 74 |rue if t|he relat|
|00003710| 69 6f 6e 20 68 6f 6c 64 | 73 2c 20 77 68 65 72 65 |ion hold|s, where|
|00003720| 20 5c 66 49 72 65 6c 6f | 70 5c 66 52 20 69 73 20 | \fIrelo|p\fR is |
|00003730| 6f 6e 65 20 6f 66 20 3e | 2c 20 3c 2c 20 3e 3d 2c |one of >|, <, >=,|
|00003740| 20 3c 3d 2c 20 3d 2c 20 | 21 3d 2c 0a 61 6e 64 20 | <=, =, |!=,.and |
|00003750| 5c 66 49 65 78 70 72 5c | 66 52 20 69 73 20 61 6e |\fIexpr\|fR is an|
|00003760| 20 61 72 69 74 68 6d 65 | 74 69 63 20 65 78 70 72 | arithme|tic expr|
|00003770| 65 73 73 69 6f 6e 20 63 | 6f 6d 70 6f 73 65 64 20 |ession c|omposed |
|00003780| 6f 66 20 69 6e 74 65 67 | 65 72 20 63 6f 6e 73 74 |of integ|er const|
|00003790| 61 6e 74 73 0a 28 65 78 | 70 72 65 73 73 65 64 20 |ants.(ex|pressed |
|000037a0| 69 6e 20 73 74 61 6e 64 | 61 72 64 20 43 20 73 79 |in stand|ard C sy|
|000037b0| 6e 74 61 78 29 2c 20 74 | 68 65 20 6e 6f 72 6d 61 |ntax), t|he norma|
|000037c0| 6c 20 62 69 6e 61 72 79 | 20 6f 70 65 72 61 74 6f |l binary| operato|
|000037d0| 72 73 0a 5b 2b 2c 20 2d | 2c 20 2a 2c 20 2f 2c 20 |rs.[+, -|, *, /, |
|000037e0| 26 2c 20 7c 5d 2c 20 61 | 20 6c 65 6e 67 74 68 20 |&, |], a| length |
|000037f0| 6f 70 65 72 61 74 6f 72 | 2c 20 61 6e 64 20 73 70 |operator|, and sp|
|00003800| 65 63 69 61 6c 20 70 61 | 63 6b 65 74 20 64 61 74 |ecial pa|cket dat|
|00003810| 61 20 61 63 63 65 73 73 | 6f 72 73 2e 0a 54 6f 20 |a access|ors..To |
|00003820| 61 63 63 65 73 73 0a 64 | 61 74 61 20 69 6e 73 69 |access.d|ata insi|
|00003830| 64 65 20 74 68 65 20 70 | 61 63 6b 65 74 2c 20 75 |de the p|acket, u|
|00003840| 73 65 20 74 68 65 20 66 | 6f 6c 6c 6f 77 69 6e 67 |se the f|ollowing|
|00003850| 20 73 79 6e 74 61 78 3a | 0a 2e 69 6e 20 2b 2e 35 | syntax:|..in +.5|
|00003860| 69 0a 2e 6e 66 0a 5c 66 | 49 70 72 6f 74 6f 5c 66 |i..nf.\f|Iproto\f|
|00003870| 42 20 5b 20 5c 66 49 65 | 78 70 72 5c 66 42 20 3a |B [ \fIe|xpr\fB :|
|00003880| 20 5c 66 49 73 69 7a 65 | 5c 66 42 20 5d 5c 66 52 | \fIsize|\fB ]\fR|
|00003890| 0a 2e 66 69 0a 2e 69 6e | 20 2d 2e 35 69 0a 5c 66 |..fi..in| -.5i.\f|
|000038a0| 49 50 72 6f 74 6f 5c 66 | 52 20 69 73 20 6f 6e 65 |IProto\f|R is one|
|000038b0| 20 6f 66 20 5c 66 42 65 | 74 68 65 72 2c 20 66 64 | of \fBe|ther, fd|
|000038c0| 64 69 2c 0a 69 70 2c 20 | 61 72 70 2c 20 72 61 72 |di,.ip, |arp, rar|
|000038d0| 70 2c 20 74 63 70 2c 20 | 75 64 70 2c 20 5c 66 52 |p, tcp, |udp, \fR|
|000038e0| 6f 72 20 5c 66 42 69 63 | 6d 70 5c 66 52 2c 20 61 |or \fBic|mp\fR, a|
|000038f0| 6e 64 0a 69 6e 64 69 63 | 61 74 65 73 20 74 68 65 |nd.indic|ates the|
|00003900| 20 70 72 6f 74 6f 63 6f | 6c 20 6c 61 79 65 72 20 | protoco|l layer |
|00003910| 66 6f 72 20 74 68 65 20 | 69 6e 64 65 78 20 6f 70 |for the |index op|
|00003920| 65 72 61 74 69 6f 6e 2e | 0a 54 68 65 20 62 79 74 |eration.|.The byt|
|00003930| 65 20 6f 66 66 73 65 74 | 2c 20 72 65 6c 61 74 69 |e offset|, relati|
|00003940| 76 65 20 74 6f 20 74 68 | 65 20 69 6e 64 69 63 61 |ve to th|e indica|
|00003950| 74 65 64 20 70 72 6f 74 | 6f 63 6f 6c 20 6c 61 79 |ted prot|ocol lay|
|00003960| 65 72 2c 20 69 73 0a 67 | 69 76 65 6e 20 62 79 20 |er, is.g|iven by |
|00003970| 5c 66 49 65 78 70 72 5c | 66 52 2e 0a 5c 66 49 53 |\fIexpr\|fR..\fIS|
|00003980| 69 7a 65 5c 66 52 20 69 | 73 20 6f 70 74 69 6f 6e |ize\fR i|s option|
|00003990| 61 6c 20 61 6e 64 20 69 | 6e 64 69 63 61 74 65 73 |al and i|ndicates|
|000039a0| 20 74 68 65 20 6e 75 6d | 62 65 72 20 6f 66 20 62 | the num|ber of b|
|000039b0| 79 74 65 73 20 69 6e 20 | 74 68 65 0a 66 69 65 6c |ytes in |the.fiel|
|000039c0| 64 20 6f 66 20 69 6e 74 | 65 72 65 73 74 3b 20 69 |d of int|erest; i|
|000039d0| 74 20 63 61 6e 20 62 65 | 20 65 69 74 68 65 72 20 |t can be| either |
|000039e0| 6f 6e 65 2c 20 74 77 6f | 2c 20 6f 72 20 66 6f 75 |one, two|, or fou|
|000039f0| 72 2c 20 61 6e 64 20 64 | 65 66 61 75 6c 74 73 20 |r, and d|efaults |
|00003a00| 74 6f 20 6f 6e 65 2e 0a | 54 68 65 20 6c 65 6e 67 |to one..|The leng|
|00003a10| 74 68 20 6f 70 65 72 61 | 74 6f 72 2c 20 69 6e 64 |th opera|tor, ind|
|00003a20| 69 63 61 74 65 64 20 62 | 79 20 74 68 65 20 6b 65 |icated b|y the ke|
|00003a30| 79 77 6f 72 64 20 5c 66 | 42 6c 65 6e 5c 66 50 2c |yword \f|Blen\fP,|
|00003a40| 20 67 69 76 65 73 20 74 | 68 65 0a 6c 65 6e 67 74 | gives t|he.lengt|
|00003a50| 68 20 6f 66 20 74 68 65 | 20 70 61 63 6b 65 74 2e |h of the| packet.|
|00003a60| 0a 0a 46 6f 72 20 65 78 | 61 6d 70 6c 65 2c 20 60 |..For ex|ample, `|
|00003a70| 5c 66 42 65 74 68 65 72 | 5b 30 5d 20 26 20 31 20 |\fBether|[0] & 1 |
|00003a80| 21 3d 20 30 5c 66 50 27 | 20 63 61 74 63 68 65 73 |!= 0\fP'| catches|
|00003a90| 20 61 6c 6c 20 6d 75 6c | 74 69 63 61 73 74 20 74 | all mul|ticast t|
|00003aa0| 72 61 66 66 69 63 2e 0a | 54 68 65 20 65 78 70 72 |raffic..|The expr|
|00003ab0| 65 73 73 69 6f 6e 20 60 | 5c 66 42 69 70 5b 30 5d |ession `|\fBip[0]|
|00003ac0| 20 26 20 30 78 66 20 21 | 3d 20 35 5c 66 50 27 0a | & 0xf !|= 5\fP'.|
|00003ad0| 63 61 74 63 68 65 73 20 | 61 6c 6c 20 49 50 20 70 |catches |all IP p|
|00003ae0| 61 63 6b 65 74 73 20 77 | 69 74 68 20 6f 70 74 69 |ackets w|ith opti|
|00003af0| 6f 6e 73 2e 20 54 68 65 | 20 65 78 70 72 65 73 73 |ons. The| express|
|00003b00| 69 6f 6e 0a 60 5c 66 42 | 69 70 5b 36 3a 32 5d 20 |ion.`\fB|ip[6:2] |
|00003b10| 26 20 30 78 31 66 66 66 | 20 3d 20 30 5c 66 50 27 |& 0x1fff| = 0\fP'|
|00003b20| 0a 63 61 74 63 68 65 73 | 20 6f 6e 6c 79 20 75 6e |.catches| only un|
|00003b30| 66 72 61 67 6d 65 6e 74 | 65 64 20 64 61 74 61 67 |fragment|ed datag|
|00003b40| 72 61 6d 73 20 61 6e 64 | 20 66 72 61 67 20 7a 65 |rams and| frag ze|
|00003b50| 72 6f 20 6f 66 20 66 72 | 61 67 6d 65 6e 74 65 64 |ro of fr|agmented|
|00003b60| 20 64 61 74 61 67 72 61 | 6d 73 2e 0a 54 68 69 73 | datagra|ms..This|
|00003b70| 20 63 68 65 63 6b 20 69 | 73 20 69 6d 70 6c 69 63 | check i|s implic|
|00003b80| 69 74 6c 79 20 61 70 70 | 6c 69 65 64 20 74 6f 20 |itly app|lied to |
|00003b90| 74 68 65 20 5c 66 42 74 | 63 70 5c 66 50 20 61 6e |the \fBt|cp\fP an|
|00003ba0| 64 20 5c 66 42 75 64 70 | 5c 66 50 0a 69 6e 64 65 |d \fBudp|\fP.inde|
|00003bb0| 78 20 6f 70 65 72 61 74 | 69 6f 6e 73 2e 0a 46 6f |x operat|ions..Fo|
|00003bc0| 72 20 69 6e 73 74 61 6e | 63 65 2c 20 5c 66 42 74 |r instan|ce, \fBt|
|00003bd0| 63 70 5b 30 5d 5c 66 50 | 20 61 6c 77 61 79 73 20 |cp[0]\fP| always |
|00003be0| 6d 65 61 6e 73 20 74 68 | 65 20 66 69 72 73 74 0a |means th|e first.|
|00003bf0| 62 79 74 65 20 6f 66 20 | 74 68 65 20 54 43 50 20 |byte of |the TCP |
|00003c00| 5c 66 49 68 65 61 64 65 | 72 5c 66 50 2c 20 61 6e |\fIheade|r\fP, an|
|00003c10| 64 20 6e 65 76 65 72 20 | 6d 65 61 6e 73 20 74 68 |d never |means th|
|00003c20| 65 20 66 69 72 73 74 20 | 62 79 74 65 20 6f 66 20 |e first |byte of |
|00003c30| 61 6e 0a 69 6e 74 65 72 | 76 65 6e 69 6e 67 20 66 |an.inter|vening f|
|00003c40| 72 61 67 6d 65 6e 74 2e | 0a 2e 4c 50 0a 50 72 69 |ragment.|..LP.Pri|
|00003c50| 6d 69 74 69 76 65 73 20 | 6d 61 79 20 62 65 20 63 |mitives |may be c|
|00003c60| 6f 6d 62 69 6e 65 64 20 | 75 73 69 6e 67 3a 0a 2e |ombined |using:..|
|00003c70| 49 50 0a 41 20 70 61 72 | 65 6e 74 68 65 73 69 7a |IP.A par|enthesiz|
|00003c80| 65 64 20 67 72 6f 75 70 | 20 6f 66 20 70 72 69 6d |ed group| of prim|
|00003c90| 69 74 69 76 65 73 20 61 | 6e 64 20 6f 70 65 72 61 |itives a|nd opera|
|00003ca0| 74 6f 72 73 0a 28 70 61 | 72 65 6e 74 68 65 73 65 |tors.(pa|renthese|
