זוהי הפקודה bittwiste שניתן להריץ בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות החינמיות שלנו כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS.
תָכְנִית:
שֵׁם
טוויסט ביט -- עורך קבצי לכידת pcap
תַקצִיר
טוויסט ביט [ -I קלט ] [ -O תפוקה ] [ -L שכבה ] [ -X מטען ]
[ -C ] [ -M סוג קישור ] [ -D לקזז ] [ -R רכס ]
[ -S מסגרת זמן ] [ -T כותרת ]
[ אפשרויות ספציפיות לכותרת ] [ -h ]
תיאור
מסמך זה מתאר את טוויסט ביט תוכנית, ה pcap(3) עורך קבצי לכידה. ביטוויסט
נועד לעבוד רק עם מסגרת Ethernet, לדוגמה קישור מסוג DLT_EN10MB ב pcap(3), עם א
גודל מסגרת מקסימלי של 1514 בתים, שווה ערך ל-MTU של 1500 בתים, 14 בתים עבור
כותרת אתרנט.
ביטוויסט יכול כעת לערוך כותרות Ethernet, ARP, IP, ICMP, TCP ו-UDP. אם מופעל עם
מה היא -X דגל, באפשרותך להוסיף מטען משלך לאחר כל אחת מהכותרות הללו; מצוין באמצעות
מה היא -L ו -T דגל. ביטוויסט ירוץ, אם לא ירוץ עם ה- -C דגל, חשב מחדש את סכומי הבדיקה
עבור חבילות IP, ICMP, TCP ו-UDP, למעט הפרגמנט האחרון של IP מקוטע
דאטגרם; טוויסט ביט לא תומך כרגע בתיקון סכום בדיקה עבור הפרגמנט האחרון
של נתוני IP מקוטעים. בעת ניתוח החבילות בקובץ מעקב, טוויסט ביט יצטרך
דלג, כלומר כתוב לקובץ הפלט כפי שהוא, כל חבילה מקוצרת, לדוגמה, חבילת ICMP
עם אורך לכידה של 25 בתים (אנו זקוקים לפחות ל-28 בתים; 14 בתים עבור Ethernet
כותרת, מינימום 20 בתים עבור כותרת IP, ו-4 בתים עבור כותרת ICMP) אינה נותנת מספיק
מידע על כותרת ה-ICMP שלה עבור טוויסט ביט לקרוא ולשנות אותו. במקרה זה, אתה יכול
לנצל את -L ו -T דגל כדי להעתיק את החבילה המקורית לכותרת ה-IP שלה ולצרף את שלך
כותרת ICMP מותאמת אישית ונתונים לחבילה באמצעות -X דגל. בעת ציון מטען
שמכסה את כותרת ה-ICMP, TCP או UDP ואת הנתונים שלה, ניתן להשתמש באפסים, לדוגמה 0000 עבור 2
בתים של אפסים, עבור סכום בדיקת הכותרת אשר לאחר מכן מתוקן אוטומטית על ידי
טוויסט ביט.
כדי לפשט את אופן הגדרת האפשרויות, ניתן לערוך רק חבילות של
סוג ספציפי שסופק ל- -T דגל לכל ביצוע של טוויסט ביט על קובץ מעקב. ב
בנוסף, ה -T הדגל חייב להופיע אחרון מבין האפשרויות הכלליות שהן ה -I, -O, -L,
-X, -C, -M, -D, -R ו -S דגל.
אפשרויות
-I קלט
קלט קובץ מעקב מבוסס pcap.
-O תפוקה
קובץ מעקב פלט.
-L שכבה
העתק עד לסכום שצוין שכבה ולמחוק את הנתונים הנותרים. ערך עבור שכבה צריך
להיות 2, 3 או 4 כאשר 2 עבור Ethernet, 3 עבור ARP או IP, ו-4 עבור ICMP, TCP או
UDP
-X מטען
צרף מטען בספרות הקסדצימליות עד סוף כל חבילה.
דוגמא: -X 0302ad1
-X הדגל מתעלם אם -L ו -T דגלים לא צוינו.
-C ציין דגל זה כדי להשבית תיקון סכום בדיקה. תיקון סכום בדיקה רלוונטי
עבור חבילות IP, ICMP, TCP ו-UDP לא מקוטעות בלבד.
-M סוג קישור
החלף את סוג קישור מאוחסן בכותרת קובץ pcap. בדרך כלל, ערך עבור סוג קישור
הוא 1 עבור אתרנט.
דוגמה: -M 12 (עבור IP גולמי), -M 51 (עבור PPPoE)
לרשימה המלאה, ראו:
http://www.tcpdump.org/linktypes.html
-D לקזז
מחק את הבייט שצוין לקזז מכל חבילה.