|00003cb0| 73 20 61 72 65 20 73 70 | 65 63 69 61 6c 20 74 6f |s are sp|ecial to|
|00003cc0| 20 74 68 65 20 53 68 65 | 6c 6c 20 61 6e 64 20 6d | the She|ll and m|
|00003cd0| 75 73 74 20 62 65 20 65 | 73 63 61 70 65 64 29 2e |ust be e|scaped).|
|00003ce0| 0a 2e 49 50 0a 4e 65 67 | 61 74 69 6f 6e 20 28 60 |..IP.Neg|ation (`|
|00003cf0| 5c 66 42 21 5c 66 50 27 | 20 6f 72 20 60 5c 66 42 |\fB!\fP'| or `\fB|
|00003d00| 6e 6f 74 5c 66 50 27 29 | 2e 0a 2e 49 50 0a 43 6f |not\fP')|...IP.Co|
|00003d10| 6e 63 61 74 65 6e 61 74 | 69 6f 6e 20 28 60 5c 66 |ncatenat|ion (`\f|
|00003d20| 42 26 26 5c 66 50 27 20 | 6f 72 20 60 5c 66 42 61 |B&&\fP' |or `\fBa|
|00003d30| 6e 64 5c 66 50 27 29 2e | 0a 2e 49 50 0a 41 6c 74 |nd\fP').|..IP.Alt|
|00003d40| 65 72 6e 61 74 69 6f 6e | 20 28 60 5c 66 42 7c 7c |ernation| (`\fB|||
|00003d50| 5c 66 50 27 20 6f 72 20 | 60 5c 66 42 6f 72 5c 66 |\fP' or |`\fBor\f|
|00003d60| 50 27 29 2e 0a 2e 4c 50 | 0a 4e 65 67 61 74 69 6f |P')...LP|.Negatio|
|00003d70| 6e 20 68 61 73 20 68 69 | 67 68 65 73 74 20 70 72 |n has hi|ghest pr|
|00003d80| 65 63 65 64 65 6e 63 65 | 2e 0a 41 6c 74 65 72 6e |ecedence|..Altern|
|00003d90| 61 74 69 6f 6e 20 61 6e | 64 20 63 6f 6e 63 61 74 |ation an|d concat|
|00003da0| 65 6e 61 74 69 6f 6e 20 | 68 61 76 65 20 65 71 75 |enation |have equ|
|00003db0| 61 6c 20 70 72 65 63 65 | 64 65 6e 63 65 20 61 6e |al prece|dence an|
|00003dc0| 64 20 61 73 73 6f 63 69 | 61 74 65 0a 6c 65 66 74 |d associ|ate.left|
|00003dd0| 20 74 6f 20 72 69 67 68 | 74 2e 20 20 4e 6f 74 65 | to righ|t.  Note|
|00003de0| 20 74 68 61 74 20 65 78 | 70 6c 69 63 69 74 20 5c | that ex|plicit \|
|00003df0| 66 42 61 6e 64 5c 66 52 | 20 74 6f 6b 65 6e 73 2c |fBand\fR| tokens,|
|00003e00| 20 6e 6f 74 20 6a 75 78 | 74 61 70 6f 73 69 74 69 | not jux|tapositi|
|00003e10| 6f 6e 2c 0a 61 72 65 20 | 6e 6f 77 20 72 65 71 75 |on,.are |now requ|
|00003e20| 69 72 65 64 20 66 6f 72 | 20 63 6f 6e 63 61 74 65 |ired for| concate|
|00003e30| 6e 61 74 69 6f 6e 2e 0a | 2e 4c 50 0a 49 66 20 61 |nation..|.LP.If a|
|00003e40| 6e 20 69 64 65 6e 74 69 | 66 69 65 72 20 69 73 20 |n identi|fier is |
|00003e50| 67 69 76 65 6e 20 77 69 | 74 68 6f 75 74 20 61 20 |given wi|thout a |
|00003e60| 6b 65 79 77 6f 72 64 2c | 20 74 68 65 20 6d 6f 73 |keyword,| the mos|
|00003e70| 74 20 72 65 63 65 6e 74 | 20 6b 65 79 77 6f 72 64 |t recent| keyword|
|00003e80| 0a 69 73 20 61 73 73 75 | 6d 65 64 2e 0a 46 6f 72 |.is assu|med..For|
|00003e90| 20 65 78 61 6d 70 6c 65 | 2c 0a 2e 69 6e 20 2b 2e | example|,..in +.|
|00003ea0| 35 69 0a 2e 6e 66 0a 5c | 66 42 6e 6f 74 20 68 6f |5i..nf.\|fBnot ho|
|00003eb0| 73 74 20 76 73 20 61 6e | 64 20 61 63 65 5c 66 52 |st vs an|d ace\fR|
|00003ec0| 0a 2e 66 69 0a 2e 69 6e | 20 2d 2e 35 69 0a 69 73 |..fi..in| -.5i.is|
|00003ed0| 20 73 68 6f 72 74 20 66 | 6f 72 0a 2e 69 6e 20 2b | short f|or..in +|
|00003ee0| 2e 35 69 0a 2e 6e 66 0a | 5c 66 42 6e 6f 74 20 68 |.5i..nf.|\fBnot h|
|00003ef0| 6f 73 74 20 76 73 20 61 | 6e 64 20 68 6f 73 74 20 |ost vs a|nd host |
|00003f00| 61 63 65 5c 66 52 0a 2e | 66 69 0a 2e 69 6e 20 2d |ace\fR..|fi..in -|
|00003f10| 2e 35 69 0a 77 68 69 63 | 68 20 73 68 6f 75 6c 64 |.5i.whic|h should|
|00003f20| 20 6e 6f 74 20 62 65 20 | 63 6f 6e 66 75 73 65 64 | not be |confused|
|00003f30| 20 77 69 74 68 0a 2e 69 | 6e 20 2b 2e 35 69 0a 2e | with..i|n +.5i..|
|00003f40| 6e 66 0a 5c 66 42 6e 6f | 74 20 28 20 68 6f 73 74 |nf.\fBno|t ( host|
|00003f50| 20 76 73 20 6f 72 20 61 | 63 65 20 29 5c 66 52 0a | vs or a|ce )\fR.|
|00003f60| 2e 66 69 0a 2e 69 6e 20 | 2d 2e 35 69 0a 2e 4c 50 |.fi..in |-.5i..LP|
|00003f70| 0a 45 78 70 72 65 73 73 | 69 6f 6e 20 61 72 67 75 |.Express|ion argu|
|00003f80| 6d 65 6e 74 73 20 63 61 | 6e 20 62 65 20 70 61 73 |ments ca|n be pas|
|00003f90| 73 65 64 20 74 6f 20 74 | 63 70 64 75 6d 70 20 61 |sed to t|cpdump a|
|00003fa0| 73 20 65 69 74 68 65 72 | 20 61 20 73 69 6e 67 6c |s either| a singl|
|00003fb0| 65 20 61 72 67 75 6d 65 | 6e 74 0a 6f 72 20 61 73 |e argume|nt.or as|
|00003fc0| 20 6d 75 6c 74 69 70 6c | 65 20 61 72 67 75 6d 65 | multipl|e argume|
|00003fd0| 6e 74 73 2c 20 77 68 69 | 63 68 65 76 65 72 20 69 |nts, whi|chever i|
|00003fe0| 73 20 6d 6f 72 65 20 63 | 6f 6e 76 65 6e 69 65 6e |s more c|onvenien|
|00003ff0| 74 2e 0a 47 65 6e 65 72 | 61 6c 6c 79 2c 20 69 66 |t..Gener|ally, if|
|00004000| 20 74 68 65 20 65 78 70 | 72 65 73 73 69 6f 6e 20 | the exp|ression |
|00004010| 63 6f 6e 74 61 69 6e 73 | 20 53 68 65 6c 6c 20 6d |contains| Shell m|
|00004020| 65 74 61 63 68 61 72 61 | 63 74 65 72 73 2c 20 69 |etachara|cters, i|
|00004030| 74 20 69 73 0a 65 61 73 | 69 65 72 20 74 6f 20 70 |t is.eas|ier to p|
|00004040| 61 73 73 20 69 74 20 61 | 73 20 61 20 73 69 6e 67 |ass it a|s a sing|
|00004050| 6c 65 2c 20 71 75 6f 74 | 65 64 20 61 72 67 75 6d |le, quot|ed argum|
|00004060| 65 6e 74 2e 0a 4d 75 6c | 74 69 70 6c 65 20 61 72 |ent..Mul|tiple ar|
|00004070| 67 75 6d 65 6e 74 73 20 | 61 72 65 20 63 6f 6e 63 |guments |are conc|
|00004080| 61 74 65 6e 61 74 65 64 | 20 77 69 74 68 20 73 70 |atenated| with sp|
|00004090| 61 63 65 73 20 62 65 66 | 6f 72 65 20 62 65 69 6e |aces bef|ore bein|
|000040a0| 67 20 70 61 72 73 65 64 | 2e 0a 2e 53 48 20 45 58 |g parsed|...SH EX|
|000040b0| 41 4d 50 4c 45 53 0a 2e | 4c 50 0a 54 6f 20 70 72 |AMPLES..|LP.To pr|
|000040c0| 69 6e 74 20 61 6c 6c 20 | 70 61 63 6b 65 74 73 20 |int all |packets |
|000040d0| 61 72 72 69 76 69 6e 67 | 20 61 74 20 6f 72 20 64 |arriving| at or d|
|000040e0| 65 70 61 72 74 69 6e 67 | 20 66 72 6f 6d 20 5c 66 |eparting| from \f|
|000040f0| 49 73 75 6e 64 6f 77 6e | 5c 66 50 3a 0a 2e 52 53 |Isundown|\fP:..RS|
|00004100| 0a 2e 6e 66 0a 5c 66 42 | 74 63 70 64 75 6d 70 20 |..nf.\fB|tcpdump |
|00004110| 68 6f 73 74 20 73 75 6e | 64 6f 77 6e 5c 66 50 0a |host sun|down\fP.|
|00004120| 2e 66 69 0a 2e 52 45 0a | 2e 4c 50 0a 54 6f 20 70 |.fi..RE.|.LP.To p|
|00004130| 72 69 6e 74 20 74 72 61 | 66 66 69 63 20 62 65 74 |rint tra|ffic bet|
|00004140| 77 65 65 6e 20 5c 66 49 | 68 65 6c 69 6f 73 5c 66 |ween \fI|helios\f|
|00004150| 52 20 61 6e 64 20 65 69 | 74 68 65 72 20 5c 66 49 |R and ei|ther \fI|
|00004160| 68 6f 74 5c 66 52 20 6f | 72 20 5c 66 49 61 63 65 |hot\fR o|r \fIace|
|00004170| 5c 66 52 3a 0a 2e 52 53 | 0a 2e 6e 66 0a 5c 66 42 |\fR:..RS|..nf.\fB|
|00004180| 74 63 70 64 75 6d 70 20 | 68 6f 73 74 20 68 65 6c |tcpdump |host hel|
|00004190| 69 6f 73 20 61 6e 64 20 | 5c 5c 28 20 68 6f 74 20 |ios and |\\( hot |
|000041a0| 6f 72 20 61 63 65 20 5c | 5c 29 5c 66 50 0a 2e 66 |or ace \|\)\fP..f|
|000041b0| 69 0a 2e 52 45 0a 2e 4c | 50 0a 54 6f 20 70 72 69 |i..RE..L|P.To pri|
|000041c0| 6e 74 20 61 6c 6c 20 49 | 50 20 70 61 63 6b 65 74 |nt all I|P packet|
|000041d0| 73 20 62 65 74 77 65 65 | 6e 20 5c 66 49 61 63 65 |s betwee|n \fIace|
|000041e0| 5c 66 52 20 61 6e 64 20 | 61 6e 79 20 68 6f 73 74 |\fR and |any host|
|000041f0| 20 65 78 63 65 70 74 20 | 5c 66 49 68 65 6c 69 6f | except |\fIhelio|
|00004200| 73 5c 66 52 3a 0a 2e 52 | 53 0a 2e 6e 66 0a 5c 66 |s\fR:..R|S..nf.\f|
|00004210| 42 74 63 70 64 75 6d 70 | 20 69 70 20 68 6f 73 74 |Btcpdump| ip host|
|00004220| 20 61 63 65 20 61 6e 64 | 20 6e 6f 74 20 68 65 6c | ace and| not hel|
|00004230| 69 6f 73 5c 66 50 0a 2e | 66 69 0a 2e 52 45 0a 2e |ios\fP..|fi..RE..|
|00004240| 4c 50 0a 54 6f 20 70 72 | 69 6e 74 20 61 6c 6c 20 |LP.To pr|int all |
|00004250| 74 72 61 66 66 69 63 20 | 62 65 74 77 65 65 6e 20 |traffic |between |
|00004260| 6c 6f 63 61 6c 20 68 6f | 73 74 73 20 61 6e 64 20 |local ho|sts and |
|00004270| 68 6f 73 74 73 20 61 74 | 20 42 65 72 6b 65 6c 65 |hosts at| Berkele|
|00004280| 79 3a 0a 2e 52 53 0a 2e | 6e 66 0a 2e 42 0a 74 63 |y:..RS..|nf..B.tc|
|00004290| 70 64 75 6d 70 20 6e 65 | 74 20 75 63 62 2d 65 74 |pdump ne|t ucb-et|
|000042a0| 68 65 72 0a 2e 66 69 0a | 2e 52 45 0a 2e 4c 50 0a |her..fi.|.RE..LP.|
|000042b0| 54 6f 20 70 72 69 6e 74 | 20 61 6c 6c 20 66 74 70 |To print| all ftp|
|000042c0| 20 74 72 61 66 66 69 63 | 20 74 68 72 6f 75 67 68 | traffic| through|
|000042d0| 20 69 6e 74 65 72 6e 65 | 74 20 67 61 74 65 77 61 | interne|t gatewa|
|000042e0| 79 20 5c 66 49 73 6e 75 | 70 5c 66 50 3a 0a 28 6e |y \fIsnu|p\fP:.(n|
|000042f0| 6f 74 65 20 74 68 61 74 | 20 74 68 65 20 65 78 70 |ote that| the exp|
|00004300| 72 65 73 73 69 6f 6e 20 | 69 73 20 71 75 6f 74 65 |ression |is quote|
|00004310| 64 20 74 6f 20 70 72 65 | 76 65 6e 74 20 74 68 65 |d to pre|vent the|
|00004320| 20 73 68 65 6c 6c 20 66 | 72 6f 6d 0a 28 6d 69 73 | shell f|rom.(mis|
|00004330| 2d 29 69 6e 74 65 72 70 | 72 65 74 69 6e 67 20 74 |-)interp|reting t|
|00004340| 68 65 20 70 61 72 65 6e | 74 68 65 73 65 73 29 3a |he paren|theses):|
|00004350| 0a 2e 52 53 0a 2e 6e 66 | 0a 2e 42 0a 74 63 70 64 |..RS..nf|..B.tcpd|
|00004360| 75 6d 70 20 27 67 61 74 | 65 77 61 79 20 73 6e 75 |ump 'gat|eway snu|
|00004370| 70 20 61 6e 64 20 28 70 | 6f 72 74 20 66 74 70 20 |p and (p|ort ftp |
|00004380| 6f 72 20 66 74 70 2d 64 | 61 74 61 29 27 0a 2e 66 |or ftp-d|ata)'..f|
|00004390| 69 0a 2e 52 45 0a 2e 4c | 50 0a 54 6f 20 70 72 69 |i..RE..L|P.To pri|
|000043a0| 6e 74 20 74 72 61 66 66 | 69 63 20 6e 65 69 74 68 |nt traff|ic neith|
|000043b0| 65 72 20 73 6f 75 72 63 | 65 64 20 66 72 6f 6d 20 |er sourc|ed from |
|000043c0| 6e 6f 72 20 64 65 73 74 | 69 6e 65 64 20 66 6f 72 |nor dest|ined for|
|000043d0| 20 6c 6f 63 61 6c 20 68 | 6f 73 74 73 0a 28 69 66 | local h|osts.(if|
|000043e0| 20 79 6f 75 20 67 61 74 | 65 77 61 79 20 74 6f 20 | you gat|eway to |
|000043f0| 6f 6e 65 20 6f 74 68 65 | 72 20 6e 65 74 2c 20 74 |one othe|r net, t|
|00004400| 68 69 73 20 73 74 75 66 | 66 20 73 68 6f 75 6c 64 |his stuf|f should|
|00004410| 20 6e 65 76 65 72 20 6d | 61 6b 65 20 69 74 0a 6f | never m|ake it.o|
|00004420| 6e 74 6f 20 79 6f 75 72 | 20 6c 6f 63 61 6c 20 6e |nto your| local n|
|00004430| 65 74 29 2e 0a 2e 52 53 | 0a 2e 6e 66 0a 2e 42 0a |et)...RS|..nf..B.|
|00004440| 74 63 70 64 75 6d 70 20 | 69 70 20 61 6e 64 20 6e |tcpdump |ip and n|
|00004450| 6f 74 20 6e 65 74 20 5c | 66 49 6c 6f 63 61 6c 6e |ot net \|fIlocaln|
|00004460| 65 74 5c 66 50 0a 2e 66 | 69 0a 2e 52 45 0a 2e 4c |et\fP..f|i..RE..L|
|00004470| 50 0a 54 6f 20 70 72 69 | 6e 74 20 74 68 65 20 73 |P.To pri|nt the s|
|00004480| 74 61 72 74 20 61 6e 64 | 20 65 6e 64 20 70 61 63 |tart and| end pac|
|00004490| 6b 65 74 73 20 28 74 68 | 65 20 53 59 4e 20 61 6e |kets (th|e SYN an|
|000044a0| 64 20 46 49 4e 20 70 61 | 63 6b 65 74 73 29 20 6f |d FIN pa|ckets) o|
|000044b0| 66 20 65 61 63 68 0a 54 | 43 50 20 63 6f 6e 76 65 |f each.T|CP conve|
|000044c0| 72 73 61 74 69 6f 6e 20 | 74 68 61 74 20 69 6e 76 |rsation |that inv|
|000044d0| 6f 6c 76 65 73 20 61 20 | 6e 6f 6e 2d 6c 6f 63 61 |olves a |non-loca|
|000044e0| 6c 20 68 6f 73 74 2e 0a | 2e 52 53 0a 2e 6e 66 0a |l host..|.RS..nf.|
|000044f0| 2e 42 0a 74 63 70 64 75 | 6d 70 20 27 74 63 70 5b |.B.tcpdu|mp 'tcp[|
|00004500| 31 33 5d 20 26 20 33 20 | 21 3d 20 30 20 61 6e 64 |13] & 3 |!= 0 and|
|00004510| 20 6e 6f 74 20 73 72 63 | 20 61 6e 64 20 64 73 74 | not src| and dst|
|00004520| 20 6e 65 74 20 5c 66 49 | 6c 6f 63 61 6c 6e 65 74 | net \fI|localnet|
|00004530| 5c 66 50 27 0a 2e 66 69 | 0a 2e 52 45 0a 2e 4c 50 |\fP'..fi|..RE..LP|
|00004540| 0a 54 6f 20 70 72 69 6e | 74 20 49 50 20 70 61 63 |.To prin|t IP pac|
|00004550| 6b 65 74 73 20 6c 6f 6e | 67 65 72 20 74 68 61 6e |kets lon|ger than|
|00004560| 20 35 37 36 20 62 79 74 | 65 73 20 73 65 6e 74 20 | 576 byt|es sent |
|00004570| 74 68 72 6f 75 67 68 20 | 67 61 74 65 77 61 79 20 |through |gateway |
|00004580| 5c 66 49 73 6e 75 70 5c | 66 50 3a 0a 2e 52 53 0a |\fIsnup\|fP:..RS.|
|00004590| 2e 6e 66 0a 2e 42 0a 74 | 63 70 64 75 6d 70 20 27 |.nf..B.t|cpdump '|
|000045a0| 67 61 74 65 77 61 79 20 | 73 6e 75 70 20 61 6e 64 |gateway |snup and|
|000045b0| 20 69 70 5b 32 3a 32 5d | 20 3e 20 35 37 36 27 0a | ip[2:2]| > 576'.|
|000045c0| 2e 66 69 0a 2e 52 45 0a | 2e 4c 50 0a 54 6f 20 70 |.fi..RE.|.LP.To p|
|000045d0| 72 69 6e 74 20 49 50 20 | 62 72 6f 61 64 63 61 73 |rint IP |broadcas|
|000045e0| 74 20 6f 72 20 6d 75 6c | 74 69 63 61 73 74 20 70 |t or mul|ticast p|
|000045f0| 61 63 6b 65 74 73 20 74 | 68 61 74 20 77 65 72 65 |ackets t|hat were|
|00004600| 0a 2e 49 20 6e 6f 74 0a | 73 65 6e 74 20 76 69 61 |..I not.|sent via|
|00004610| 20 65 74 68 65 72 6e 65 | 74 20 62 72 6f 61 64 63 | etherne|t broadc|
|00004620| 61 73 74 20 6f 72 20 6d | 75 6c 74 69 63 61 73 74 |ast or m|ulticast|
|00004630| 3a 0a 2e 52 53 0a 2e 6e | 66 0a 2e 42 0a 74 63 70 |:..RS..n|f..B.tcp|
|00004640| 64 75 6d 70 20 27 65 74 | 68 65 72 5b 30 5d 20 26 |dump 'et|her[0] &|
|00004650| 20 31 20 3d 20 30 20 61 | 6e 64 20 69 70 5b 31 36 | 1 = 0 a|nd ip[16|
|00004660| 5d 20 3e 3d 20 32 32 34 | 27 0a 2e 66 69 0a 2e 52 |] >= 224|'..fi..R|
|00004670| 45 0a 2e 4c 50 0a 54 6f | 20 70 72 69 6e 74 20 61 |E..LP.To| print a|
|00004680| 6c 6c 20 49 43 4d 50 20 | 70 61 63 6b 65 74 73 20 |ll ICMP |packets |
|00004690| 74 68 61 74 20 61 72 65 | 20 6e 6f 74 20 65 63 68 |that are| not ech|
|000046a0| 6f 20 72 65 71 75 65 73 | 74 73 2f 72 65 70 6c 69 |o reques|ts/repli|
|000046b0| 65 73 20 28 69 2e 65 2e | 2c 20 6e 6f 74 0a 70 69 |es (i.e.|, not.pi|
|000046c0| 6e 67 20 70 61 63 6b 65 | 74 73 29 3a 0a 2e 52 53 |ng packe|ts):..RS|
|000046d0| 0a 2e 6e 66 0a 2e 42 0a | 74 63 70 64 75 6d 70 20 |..nf..B.|tcpdump |
|000046e0| 27 69 63 6d 70 5b 30 5d | 20 21 3d 20 38 20 61 6e |'icmp[0]| != 8 an|
|000046f0| 64 20 69 63 6d 70 5b 30 | 5d 20 21 3d 20 30 22 0a |d icmp[0|] != 0".|
|00004700| 2e 66 69 0a 2e 52 45 0a | 2e 53 48 20 4f 55 54 50 |.fi..RE.|.SH OUTP|
|00004710| 55 54 20 46 4f 52 4d 41 | 54 0a 2e 4c 50 0a 54 68 |UT FORMA|T..LP.Th|
|00004720| 65 20 6f 75 74 70 75 74 | 20 6f 66 20 5c 66 49 74 |e output| of \fIt|
|00004730| 63 70 64 75 6d 70 5c 66 | 50 20 69 73 20 70 72 6f |cpdump\f|P is pro|
|00004740| 74 6f 63 6f 6c 20 64 65 | 70 65 6e 64 65 6e 74 2e |tocol de|pendent.|
|00004750| 20 20 54 68 65 20 66 6f | 6c 6c 6f 77 69 6e 67 0a |  The fo|llowing.|
|00004760| 67 69 76 65 73 20 61 20 | 62 72 69 65 66 20 64 65 |gives a |brief de|
|00004770| 73 63 72 69 70 74 69 6f | 6e 20 61 6e 64 20 65 78 |scriptio|n and ex|
|00004780| 61 6d 70 6c 65 73 20 6f | 66 20 6d 6f 73 74 20 6f |amples o|f most o|
|00004790| 66 20 74 68 65 20 66 6f | 72 6d 61 74 73 2e 0a 2e |f the fo|rmats...|
|000047a0| 64 65 20 48 44 0a 2e 73 | 70 20 31 2e 35 0a 2e 42 |de HD..s|p 1.5..B|
|000047b0| 0a 2e 2e 0a 2e 48 44 0a | 4c 69 6e 6b 20 4c 65 76 |.....HD.|Link Lev|
|000047c0| 65 6c 20 48 65 61 64 65 | 72 73 0a 2e 4c 50 0a 49 |el Heade|rs..LP.I|
|000047d0| 66 20 74 68 65 20 27 2d | 65 27 20 6f 70 74 69 6f |f the '-|e' optio|
|000047e0| 6e 20 69 73 20 67 69 76 | 65 6e 2c 20 74 68 65 20 |n is giv|en, the |