הבייט הראשון (החל מכותרת שכבת הקישור) מתחיל מ-1.
-L, -X, -C ו -T דגלים מתעלמים מהם אם -D דגל צוין.
דוגמא: -D 15-40, -D 10 או -D 18-9999
-R רכס
שמור רק את מה שצוין רכס של חבילות.
דוגמא: -R 5-21 או -R 9
-S מסגרת זמן
שמור רק את החבילות בתוך הזמן שצוין מסגרת זמן עם עד שנייה אחת
רזולוציה תוך שימוש בפורמט DD/MM/YYYY,HH:MM:SS לשעת התחלה וסיום ב
מסגרת זמן.
דוגמא: -S 22/10/2006,21:47:35-24/10/2006,13:16:05
-S הדגל מוערך לאחר -R דגל.
-T כותרת
ערוך רק את מה שצוין כותרתמילות מפתח אפשריות עבור כותרת הם, האת, ARP, ip,
icmp, TCP, או UDP. -T הדגל חייב להופיע אחרון מבין האפשרויות הכלליות.
-h מידע על גרסת ההדפסה והשימוש בה.
אפשרויות ספציפיות לכותרת
כל חבילה התואמת את הסוג שסופק ל -T הדגל משתנה בהתאם ל-
אפשרויות המתוארות להלן:
אפשרויות עבור האת (RFC 894):
-d DMAC or אומאק,nmac
כתובת MAC של היעד. דוגמה: -d 00:08:55:64:65:6a
If אומאק ו nmac מצוינים במקום זאת, כל המופעים של אומאק ב
שדה כתובת ה-MAC של היעד יוחלף ב- nmac.
-s סמאק or אומאק,nmac
כתובת MAC של המקור. דוגמה: -s 00:13:20:3e:ab:cf
If אומאק ו nmac מצוינים במקום זאת, כל המופעים של אומאק במקור
שדה כתובת ה-MAC יוחלף ב- nmac.
-t סוג
EtherType. מילות מפתח אפשריות עבור סוג הן, ip ו ARP בלבד.
אפשרויות עבור ARP (RFC 826):
-o opcode
קוד פעולה בערך שלם בין 0 ל-65535. לדוגמה, ניתן להגדיר
opcode ל-1 עבור בקשת ARP, 2 עבור תשובת ARP.
-s סמאק or אומאק,nmac
כתובת MAC של השולח. דוגמה: -s 00:13:20:3e:ab:cf
If אומאק ו nmac מצוינים במקום זאת, כל המופעים של אומאק בשולח
שדה כתובת ה-MAC יוחלף ב- nmac.
-p לגימה or אויפ,צְבִיטָה
כתובת ה-IP של השולח. דוגמה: -p 192.168.0.1
If אויפ ו צְבִיטָה מצוינים במקום זאת, כל המופעים של אויפ בכתובת ה-IP של השולח
שדה הכתובת יוחלף ב צְבִיטָה.
-t tmac or אומאק,nmac
כתובת MAC יעד. דוגמה: -t 00:08:55:64:65:6a
If אומאק ו nmac מצוינים במקום זאת, כל המופעים של אומאק במטרה
שדה כתובת ה-MAC יוחלף ב- nmac.
-q טיפ or אויפ,צְבִיטָה
כתובת IP של היעד. דוגמה: -q 192.168.0.2
If אויפ ו צְבִיטָה מצוינים במקום זאת, כל המופעים של אויפ בכתובת ה-IP של היעד
שדה הכתובת יוחלף ב צְבִיטָה.
אפשרויות עבור ip (RFC 791):
-i id
זיהוי בערכים שלמים בין 0 ל-65535.
-f דגלים
דגלי בקרה. תווים אפשריים עבור דגלים הם:
- : להסיר את כל הדגלים
r : הגדר את דגל השמור
d : הגדר את דגל "אל תפרק"
m : הגדר את דגל הפרגמנטים הרבים יותר
דוגמא: -f d
אם צוין אחד מהדגלים, כל הדגלים המקוריים יוסרו
באופן אוטומטי.
-o לקזז
קיזוז קטע בערך שלם בין 0 ל-7770. ערך עבור לקזז
מייצג את מספר מקטעי 64 הסיביות הכלולים במקטעים קודמים
שאסור שיעלה על 7770 (62160 בתים).
-t Ttl
זמן לחיות בערך שלם בין 0 ל-255 (מילישניות).