|000047f0| 6c 69 6e 6b 20 6c 65 76 | 65 6c 20 68 65 61 64 65 |link lev|el heade|
|00004800| 72 20 69 73 20 70 72 69 | 6e 74 65 64 20 6f 75 74 |r is pri|nted out|
|00004810| 2e 0a 4f 6e 20 65 74 68 | 65 72 6e 65 74 73 2c 20 |..On eth|ernets, |
|00004820| 74 68 65 20 73 6f 75 72 | 63 65 20 61 6e 64 20 64 |the sour|ce and d|
|00004830| 65 73 74 69 6e 61 74 69 | 6f 6e 20 61 64 64 72 65 |estinati|on addre|
|00004840| 73 73 65 73 2c 20 70 72 | 6f 74 6f 63 6f 6c 2c 0a |sses, pr|otocol,.|
|00004850| 61 6e 64 20 70 61 63 6b | 65 74 20 6c 65 6e 67 74 |and pack|et lengt|
|00004860| 68 20 61 72 65 20 70 72 | 69 6e 74 65 64 2e 0a 2e |h are pr|inted...|
|00004870| 4c 50 0a 4f 6e 20 46 44 | 44 49 20 6e 65 74 77 6f |LP.On FD|DI netwo|
|00004880| 72 6b 73 2c 20 74 68 65 | 20 20 27 2d 65 27 20 6f |rks, the|  '-e' o|
|00004890| 70 74 69 6f 6e 20 63 61 | 75 73 65 73 20 5c 66 49 |ption ca|uses \fI|
|000048a0| 74 63 70 64 75 6d 70 5c | 66 50 20 74 6f 20 70 72 |tcpdump\|fP to pr|
|000048b0| 69 6e 74 0a 74 68 65 20 | 60 66 72 61 6d 65 20 63 |int.the |`frame c|
|000048c0| 6f 6e 74 72 6f 6c 27 20 | 66 69 65 6c 64 2c 20 20 |ontrol' |field,  |
|000048d0| 74 68 65 20 73 6f 75 72 | 63 65 20 61 6e 64 20 64 |the sour|ce and d|
|000048e0| 65 73 74 69 6e 61 74 69 | 6f 6e 20 61 64 64 72 65 |estinati|on addre|
|000048f0| 73 73 65 73 2c 0a 61 6e | 64 20 74 68 65 20 70 61 |sses,.an|d the pa|
|00004900| 63 6b 65 74 20 6c 65 6e | 67 74 68 2e 20 20 28 54 |cket len|gth.  (T|
|00004910| 68 65 20 60 66 72 61 6d | 65 20 63 6f 6e 74 72 6f |he `fram|e contro|
|00004920| 6c 27 20 66 69 65 6c 64 | 20 67 6f 76 65 72 6e 73 |l' field| governs|
|00004930| 20 74 68 65 0a 69 6e 74 | 65 72 70 72 65 74 61 74 | the.int|erpretat|
|00004940| 69 6f 6e 20 6f 66 20 74 | 68 65 20 72 65 73 74 20 |ion of t|he rest |
|00004950| 6f 66 20 74 68 65 20 70 | 61 63 6b 65 74 2e 20 20 |of the p|acket.  |
|00004960| 4e 6f 72 6d 61 6c 20 70 | 61 63 6b 65 74 73 20 28 |Normal p|ackets (|
|00004970| 73 75 63 68 0a 61 73 20 | 74 68 6f 73 65 20 63 6f |such.as |those co|
|00004980| 6e 74 61 69 6e 69 6e 67 | 20 49 50 20 64 61 74 61 |ntaining| IP data|
|00004990| 67 72 61 6d 73 29 20 61 | 72 65 20 60 61 73 79 6e |grams) a|re `asyn|
|000049a0| 63 27 20 70 61 63 6b 65 | 74 73 2c 20 77 69 74 68 |c' packe|ts, with|
|000049b0| 20 61 20 70 72 69 6f 72 | 69 74 79 0a 76 61 6c 75 | a prior|ity.valu|
|000049c0| 65 20 62 65 74 77 65 65 | 6e 20 30 20 61 6e 64 20 |e betwee|n 0 and |
|000049d0| 37 3b 20 66 6f 72 20 65 | 78 61 6d 70 6c 65 2c 20 |7; for e|xample, |
|000049e0| 60 5c 66 42 61 73 79 6e | 63 34 5c 66 52 27 2e 20 |`\fBasyn|c4\fR'. |
|000049f0| 20 53 75 63 68 20 70 61 | 63 6b 65 74 73 0a 61 72 | Such pa|ckets.ar|
|00004a00| 65 20 61 73 73 75 6d 65 | 64 20 74 6f 20 63 6f 6e |e assume|d to con|
|00004a10| 74 61 69 6e 20 61 6e 20 | 38 30 32 2e 32 20 4c 6f |tain an |802.2 Lo|
|00004a20| 67 69 63 61 6c 20 4c 69 | 6e 6b 20 43 6f 6e 74 72 |gical Li|nk Contr|
|00004a30| 6f 6c 20 28 4c 4c 43 29 | 20 70 61 63 6b 65 74 3b |ol (LLC)| packet;|
|00004a40| 0a 74 68 65 20 4c 4c 43 | 20 68 65 61 64 65 72 20 |.the LLC| header |
|00004a50| 69 73 20 70 72 69 6e 74 | 65 64 20 69 66 20 69 74 |is print|ed if it|
|00004a60| 20 69 73 20 5c 66 49 6e | 6f 74 5c 66 52 20 61 6e | is \fIn|ot\fR an|
|00004a70| 20 49 53 4f 20 64 61 74 | 61 67 72 61 6d 20 6f 72 | ISO dat|agram or|
|00004a80| 20 61 0a 73 6f 2d 63 61 | 6c 6c 65 64 20 53 4e 41 | a.so-ca|lled SNA|
|00004a90| 50 20 70 61 63 6b 65 74 | 2e 0a 2e 4c 50 0a 5c 66 |P packet|...LP.\f|
|00004aa0| 49 28 4e 2e 42 2e 3a 20 | 54 68 65 20 66 6f 6c 6c |I(N.B.: |The foll|
|00004ab0| 6f 77 69 6e 67 20 64 65 | 73 63 72 69 70 74 69 6f |owing de|scriptio|
|00004ac0| 6e 20 61 73 73 75 6d 65 | 73 20 66 61 6d 69 6c 69 |n assume|s famili|
|00004ad0| 61 72 69 74 79 20 77 69 | 74 68 0a 74 68 65 20 53 |arity wi|th.the S|
|00004ae0| 4c 49 50 20 63 6f 6d 70 | 72 65 73 73 69 6f 6e 20 |LIP comp|ression |
|00004af0| 61 6c 67 6f 72 69 74 68 | 6d 20 64 65 73 63 72 69 |algorith|m descri|
|00004b00| 62 65 64 20 69 6e 20 52 | 46 43 2d 31 31 34 34 2e |bed in R|FC-1144.|
|00004b10| 29 5c 66 50 0a 2e 4c 50 | 0a 4f 6e 20 53 4c 49 50 |)\fP..LP|.On SLIP|
|00004b20| 20 6c 69 6e 6b 73 2c 20 | 61 20 64 69 72 65 63 74 | links, |a direct|
|00004b30| 69 6f 6e 20 69 6e 64 69 | 63 61 74 6f 72 20 28 60 |ion indi|cator (`|
|00004b40| 60 49 27 27 20 66 6f 72 | 20 69 6e 62 6f 75 6e 64 |`I'' for| inbound|
|00004b50| 2c 20 60 60 4f 27 27 20 | 66 6f 72 20 6f 75 74 62 |, ``O'' |for outb|
|00004b60| 6f 75 6e 64 29 2c 0a 70 | 61 63 6b 65 74 20 74 79 |ound),.p|acket ty|
|00004b70| 70 65 2c 20 61 6e 64 20 | 63 6f 6d 70 72 65 73 73 |pe, and |compress|
|00004b80| 69 6f 6e 20 69 6e 66 6f | 72 6d 61 74 69 6f 6e 20 |ion info|rmation |
|00004b90| 61 72 65 20 70 72 69 6e | 74 65 64 20 6f 75 74 2e |are prin|ted out.|
|00004ba0| 0a 54 68 65 20 70 61 63 | 6b 65 74 20 74 79 70 65 |.The pac|ket type|
|00004bb0| 20 69 73 20 70 72 69 6e | 74 65 64 20 66 69 72 73 | is prin|ted firs|
|00004bc0| 74 2e 0a 54 68 65 20 74 | 68 72 65 65 20 74 79 70 |t..The t|hree typ|
|00004bd0| 65 73 20 61 72 65 20 5c | 66 49 69 70 5c 66 50 2c |es are \|fIip\fP,|
|00004be0| 20 5c 66 49 75 74 63 70 | 5c 66 50 2c 20 61 6e 64 | \fIutcp|\fP, and|
|00004bf0| 20 5c 66 49 63 74 63 70 | 5c 66 50 2e 0a 4e 6f 20 | \fIctcp|\fP..No |
|00004c00| 66 75 72 74 68 65 72 20 | 6c 69 6e 6b 20 69 6e 66 |further |link inf|
|00004c10| 6f 72 6d 61 74 69 6f 6e | 20 69 73 20 70 72 69 6e |ormation| is prin|
|00004c20| 74 65 64 20 66 6f 72 20 | 5c 66 49 69 70 5c 66 52 |ted for |\fIip\fR|
|00004c30| 20 70 61 63 6b 65 74 73 | 2e 0a 46 6f 72 20 54 43 | packets|..For TC|
|00004c40| 50 20 70 61 63 6b 65 74 | 73 2c 20 74 68 65 20 63 |P packet|s, the c|
|00004c50| 6f 6e 6e 65 63 74 69 6f | 6e 20 69 64 65 6e 74 69 |onnectio|n identi|
|00004c60| 66 69 65 72 20 69 73 20 | 70 72 69 6e 74 65 64 20 |fier is |printed |
|00004c70| 66 6f 6c 6c 6f 77 69 6e | 67 20 74 68 65 20 74 79 |followin|g the ty|
|00004c80| 70 65 2e 0a 49 66 20 74 | 68 65 20 70 61 63 6b 65 |pe..If t|he packe|
|00004c90| 74 20 69 73 20 63 6f 6d | 70 72 65 73 73 65 64 2c |t is com|pressed,|
|00004ca0| 20 69 74 73 20 65 6e 63 | 6f 64 65 64 20 68 65 61 | its enc|oded hea|
|00004cb0| 64 65 72 20 69 73 20 70 | 72 69 6e 74 65 64 20 6f |der is p|rinted o|
|00004cc0| 75 74 2e 0a 54 68 65 20 | 73 70 65 63 69 61 6c 20 |ut..The |special |
|00004cd0| 63 61 73 65 73 20 61 72 | 65 20 70 72 69 6e 74 65 |cases ar|e printe|
|00004ce0| 64 20 6f 75 74 20 61 73 | 0a 5c 66 42 2a 53 2b 5c |d out as|.\fB*S+\|
|00004cf0| 66 49 6e 5c 66 52 20 61 | 6e 64 20 5c 66 42 2a 53 |fIn\fR a|nd \fB*S|
|00004d00| 41 2b 5c 66 49 6e 5c 66 | 52 2c 20 77 68 65 72 65 |A+\fIn\f|R, where|
|00004d10| 20 5c 66 49 6e 5c 66 52 | 20 69 73 20 74 68 65 20 | \fIn\fR| is the |
|00004d20| 61 6d 6f 75 6e 74 20 62 | 79 20 77 68 69 63 68 0a |amount b|y which.|
|00004d30| 74 68 65 20 73 65 71 75 | 65 6e 63 65 20 6e 75 6d |the sequ|ence num|
|00004d40| 62 65 72 20 28 6f 72 20 | 73 65 71 75 65 6e 63 65 |ber (or |sequence|
|00004d50| 20 6e 75 6d 62 65 72 20 | 61 6e 64 20 61 63 6b 29 | number |and ack)|
|00004d60| 20 68 61 73 20 63 68 61 | 6e 67 65 64 2e 0a 49 66 | has cha|nged..If|
|00004d70| 20 69 74 20 69 73 20 6e | 6f 74 20 61 20 73 70 65 | it is n|ot a spe|
|00004d80| 63 69 61 6c 20 63 61 73 | 65 2c 0a 7a 65 72 6f 20 |cial cas|e,.zero |
|00004d90| 6f 72 20 6d 6f 72 65 20 | 63 68 61 6e 67 65 73 20 |or more |changes |
|00004da0| 61 72 65 20 70 72 69 6e | 74 65 64 2e 0a 41 20 63 |are prin|ted..A c|
|00004db0| 68 61 6e 67 65 20 69 73 | 20 69 6e 64 69 63 61 74 |hange is| indicat|
|00004dc0| 65 64 20 62 79 20 55 20 | 28 75 72 67 65 6e 74 20 |ed by U |(urgent |
|00004dd0| 70 6f 69 6e 74 65 72 29 | 2c 20 57 20 28 77 69 6e |pointer)|, W (win|
|00004de0| 64 6f 77 29 2c 20 41 20 | 28 61 63 6b 29 2c 0a 53 |dow), A |(ack),.S|
|00004df0| 20 28 73 65 71 75 65 6e | 63 65 20 6e 75 6d 62 65 | (sequen|ce numbe|
|00004e00| 72 29 2c 20 61 6e 64 20 | 49 20 28 70 61 63 6b 65 |r), and |I (packe|
|00004e10| 74 20 49 44 29 2c 20 66 | 6f 6c 6c 6f 77 65 64 20 |t ID), f|ollowed |
|00004e20| 62 79 20 61 20 64 65 6c | 74 61 20 28 2b 6e 20 6f |by a del|ta (+n o|
|00004e30| 72 20 2d 6e 29 2c 0a 6f | 72 20 61 20 6e 65 77 20 |r -n),.o|r a new |
|00004e40| 76 61 6c 75 65 20 28 3d | 6e 29 2e 0a 46 69 6e 61 |value (=|n)..Fina|
|00004e50| 6c 6c 79 2c 20 74 68 65 | 20 61 6d 6f 75 6e 74 20 |lly, the| amount |
|00004e60| 6f 66 20 64 61 74 61 20 | 69 6e 20 74 68 65 20 70 |of data |in the p|
|00004e70| 61 63 6b 65 74 20 61 6e | 64 20 63 6f 6d 70 72 65 |acket an|d compre|
|00004e80| 73 73 65 64 20 68 65 61 | 64 65 72 20 6c 65 6e 67 |ssed hea|der leng|
|00004e90| 74 68 0a 61 72 65 20 70 | 72 69 6e 74 65 64 2e 0a |th.are p|rinted..|
|00004ea0| 2e 4c 50 0a 46 6f 72 20 | 65 78 61 6d 70 6c 65 2c |.LP.For |example,|
|00004eb0| 20 74 68 65 20 66 6f 6c | 6c 6f 77 69 6e 67 20 6c | the fol|lowing l|
|00004ec0| 69 6e 65 20 73 68 6f 77 | 73 20 61 6e 20 6f 75 74 |ine show|s an out|
|00004ed0| 62 6f 75 6e 64 20 63 6f | 6d 70 72 65 73 73 65 64 |bound co|mpressed|
|00004ee0| 20 54 43 50 20 70 61 63 | 6b 65 74 2c 0a 77 69 74 | TCP pac|ket,.wit|
|00004ef0| 68 20 61 6e 20 69 6d 70 | 6c 69 63 69 74 20 63 6f |h an imp|licit co|
|00004f00| 6e 6e 65 63 74 69 6f 6e | 20 69 64 65 6e 74 69 66 |nnection| identif|
|00004f10| 69 65 72 3b 20 74 68 65 | 20 61 63 6b 20 68 61 73 |ier; the| ack has|
|00004f20| 20 63 68 61 6e 67 65 64 | 20 62 79 20 36 2c 0a 74 | changed| by 6,.t|
|00004f30| 68 65 20 73 65 71 75 65 | 6e 63 65 20 6e 75 6d 62 |he seque|nce numb|
|00004f40| 65 72 20 62 79 20 34 39 | 2c 20 61 6e 64 20 74 68 |er by 49|, and th|
|00004f50| 65 20 70 61 63 6b 65 74 | 20 49 44 20 62 79 20 36 |e packet| ID by 6|
|00004f60| 3b 20 74 68 65 72 65 20 | 61 72 65 20 33 20 62 79 |; there |are 3 by|
|00004f70| 74 65 73 20 6f 66 0a 64 | 61 74 61 20 61 6e 64 20 |tes of.d|ata and |
|00004f80| 36 20 62 79 74 65 73 20 | 6f 66 20 63 6f 6d 70 72 |6 bytes |of compr|
|00004f90| 65 73 73 65 64 20 68 65 | 61 64 65 72 3a 0a 2e 52 |essed he|ader:..R|
|00004fa0| 53 0a 2e 6e 66 0a 5c 66 | 42 4f 20 63 74 63 70 20 |S..nf.\f|BO ctcp |
|00004fb0| 2a 20 41 2b 36 20 53 2b | 34 39 20 49 2b 36 20 33 |* A+6 S+|49 I+6 3|
|00004fc0| 20 28 36 29 5c 66 50 0a | 2e 66 69 0a 2e 52 45 0a | (6)\fP.|.fi..RE.|
|00004fd0| 2e 48 44 0a 41 52 50 2f | 52 41 52 50 20 50 61 63 |.HD.ARP/|RARP Pac|
|00004fe0| 6b 65 74 73 0a 2e 4c 50 | 0a 41 72 70 2f 72 61 72 |kets..LP|.Arp/rar|
|00004ff0| 70 20 6f 75 74 70 75 74 | 20 73 68 6f 77 73 20 74 |p output| shows t|
|00005000| 68 65 20 74 79 70 65 20 | 6f 66 20 72 65 71 75 65 |he type |of reque|
|00005010| 73 74 20 61 6e 64 20 69 | 74 73 20 61 72 67 75 6d |st and i|ts argum|
|00005020| 65 6e 74 73 2e 20 20 54 | 68 65 0a 66 6f 72 6d 61 |ents.  T|he.forma|
|00005030| 74 20 69 73 20 69 6e 74 | 65 6e 64 65 64 20 74 6f |t is int|ended to|
|00005040| 20 62 65 20 73 65 6c 66 | 20 65 78 70 6c 61 6e 61 | be self| explana|
|00005050| 74 6f 72 79 2e 0a 48 65 | 72 65 20 69 73 20 61 20 |tory..He|re is a |
|00005060| 73 68 6f 72 74 20 73 61 | 6d 70 6c 65 20 74 61 6b |short sa|mple tak|
|00005070| 65 6e 20 66 72 6f 6d 20 | 74 68 65 20 73 74 61 72 |en from |the star|
|00005080| 74 20 6f 66 20 61 6e 20 | 60 72 6c 6f 67 69 6e 27 |t of an |`rlogin'|
|00005090| 20 66 72 6f 6d 0a 68 6f | 73 74 20 5c 66 49 72 74 | from.ho|st \fIrt|
|000050a0| 73 67 5c 66 50 20 74 6f | 20 68 6f 73 74 20 5c 66 |sg\fP to| host \f|
|000050b0| 49 63 73 61 6d 5c 66 50 | 3a 0a 2e 52 53 0a 2e 6e |Icsam\fP|:..RS..n|
|000050c0| 66 0a 2e 73 70 20 2e 35 | 0a 5c 66 28 43 57 61 72 |f..sp .5|.\f(CWar|
|000050d0| 70 20 77 68 6f 2d 68 61 | 73 20 63 73 61 6d 20 74 |p who-ha|s csam t|
|000050e0| 65 6c 6c 20 72 74 73 67 | 0a 61 72 70 20 72 65 70 |ell rtsg|.arp rep|
|000050f0| 6c 79 20 63 73 61 6d 20 | 69 73 2d 61 74 20 43 53 |ly csam |is-at CS|
|00005100| 41 4d 5c 66 50 0a 2e 73 | 70 20 2e 35 0a 2e 66 69 |AM\fP..s|p .5..fi|
|00005110| 0a 2e 52 45 0a 54 68 65 | 20 66 69 72 73 74 20 6c |..RE.The| first l|
|00005120| 69 6e 65 20 73 61 79 73 | 20 74 68 61 74 20 72 74 |ine says| that rt|
|00005130| 73 67 20 73 65 6e 74 20 | 61 6e 20 61 72 70 20 70 |sg sent |an arp p|
|00005140| 61 63 6b 65 74 20 61 73 | 6b 69 6e 67 0a 66 6f 72 |acket as|king.for|
|00005150| 20 74 68 65 20 65 74 68 | 65 72 6e 65 74 20 61 64 | the eth|ernet ad|
|00005160| 64 72 65 73 73 20 6f 66 | 20 69 6e 74 65 72 6e 65 |dress of| interne|
|00005170| 74 20 68 6f 73 74 20 63 | 73 61 6d 2e 20 20 43 73 |t host c|sam.  Cs|
|00005180| 61 6d 0a 72 65 70 6c 69 | 65 73 20 77 69 74 68 20 |am.repli|es with |
|00005190| 69 74 73 20 65 74 68 65 | 72 6e 65 74 20 61 64 64 |its ethe|rnet add|
|000051a0| 72 65 73 73 20 28 69 6e | 20 74 68 69 73 20 65 78 |ress (in| this ex|
|000051b0| 61 6d 70 6c 65 2c 20 65 | 74 68 65 72 6e 65 74 20 |ample, e|thernet |
|000051c0| 61 64 64 72 65 73 73 65 | 73 0a 61 72 65 20 69 6e |addresse|s.are in|
|000051d0| 20 63 61 70 73 20 61 6e | 64 20 69 6e 74 65 72 6e | caps an|d intern|
|000051e0| 65 74 20 61 64 64 72 65 | 73 73 65 73 20 69 6e 20 |et addre|sses in |
|000051f0| 6c 6f 77 65 72 20 63 61 | 73 65 29 2e 0a 2e 4c 50 |lower ca|se)...LP|
|00005200| 0a 54 68 69 73 20 77 6f | 75 6c 64 20 6c 6f 6f 6b |.This wo|uld look|
|00005210| 20 6c 65 73 73 20 72 65 | 64 75 6e 64 61 6e 74 20 | less re|dundant |
|00005220| 69 66 20 77 65 20 68 61 | 64 20 64 6f 6e 65 20 5c |if we ha|d done \|
|00005230| 66 42 74 63 70 64 75 6d | 70 20 5c 2d 6e 5c 66 50 |fBtcpdum|p \-n\fP|
|00005240| 3a 0a 2e 52 53 0a 2e 6e | 66 0a 2e 73 70 20 2e 35 |:..RS..n|f..sp .5|
|00005250| 0a 5c 66 28 43 57 61 72 | 70 20 77 68 6f 2d 68 61 |.\f(CWar|p who-ha|
|00005260| 73 20 31 32 38 2e 33 2e | 32 35 34 2e 36 20 74 65 |s 128.3.|254.6 te|
|00005270| 6c 6c 20 31 32 38 2e 33 | 2e 32 35 34 2e 36 38 0a |ll 128.3|.254.68.|
|00005280| 61 72 70 20 72 65 70 6c | 79 20 31 32 38 2e 33 2e |arp repl|y 128.3.|
|00005290| 32 35 34 2e 36 20 69 73 | 2d 61 74 20 30 32 3a 30 |254.6 is|-at 02:0|
|000052a0| 37 3a 30 31 3a 30 30 3a | 30 31 3a 63 34 5c 66 50 |7:01:00:|01:c4\fP|
|000052b0| 0a 2e 66 69 0a 2e 52 45 | 0a 2e 4c 50 0a 49 66 20 |..fi..RE|..LP.If |
|000052c0| 77 65 20 68 61 64 20 64 | 6f 6e 65 20 5c 66 42 74 |we had d|one \fBt|
|000052d0| 63 70 64 75 6d 70 20 5c | 2d 65 5c 66 50 2c 20 74 |cpdump \|-e\fP, t|
|000052e0| 68 65 20 66 61 63 74 20 | 74 68 61 74 20 74 68 65 |he fact |that the|
|000052f0| 20 66 69 72 73 74 20 70 | 61 63 6b 65 74 20 69 73 | first p|acket is|
|00005300| 0a 62 72 6f 61 64 63 61 | 73 74 20 61 6e 64 20 74 |.broadca|st and t|
|00005310| 68 65 20 73 65 63 6f 6e | 64 20 69 73 20 70 6f 69 |he secon|d is poi|
|00005320| 6e 74 2d 74 6f 2d 70 6f | 69 6e 74 20 77 6f 75 6c |nt-to-po|int woul|