-p פרוטו
מספר פרוטוקול במספר שלם בין 0 ל-255. כמה פרוטוקולים נפוצים
המספרים הם:
1 פרוטוקול בקרת הודעות אינטרנט (ICMP)
6 פרוטוקול בקרת שידור (TCP)
17 פרוטוקול נתונים של משתמש (UDP)
לרשימה המלאה, ראו:
http://www.iana.org/assignments/protocol-numbers
-s לגימה or אויפ,צְבִיטָה
כתובת IP של המקור. דוגמה: -s 192.168.0.1
If אויפ ו צְבִיטָה מצוינים במקום זאת, כל המופעים של אויפ בכתובת ה-IP של המקור
שדה הכתובת יוחלף ב צְבִיטָה.
-d לטבול or אויפ,צְבִיטָה
כתובת IP של היעד. דוגמה: -d 192.168.0.2
If אויפ ו צְבִיטָה מצוינים במקום זאת, כל המופעים של אויפ ב
שדה כתובת ה-IP של היעד יוחלף ב- צְבִיטָה.
אפשרויות עבור icmp (RFC 792):
-t סוג
סוג ההודעה הוא ערך שלם בין 0 ל-255. כמה הודעות נפוצות הן:
0 תשובה הד
3 יעד בלתי ניתן להשגה
8 הד
11 : חלף הזמן
לרשימה המלאה, ראו:
http://www.iana.org/assignments/icmp-parameters
-c קוד
קוד שגיאה עבור הודעת ICMP זו הוא ערך שלם בין 0 ל-255.
דוגמא, קוד ל זמן חריג ההודעה עשויה לכלול אחת מהאפשרויות הבאות
ערכים:
0 חריגה מ-TTL המעבר
1 : חריגה מ-TTL להרכבה מחדש
לרשימה המלאה, ראו:
http://www.iana.org/assignments/icmp-parameters
אפשרויות עבור TCP (RFC 793):
-s ספורט or op,np
מספר יציאת המקור בערך שלם בין 0 ל-65535. אם op ו np יש לו
שצוין במקום זאת, כל המופעים של op בשדה יציאת המקור יהיה
הוחלף ב np.
-d dport or op,np
מספר יציאת יעד בערך שלם בין 0 ל-65535. אם op ו np
מצוינים במקום זאת, כל המופעים של op בשדה נמל היעד
יוחלף ב np.
-q seq
מספר רצף בערך שלם בין 0 ל-4294967295. אם סיבית הבקרה SYN
מוגדר, למשל תו s מסופק ל- -f דֶגֶל, seq מייצג את
מספר הרצף ההתחלתי (ISN) ובייט הנתונים הראשון הוא ISN + 1.
-a ack
מספר אישור בערך שלם בין 0 ל-4294967295. אם ACK
סיבית הבקרה מוגדרת, לדוגמה תו a מסופק ל- -f דֶגֶל, ack
מייצג את הערך של מספר הרצף הבא שהמקלט מקבל
מצפה לקבל.
-f דגלים
דגלי בקרה. תווים אפשריים עבור דגלים הם:
- : להסיר את כל הדגלים
u שדה המצביע הדחוף הוא משמעותי
a שדה ההכרה משמעותי
p פונקציית דחיפה
r : מאפס את החיבור
s מסנכרן את מספרי הרצף
f אין עוד נתונים מהשולח
דוגמא: -f s
אם צוין אחד מהדגלים, כל הדגלים המקוריים יוסרו
באופן אוטומטי.
-w לנצח
גודל החלון בערך שלם בין 0 ל-65535. אם סיבית הבקרה ACK מוגדרת,
דמות לדוגמה a מסופק ל- -f דֶגֶל, לנצח מייצג את מספר ה-
בייט נתונים, החל מזה המצוין במספר האישור
שדה שהמקבל מוכן לקבל.
-u דחוף
מצביע דחוף בערך שלם בין 0 ל-65535. אם סיבית הבקרה URG היא
קבוצה, למשל תו u מסופק ל- -f דֶגֶל, דחוף מייצג מצביע
שמצביע על בייט הנתונים הראשון לאחר הנתונים הדחופים.
אפשרויות עבור UDP (RFC 768):
-s ספורט or op,np
מספר יציאת המקור בערך שלם בין 0 ל-65535. אם op ו np יש לו
שצוין במקום זאת, כל המופעים של op בשדה יציאת המקור יהיה
הוחלף ב np.
-d dport or op,np
מספר יציאת יעד בערך שלם בין 0 ל-65535. אם op ו np
מצוינים במקום זאת, כל המופעים של op בשדה נמל היעד
יוחלף ב np.
השתמש ב-bittwiste באינטרנט באמצעות שירותי onworks.net