|00005330| 64 20 62 65 20 76 69 73 | 69 62 6c 65 3a 0a 2e 52 |d be vis|ible:..R|
|00005340| 53 0a 2e 6e 66 0a 2e 73 | 70 20 2e 35 0a 5c 66 28 |S..nf..s|p .5.\f(|
|00005350| 43 57 52 54 53 47 20 42 | 72 6f 61 64 63 61 73 74 |CWRTSG B|roadcast|
|00005360| 20 30 38 30 36 20 20 36 | 34 3a 20 61 72 70 20 77 | 0806  6|4: arp w|
|00005370| 68 6f 2d 68 61 73 20 63 | 73 61 6d 20 74 65 6c 6c |ho-has c|sam tell|
|00005380| 20 72 74 73 67 0a 43 53 | 41 4d 20 52 54 53 47 20 | rtsg.CS|AM RTSG |
|00005390| 30 38 30 36 20 20 36 34 | 3a 20 61 72 70 20 72 65 |0806  64|: arp re|
|000053a0| 70 6c 79 20 63 73 61 6d | 20 69 73 2d 61 74 20 43 |ply csam| is-at C|
|000053b0| 53 41 4d 5c 66 50 0a 2e | 73 70 20 2e 35 0a 2e 66 |SAM\fP..|sp .5..f|
|000053c0| 69 0a 2e 52 45 0a 46 6f | 72 20 74 68 65 20 66 69 |i..RE.Fo|r the fi|
|000053d0| 72 73 74 20 70 61 63 6b | 65 74 20 74 68 69 73 20 |rst pack|et this |
|000053e0| 73 61 79 73 20 74 68 65 | 20 65 74 68 65 72 6e 65 |says the| etherne|
|000053f0| 74 20 73 6f 75 72 63 65 | 20 61 64 64 72 65 73 73 |t source| address|
|00005400| 20 69 73 20 52 54 53 47 | 2c 20 74 68 65 0a 64 65 | is RTSG|, the.de|
|00005410| 73 74 69 6e 61 74 69 6f | 6e 20 69 73 20 74 68 65 |stinatio|n is the|
|00005420| 20 62 72 6f 61 64 63 61 | 73 74 20 61 64 64 72 65 | broadca|st addre|
|00005430| 73 73 2c 20 74 68 65 20 | 74 79 70 65 20 66 69 65 |ss, the |type fie|
|00005440| 6c 64 0a 63 6f 6e 74 61 | 69 6e 65 64 20 68 65 78 |ld.conta|ined hex|
|00005450| 20 30 38 30 36 20 28 74 | 79 70 65 20 45 54 48 45 | 0806 (t|ype ETHE|
|00005460| 52 5f 41 52 50 29 20 61 | 6e 64 20 74 68 65 20 74 |R_ARP) a|nd the t|
|00005470| 6f 74 61 6c 20 6c 65 6e | 67 74 68 20 77 61 73 20 |otal len|gth was |
|00005480| 36 34 20 62 79 74 65 73 | 2e 0a 2e 48 44 0a 54 43 |64 bytes|...HD.TC|
|00005490| 50 20 50 61 63 6b 65 74 | 73 0a 2e 4c 50 0a 5c 66 |P Packet|s..LP.\f|
|000054a0| 49 28 4e 2e 42 2e 3a 54 | 68 65 20 66 6f 6c 6c 6f |I(N.B.:T|he follo|
|000054b0| 77 69 6e 67 20 64 65 73 | 63 72 69 70 74 69 6f 6e |wing des|cription|
|000054c0| 20 61 73 73 75 6d 65 73 | 20 66 61 6d 69 6c 69 61 | assumes| familia|
|000054d0| 72 69 74 79 20 77 69 74 | 68 0a 74 68 65 20 54 43 |rity wit|h.the TC|
|000054e0| 50 20 70 72 6f 74 6f 63 | 6f 6c 20 64 65 73 63 72 |P protoc|ol descr|
|000054f0| 69 62 65 64 20 69 6e 20 | 52 46 43 2d 37 39 33 2e |ibed in |RFC-793.|
|00005500| 20 20 49 66 20 79 6f 75 | 20 61 72 65 20 6e 6f 74 |  If you| are not|
|00005510| 20 66 61 6d 69 6c 69 61 | 72 0a 77 69 74 68 20 74 | familia|r.with t|
|00005520| 68 65 20 70 72 6f 74 6f | 63 6f 6c 2c 20 6e 65 69 |he proto|col, nei|
|00005530| 74 68 65 72 20 74 68 69 | 73 20 64 65 73 63 72 69 |ther thi|s descri|
|00005540| 70 74 69 6f 6e 20 6e 6f | 72 20 74 63 70 64 75 6d |ption no|r tcpdum|
|00005550| 70 20 77 69 6c 6c 0a 62 | 65 20 6f 66 20 6d 75 63 |p will.b|e of muc|
|00005560| 68 20 75 73 65 20 74 6f | 20 79 6f 75 2e 29 5c 66 |h use to| you.)\f|
|00005570| 50 0a 2e 4c 50 0a 54 68 | 65 20 67 65 6e 65 72 61 |P..LP.Th|e genera|
|00005580| 6c 20 66 6f 72 6d 61 74 | 20 6f 66 20 61 20 74 63 |l format| of a tc|
|00005590| 70 20 70 72 6f 74 6f 63 | 6f 6c 20 6c 69 6e 65 20 |p protoc|ol line |
|000055a0| 69 73 3a 0a 2e 52 53 0a | 2e 6e 66 0a 2e 73 70 20 |is:..RS.|.nf..sp |
|000055b0| 2e 35 0a 5c 66 49 73 72 | 63 20 3e 20 64 73 74 3a |.5.\fIsr|c > dst:|
|000055c0| 20 66 6c 61 67 73 20 64 | 61 74 61 2d 73 65 71 6e | flags d|ata-seqn|
|000055d0| 6f 20 61 63 6b 20 77 69 | 6e 64 6f 77 20 75 72 67 |o ack wi|ndow urg|
|000055e0| 65 6e 74 20 6f 70 74 69 | 6f 6e 73 5c 66 50 0a 2e |ent opti|ons\fP..|
|000055f0| 73 70 20 2e 35 0a 2e 66 | 69 0a 2e 52 45 0a 5c 66 |sp .5..f|i..RE.\f|
|00005600| 49 53 72 63 5c 66 50 20 | 61 6e 64 20 5c 66 49 64 |ISrc\fP |and \fId|
|00005610| 73 74 5c 66 50 20 61 72 | 65 20 74 68 65 20 73 6f |st\fP ar|e the so|
|00005620| 75 72 63 65 20 61 6e 64 | 20 64 65 73 74 69 6e 61 |urce and| destina|
|00005630| 74 69 6f 6e 20 49 50 0a | 61 64 64 72 65 73 73 65 |tion IP.|addresse|
|00005640| 73 20 61 6e 64 20 70 6f | 72 74 73 2e 20 20 5c 66 |s and po|rts.  \f|
|00005650| 49 46 6c 61 67 73 5c 66 | 50 20 61 72 65 20 73 6f |IFlags\f|P are so|
|00005660| 6d 65 20 63 6f 6d 62 69 | 6e 61 74 69 6f 6e 20 6f |me combi|nation o|
|00005670| 66 20 53 20 28 53 59 4e | 29 2c 0a 46 20 28 46 49 |f S (SYN|),.F (FI|
|00005680| 4e 29 2c 20 50 20 28 50 | 55 53 48 29 20 6f 72 20 |N), P (P|USH) or |
|00005690| 52 20 28 52 53 54 29 20 | 6f 72 20 61 20 73 69 6e |R (RST) |or a sin|
|000056a0| 67 6c 65 20 60 2e 27 20 | 28 6e 6f 20 66 6c 61 67 |gle `.' |(no flag|
|000056b0| 73 29 2e 0a 5c 66 49 44 | 61 74 61 2d 73 65 71 6e |s)..\fID|ata-seqn|
|000056c0| 6f 5c 66 50 20 64 65 73 | 63 72 69 62 65 73 20 74 |o\fP des|cribes t|
|000056d0| 68 65 20 70 6f 72 74 69 | 6f 6e 20 6f 66 20 73 65 |he porti|on of se|
|000056e0| 71 75 65 6e 63 65 20 73 | 70 61 63 65 20 63 6f 76 |quence s|pace cov|
|000056f0| 65 72 65 64 0a 62 79 20 | 74 68 65 20 64 61 74 61 |ered.by |the data|
|00005700| 20 69 6e 20 74 68 69 73 | 20 70 61 63 6b 65 74 20 | in this| packet |
|00005710| 28 73 65 65 20 65 78 61 | 6d 70 6c 65 20 62 65 6c |(see exa|mple bel|
|00005720| 6f 77 29 2e 0a 5c 66 49 | 41 63 6b 5c 66 50 20 69 |ow)..\fI|Ack\fP i|
|00005730| 73 20 73 65 71 75 65 6e | 63 65 20 6e 75 6d 62 65 |s sequen|ce numbe|
|00005740| 72 20 6f 66 20 74 68 65 | 20 6e 65 78 74 20 64 61 |r of the| next da|
|00005750| 74 61 20 65 78 70 65 63 | 74 65 64 20 74 68 65 20 |ta expec|ted the |
|00005760| 6f 74 68 65 72 0a 64 69 | 72 65 63 74 69 6f 6e 20 |other.di|rection |
|00005770| 6f 6e 20 74 68 69 73 20 | 63 6f 6e 6e 65 63 74 69 |on this |connecti|
|00005780| 6f 6e 2e 0a 5c 66 49 57 | 69 6e 64 6f 77 5c 66 50 |on..\fIW|indow\fP|
|00005790| 20 69 73 20 74 68 65 20 | 6e 75 6d 62 65 72 20 6f | is the |number o|
|000057a0| 66 20 62 79 74 65 73 20 | 6f 66 20 72 65 63 65 69 |f bytes |of recei|
|000057b0| 76 65 20 62 75 66 66 65 | 72 20 73 70 61 63 65 20 |ve buffe|r space |
|000057c0| 61 76 61 69 6c 61 62 6c | 65 0a 74 68 65 20 6f 74 |availabl|e.the ot|
|000057d0| 68 65 72 20 64 69 72 65 | 63 74 69 6f 6e 20 6f 6e |her dire|ction on|
|000057e0| 20 74 68 69 73 20 63 6f | 6e 6e 65 63 74 69 6f 6e | this co|nnection|
|000057f0| 2e 0a 5c 66 49 55 72 67 | 5c 66 50 20 69 6e 64 69 |..\fIUrg|\fP indi|
|00005800| 63 61 74 65 73 20 74 68 | 65 72 65 20 69 73 20 60 |cates th|ere is `|
|00005810| 75 72 67 65 6e 74 27 20 | 64 61 74 61 20 69 6e 20 |urgent' |data in |
|00005820| 74 68 65 20 70 61 63 6b | 65 74 2e 0a 5c 66 49 4f |the pack|et..\fIO|
|00005830| 70 74 69 6f 6e 73 5c 66 | 50 20 61 72 65 20 74 63 |ptions\f|P are tc|
|00005840| 70 20 6f 70 74 69 6f 6e | 73 20 65 6e 63 6c 6f 73 |p option|s enclos|
|00005850| 65 64 20 69 6e 20 61 6e | 67 6c 65 20 62 72 61 63 |ed in an|gle brac|
|00005860| 6b 65 74 73 20 28 65 2e | 67 2e 2c 20 3c 6d 73 73 |kets (e.|g., <mss|
|00005870| 20 31 30 32 34 3e 29 2e | 0a 2e 4c 50 0a 5c 66 49 | 1024>).|..LP.\fI|
|00005880| 53 72 63 2c 20 64 73 74 | 5c 66 50 20 61 6e 64 20 |Src, dst|\fP and |
|00005890| 5c 66 49 66 6c 61 67 73 | 5c 66 50 20 61 72 65 20 |\fIflags|\fP are |
|000058a0| 61 6c 77 61 79 73 20 70 | 72 65 73 65 6e 74 2e 20 |always p|resent. |
|000058b0| 20 54 68 65 20 6f 74 68 | 65 72 20 66 69 65 6c 64 | The oth|er field|
|000058c0| 73 0a 64 65 70 65 6e 64 | 20 6f 6e 20 74 68 65 20 |s.depend| on the |
|000058d0| 63 6f 6e 74 65 6e 74 73 | 20 6f 66 20 74 68 65 20 |contents| of the |
|000058e0| 70 61 63 6b 65 74 27 73 | 20 74 63 70 20 70 72 6f |packet's| tcp pro|
|000058f0| 74 6f 63 6f 6c 20 68 65 | 61 64 65 72 20 61 6e 64 |tocol he|ader and|
|00005900| 0a 61 72 65 20 6f 75 74 | 70 75 74 20 6f 6e 6c 79 |.are out|put only|
|00005910| 20 69 66 20 61 70 70 72 | 6f 70 72 69 61 74 65 2e | if appr|opriate.|
|00005920| 0a 2e 4c 50 0a 48 65 72 | 65 20 69 73 20 74 68 65 |..LP.Her|e is the|
|00005930| 20 6f 70 65 6e 69 6e 67 | 20 70 6f 72 74 69 6f 6e | opening| portion|
|00005940| 20 6f 66 20 61 6e 20 72 | 6c 6f 67 69 6e 20 66 72 | of an r|login fr|
|00005950| 6f 6d 20 68 6f 73 74 20 | 5c 66 49 72 74 73 67 5c |om host |\fIrtsg\|
|00005960| 66 50 20 74 6f 0a 68 6f | 73 74 20 5c 66 49 63 73 |fP to.ho|st \fIcs|
|00005970| 61 6d 5c 66 50 2e 0a 2e | 52 53 0a 2e 6e 66 0a 2e |am\fP...|RS..nf..|
|00005980| 73 70 20 2e 35 0a 5c 73 | 2d 32 5c 66 28 43 57 72 |sp .5.\s|-2\f(CWr|
|00005990| 74 73 67 2e 31 30 32 33 | 20 3e 20 63 73 61 6d 2e |tsg.1023| > csam.|
|000059a0| 6c 6f 67 69 6e 3a 20 53 | 20 37 36 38 35 31 32 3a |login: S| 768512:|
|000059b0| 37 36 38 35 31 32 28 30 | 29 20 77 69 6e 20 34 30 |768512(0|) win 40|
|000059c0| 39 36 20 3c 6d 73 73 20 | 31 30 32 34 3e 0a 63 73 |96 <mss |1024>.cs|
|000059d0| 61 6d 2e 6c 6f 67 69 6e | 20 3e 20 72 74 73 67 2e |am.login| > rtsg.|
|000059e0| 31 30 32 33 3a 20 53 20 | 39 34 37 36 34 38 3a 39 |1023: S |947648:9|
|000059f0| 34 37 36 34 38 28 30 29 | 20 61 63 6b 20 37 36 38 |47648(0)| ack 768|
|00005a00| 35 31 33 20 77 69 6e 20 | 34 30 39 36 20 3c 6d 73 |513 win |4096 <ms|
|00005a10| 73 20 31 30 32 34 3e 0a | 72 74 73 67 2e 31 30 32 |s 1024>.|rtsg.102|
|00005a20| 33 20 3e 20 63 73 61 6d | 2e 6c 6f 67 69 6e 3a 20 |3 > csam|.login: |
|00005a30| 2e 20 61 63 6b 20 31 20 | 77 69 6e 20 34 30 39 36 |. ack 1 |win 4096|
|00005a40| 0a 72 74 73 67 2e 31 30 | 32 33 20 3e 20 63 73 61 |.rtsg.10|23 > csa|
|00005a50| 6d 2e 6c 6f 67 69 6e 3a | 20 50 20 31 3a 32 28 31 |m.login:| P 1:2(1|
|00005a60| 29 20 61 63 6b 20 31 20 | 77 69 6e 20 34 30 39 36 |) ack 1 |win 4096|
|00005a70| 0a 63 73 61 6d 2e 6c 6f | 67 69 6e 20 3e 20 72 74 |.csam.lo|gin > rt|
|00005a80| 73 67 2e 31 30 32 33 3a | 20 2e 20 61 63 6b 20 32 |sg.1023:| . ack 2|
|00005a90| 20 77 69 6e 20 34 30 39 | 36 0a 72 74 73 67 2e 31 | win 409|6.rtsg.1|
|00005aa0| 30 32 33 20 3e 20 63 73 | 61 6d 2e 6c 6f 67 69 6e |023 > cs|am.login|
|00005ab0| 3a 20 50 20 32 3a 32 31 | 28 31 39 29 20 61 63 6b |: P 2:21|(19) ack|
|00005ac0| 20 31 20 77 69 6e 20 34 | 30 39 36 0a 63 73 61 6d | 1 win 4|096.csam|
|00005ad0| 2e 6c 6f 67 69 6e 20 3e | 20 72 74 73 67 2e 31 30 |.login >| rtsg.10|
|00005ae0| 32 33 3a 20 50 20 31 3a | 32 28 31 29 20 61 63 6b |23: P 1:|2(1) ack|
|00005af0| 20 32 31 20 77 69 6e 20 | 34 30 37 37 0a 63 73 61 | 21 win |4077.csa|
|00005b00| 6d 2e 6c 6f 67 69 6e 20 | 3e 20 72 74 73 67 2e 31 |m.login |> rtsg.1|
|00005b10| 30 32 33 3a 20 50 20 32 | 3a 33 28 31 29 20 61 63 |023: P 2|:3(1) ac|
|00005b20| 6b 20 32 31 20 77 69 6e | 20 34 30 37 37 20 75 72 |k 21 win| 4077 ur|
|00005b30| 67 20 31 0a 63 73 61 6d | 2e 6c 6f 67 69 6e 20 3e |g 1.csam|.login >|
|00005b40| 20 72 74 73 67 2e 31 30 | 32 33 3a 20 50 20 33 3a | rtsg.10|23: P 3:|
|00005b50| 34 28 31 29 20 61 63 6b | 20 32 31 20 77 69 6e 20 |4(1) ack| 21 win |
|00005b60| 34 30 37 37 20 75 72 67 | 20 31 5c 66 50 5c 73 2b |4077 urg| 1\fP\s+|
|00005b70| 32 0a 2e 73 70 20 2e 35 | 0a 2e 66 69 0a 2e 52 45 |2..sp .5|..fi..RE|
|00005b80| 0a 54 68 65 20 66 69 72 | 73 74 20 6c 69 6e 65 20 |.The fir|st line |
|00005b90| 73 61 79 73 20 74 68 61 | 74 20 74 63 70 20 70 6f |says tha|t tcp po|
|00005ba0| 72 74 20 31 30 32 33 20 | 6f 6e 20 72 74 73 67 20 |rt 1023 |on rtsg |
|00005bb0| 73 65 6e 74 20 61 20 70 | 61 63 6b 65 74 0a 74 6f |sent a p|acket.to|
|00005bc0| 20 70 6f 72 74 20 5c 66 | 49 6c 6f 67 69 6e 5c 66 | port \f|Ilogin\f|
|00005bd0| 50 0a 6f 6e 20 63 73 61 | 6d 2e 20 20 54 68 65 20 |P.on csa|m.  The |
|00005be0| 5c 66 42 53 5c 66 50 20 | 69 6e 64 69 63 61 74 65 |\fBS\fP |indicate|
|00005bf0| 73 20 74 68 61 74 20 74 | 68 65 20 5c 66 49 53 59 |s that t|he \fISY|
|00005c00| 4e 5c 66 50 20 66 6c 61 | 67 20 77 61 73 20 73 65 |N\fP fla|g was se|
|00005c10| 74 2e 0a 54 68 65 20 70 | 61 63 6b 65 74 20 73 65 |t..The p|acket se|
|00005c20| 71 75 65 6e 63 65 20 6e | 75 6d 62 65 72 20 77 61 |quence n|umber wa|
|00005c30| 73 20 37 36 38 35 31 32 | 20 61 6e 64 20 69 74 20 |s 768512| and it |
|00005c40| 63 6f 6e 74 61 69 6e 65 | 64 20 6e 6f 20 64 61 74 |containe|d no dat|
|00005c50| 61 2e 0a 28 54 68 65 20 | 6e 6f 74 61 74 69 6f 6e |a..(The |notation|
|00005c60| 20 69 73 20 60 66 69 72 | 73 74 3a 6c 61 73 74 28 | is `fir|st:last(|
|00005c70| 6e 62 79 74 65 73 29 27 | 20 77 68 69 63 68 20 6d |nbytes)'| which m|
|00005c80| 65 61 6e 73 20 60 73 65 | 71 75 65 6e 63 65 0a 6e |eans `se|quence.n|
|00005c90| 75 6d 62 65 72 73 20 5c | 66 49 66 69 72 73 74 5c |umbers \|fIfirst\|
|00005ca0| 66 50 0a 75 70 20 74 6f | 20 62 75 74 20 6e 6f 74 |fP.up to| but not|
|00005cb0| 20 69 6e 63 6c 75 64 69 | 6e 67 20 5c 66 49 6c 61 | includi|ng \fIla|
|00005cc0| 73 74 5c 66 50 20 77 68 | 69 63 68 20 69 73 20 5c |st\fP wh|ich is \|
|00005cd0| 66 49 6e 62 79 74 65 73 | 5c 66 50 20 62 79 74 65 |fInbytes|\fP byte|
|00005ce0| 73 20 6f 66 20 75 73 65 | 72 20 64 61 74 61 27 2e |s of use|r data'.|
|00005cf0| 29 0a 54 68 65 72 65 20 | 77 61 73 20 6e 6f 20 70 |).There |was no p|
|00005d00| 69 67 67 79 2d 62 61 63 | 6b 65 64 20 61 63 6b 2c |iggy-bac|ked ack,|
|00005d10| 20 74 68 65 20 61 76 61 | 69 6c 61 62 6c 65 20 72 | the ava|ilable r|
|00005d20| 65 63 65 69 76 65 20 77 | 69 6e 64 6f 77 20 77 61 |eceive w|indow wa|
|00005d30| 73 20 34 30 39 36 0a 62 | 79 74 65 73 20 61 6e 64 |s 4096.b|ytes and|
|00005d40| 20 74 68 65 72 65 20 77 | 61 73 20 61 20 6d 61 78 | there w|as a max|
|00005d50| 2d 73 65 67 6d 65 6e 74 | 2d 73 69 7a 65 20 6f 70 |-segment|-size op|
|00005d60| 74 69 6f 6e 20 72 65 71 | 75 65 73 74 69 6e 67 20 |tion req|uesting |
|00005d70| 61 6e 20 6d 73 73 20 6f | 66 0a 31 30 32 34 20 62 |an mss o|f.1024 b|
|00005d80| 79 74 65 73 2e 0a 2e 4c | 50 0a 43 73 61 6d 20 72 |ytes...L|P.Csam r|
|00005d90| 65 70 6c 69 65 73 20 77 | 69 74 68 20 61 20 73 69 |eplies w|ith a si|
|00005da0| 6d 69 6c 61 72 20 70 61 | 63 6b 65 74 20 65 78 63 |milar pa|cket exc|
|00005db0| 65 70 74 20 69 74 20 69 | 6e 63 6c 75 64 65 73 20 |ept it i|ncludes |
|00005dc0| 61 20 70 69 67 67 79 2d | 62 61 63 6b 65 64 0a 61 |a piggy-|backed.a|
|00005dd0| 63 6b 20 66 6f 72 20 72 | 74 73 67 27 73 20 53 59 |ck for r|tsg's SY|
|00005de0| 4e 2e 20 20 52 74 73 67 | 20 74 68 65 6e 20 61 63 |N.  Rtsg| then ac|
|00005df0| 6b 73 20 63 73 61 6d 27 | 73 20 53 59 4e 2e 20 20 |ks csam'|s SYN.  |
|00005e00| 54 68 65 20 60 2e 27 20 | 6d 65 61 6e 73 20 6e 6f |The `.' |means no|
|00005e10| 0a 66 6c 61 67 73 20 77 | 65 72 65 20 73 65 74 2e |.flags w|ere set.|
|00005e20| 0a 54 68 65 20 70 61 63 | 6b 65 74 20 63 6f 6e 74 |.The pac|ket cont|
|00005e30| 61 69 6e 65 64 20 6e 6f | 20 64 61 74 61 20 73 6f |ained no| data so|
|00005e40| 20 74 68 65 72 65 20 69 | 73 20 6e 6f 20 64 61 74 | there i|s no dat|
|00005e50| 61 20 73 65 71 75 65 6e | 63 65 20 6e 75 6d 62 65 |a sequen|ce numbe|
|00005e60| 72 2e 0a 4e 6f 74 65 20 | 74 68 61 74 20 74 68 65 |r..Note |that the|
|00005e70| 20 61 63 6b 20 73 65 71 | 75 65 6e 63 65 0a 6e 75 | ack seq|uence.nu|
|00005e80| 6d 62 65 72 20 69 73 20 | 61 20 73 6d 61 6c 6c 20 |mber is |a small |
|00005e90| 69 6e 74 65 67 65 72 20 | 28 31 29 2e 20 20 54 68 |integer |(1).  Th|
|00005ea0| 65 20 66 69 72 73 74 20 | 74 69 6d 65 20 5c 66 42 |e first |time \fB|
|00005eb0| 74 63 70 64 75 6d 70 5c | 66 50 20 73 65 65 73 20 |tcpdump\|fP sees |
|00005ec0| 61 0a 74 63 70 20 60 63 | 6f 6e 76 65 72 73 61 74 |a.tcp `c|onversat|
|00005ed0| 69 6f 6e 27 2c 20 69 74 | 20 70 72 69 6e 74 73 20 |ion', it| prints |
|00005ee0| 74 68 65 20 73 65 71 75 | 65 6e 63 65 20 6e 75 6d |the sequ|ence num|
|00005ef0| 62 65 72 20 66 72 6f 6d | 20 74 68 65 20 70 61 63 |ber from| the pac|
|00005f00| 6b 65 74 2e 0a 4f 6e 20 | 73 75 62 73 65 71 75 65 |ket..On |subseque|
|00005f10| 6e 74 20 70 61 63 6b 65 | 74 73 20 6f 66 20 74 68 |nt packe|ts of th|
|00005f20| 65 20 63 6f 6e 76 65 72 | 73 61 74 69 6f 6e 2c 20 |e conver|sation, |
|00005f30| 74 68 65 20 64 69 66 66 | 65 72 65 6e 63 65 20 62 |the diff|erence b|
|00005f40| 65 74 77 65 65 6e 0a 74 | 68 65 20 63 75 72 72 65 |etween.t|he curre|
|00005f50| 6e 74 20 70 61 63 6b 65 | 74 27 73 20 73 65 71 75 |nt packe|t's sequ|
|00005f60| 65 6e 63 65 20 6e 75 6d | 62 65 72 20 61 6e 64 20 |ence num|ber and |
|00005f70| 74 68 69 73 20 69 6e 69 | 74 69 61 6c 20 73 65 71 |this ini|tial seq|
|00005f80| 75 65 6e 63 65 20 6e 75 | 6d 62 65 72 0a 69 73 20 |uence nu|mber.is |
|00005f90| 70 72 69 6e 74 65 64 2e | 20 20 54 68 69 73 20 6d |printed.|  This m|
|00005fa0| 65 61 6e 73 20 74 68 61 | 74 20 73 65 71 75 65 6e |eans tha|t sequen|
|00005fb0| 63 65 20 6e 75 6d 62 65 | 72 73 20 61 66 74 65 72 |ce numbe|rs after|
|00005fc0| 20 74 68 65 0a 66 69 72 | 73 74 20 63 61 6e 20 62 | the.fir|st can b|
|00005fd0| 65 20 69 6e 74 65 72 70 | 72 65 74 65 64 0a 61 73 |e interp|reted.as|
|00005fe0| 20 72 65 6c 61 74 69 76 | 65 20 62 79 74 65 20 70 | relativ|e byte p|
|00005ff0| 6f 73 69 74 69 6f 6e 73 | 20 69 6e 20 74 68 65 20 |ositions| in the |
|00006000| 63 6f 6e 76 65 72 73 61 | 74 69 6f 6e 27 73 20 64 |conversa|tion's d|
|00006010| 61 74 61 20 73 74 72 65 | 61 6d 20 28 77 69 74 68 |ata stre|am (with|
|00006020| 20 74 68 65 0a 66 69 72 | 73 74 20 64 61 74 61 20 | the.fir|st data |
|00006030| 62 79 74 65 20 65 61 63 | 68 20 64 69 72 65 63 74 |byte eac|h direct|
|00006040| 69 6f 6e 20 62 65 69 6e | 67 20 60 31 27 29 2e 20 |ion bein|g `1'). |
|00006050| 20 60 2d 53 27 20 77 69 | 6c 6c 20 6f 76 65 72 72 | `-S' wi|ll overr|
|00006060| 69 64 65 20 74 68 69 73 | 0a 66 65 61 74 75 72 65 |ide this|.feature|
|00006070| 2c 20 63 61 75 73 69 6e | 67 20 74 68 65 20 6f 72 |, causin|g the or|
|00006080| 69 67 69 6e 61 6c 20 73 | 65 71 75 65 6e 63 65 20 |iginal s|equence |
|00006090| 6e 75 6d 62 65 72 73 20 | 74 6f 20 62 65 20 6f 75 |numbers |to be ou|
|000060a0| 74 70 75 74 2e 0a 2e 4c | 50 0a 4f 6e 20 74 68 65 |tput...L|P.On the|
|000060b0| 20 36 74 68 20 6c 69 6e | 65 2c 20 72 74 73 67 20 | 6th lin|e, rtsg |
|000060c0| 73 65 6e 64 73 20 63 73 | 61 6d 20 31 39 20 62 79 |sends cs|am 19 by|
|000060d0| 74 65 73 20 6f 66 20 64 | 61 74 61 20 28 62 79 74 |tes of d|ata (byt|
|000060e0| 65 73 20 32 20 74 68 72 | 6f 75 67 68 20 32 30 0a |es 2 thr|ough 20.|
|000060f0| 69 6e 20 74 68 65 20 72 | 74 73 67 20 5c 28 2d 3e |in the r|tsg \(->|
|00006100| 20 63 73 61 6d 20 73 69 | 64 65 20 6f 66 20 74 68 | csam si|de of th|
|00006110| 65 20 63 6f 6e 76 65 72 | 73 61 74 69 6f 6e 29 2e |e conver|sation).|
|00006120| 0a 54 68 65 20 50 55 53 | 48 20 66 6c 61 67 20 69 |.The PUS|H flag i|
|00006130| 73 20 73 65 74 20 69 6e | 20 74 68 65 20 70 61 63 |s set in| the pac|
|00006140| 6b 65 74 2e 0a 4f 6e 20 | 74 68 65 20 37 74 68 20 |ket..On |the 7th |
|00006150| 6c 69 6e 65 2c 20 63 73 | 61 6d 20 73 61 79 73 20 |line, cs|am says |
|00006160| 69 74 27 73 20 72 65 63 | 65 69 76 65 64 20 64 61 |it's rec|eived da|
|00006170| 74 61 20 73 65 6e 74 20 | 62 79 20 72 74 73 67 20 |ta sent |by rtsg |
|00006180| 75 70 20 74 6f 0a 62 75 | 74 20 6e 6f 74 20 69 6e |up to.bu|t not in|
|00006190| 63 6c 75 64 69 6e 67 20 | 62 79 74 65 20 32 31 2e |cluding |byte 21.|
|000061a0| 20 20 4d 6f 73 74 20 6f | 66 20 74 68 69 73 20 64 |  Most o|f this d|
|000061b0| 61 74 61 20 69 73 20 61 | 70 70 61 72 65 6e 74 6c |ata is a|pparentl|
|000061c0| 79 20 73 69 74 74 69 6e | 67 20 69 6e 20 74 68 65 |y sittin|g in the|
|000061d0| 0a 73 6f 63 6b 65 74 20 | 62 75 66 66 65 72 20 73 |.socket |buffer s|
|000061e0| 69 6e 63 65 20 63 73 61 | 6d 27 73 20 72 65 63 65 |ince csa|m's rece|
|000061f0| 69 76 65 20 77 69 6e 64 | 6f 77 20 68 61 73 20 67 |ive wind|ow has g|
|00006200| 6f 74 74 65 6e 20 31 39 | 20 62 79 74 65 73 20 73 |otten 19| bytes s|
|00006210| 6d 61 6c 6c 65 72 2e 0a | 43 73 61 6d 20 61 6c 73 |maller..|Csam als|
|00006220| 6f 20 73 65 6e 64 73 20 | 6f 6e 65 20 62 79 74 65 |o sends |one byte|
|00006230| 20 6f 66 20 64 61 74 61 | 20 74 6f 20 72 74 73 67 | of data| to rtsg|
|00006240| 20 69 6e 20 74 68 69 73 | 20 70 61 63 6b 65 74 2e | in this| packet.|
|00006250| 0a 4f 6e 20 74 68 65 20 | 38 74 68 20 61 6e 64 20 |.On the |8th and |
|00006260| 39 74 68 20 6c 69 6e 65 | 73 2c 0a 63 73 61 6d 20 |9th line|s,.csam |
|00006270| 73 65 6e 64 73 20 74 77 | 6f 20 62 79 74 65 73 20 |sends tw|o bytes |
|00006280| 6f 66 20 75 72 67 65 6e | 74 2c 20 70 75 73 68 65 |of urgen|t, pushe|
|00006290| 64 20 64 61 74 61 20 74 | 6f 20 72 74 73 67 2e 0a |d data t|o rtsg..|
|000062a0| 2e 48 44 0a 2e 42 0a 55 | 44 50 20 50 61 63 6b 65 |.HD..B.U|DP Packe|
|000062b0| 74 73 0a 2e 4c 50 0a 55 | 44 50 20 66 6f 72 6d 61 |ts..LP.U|DP forma|
|000062c0| 74 20 69 73 20 69 6c 6c | 75 73 74 72 61 74 65 64 |t is ill|ustrated|
|000062d0| 20 62 79 20 74 68 69 73 | 20 72 77 68 6f 20 70 61 | by this| rwho pa|
|000062e0| 63 6b 65 74 3a 0a 2e 52 | 53 0a 2e 6e 66 0a 2e 73 |cket:..R|S..nf..s|
|000062f0| 70 20 2e 35 0a 5c 66 28 | 43 57 61 63 74 69 6e 69 |p .5.\f(|CWactini|
|00006300| 64 65 2e 77 68 6f 20 3e | 20 62 72 6f 61 64 63 61 |de.who >| broadca|
|00006310| 73 74 2e 77 68 6f 3a 20 | 75 64 70 20 38 34 5c 66 |st.who: |udp 84\f|
|00006320| 50 0a 2e 73 70 20 2e 35 | 0a 2e 66 69 0a 2e 52 45 |P..sp .5|..fi..RE|
|00006330| 0a 54 68 69 73 20 73 61 | 79 73 20 74 68 61 74 20 |.This sa|ys that |
|00006340| 70 6f 72 74 20 5c 66 49 | 77 68 6f 5c 66 50 20 6f |port \fI|who\fP o|
|00006350| 6e 20 68 6f 73 74 20 5c | 66 49 61 63 74 69 6e 69 |n host \|fIactini|
|00006360| 64 65 5c 66 50 20 73 65 | 6e 74 20 61 20 75 64 70 |de\fP se|nt a udp|
|00006370| 0a 64 61 74 61 67 72 61 | 6d 20 74 6f 20 70 6f 72 |.datagra|m to por|
|00006380| 74 20 5c 66 49 77 68 6f | 5c 66 50 20 6f 6e 20 68 |t \fIwho|\fP on h|
|00006390| 6f 73 74 20 5c 66 49 62 | 72 6f 61 64 63 61 73 74 |ost \fIb|roadcast|
|000063a0| 5c 66 50 2c 20 74 68 65 | 20 49 6e 74 65 72 6e 65 |\fP, the| Interne|
|000063b0| 74 0a 62 72 6f 61 64 63 | 61 73 74 20 61 64 64 72 |t.broadc|ast addr|
|000063c0| 65 73 73 2e 20 20 54 68 | 65 20 70 61 63 6b 65 74 |ess.  Th|e packet|
|000063d0| 20 63 6f 6e 74 61 69 6e | 65 64 20 38 34 20 62 79 | contain|ed 84 by|
|000063e0| 74 65 73 20 6f 66 20 75 | 73 65 72 20 64 61 74 61 |tes of u|ser data|
|000063f0| 2e 0a 2e 4c 50 0a 53 6f | 6d 65 20 55 44 50 20 73 |...LP.So|me UDP s|
+--------+-------------------------+-------------------------+--------+--------+
Only 25.0 KB of data is shown above.