これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド ra です。
プログラム:
NAME
ra - 読んだ アーガス(8) データ。
COPYRIGHT
Copyright(c)2000-2003QoSient。 全著作権所有。
SYNOPSIS
ra
ra [ラオプション] [- フィルタ式]
DESCRIPTION
Ra 読み込み アーガス(8) どちらからのデータでも stdin、 argus-ファイル、またはリモートから argus サーバー,
オプションに基づいて、検出したレコードをフィルタリングします。 フィルター式 そしてどちらか
の内容を出力します アーガス(5) 遭遇したことを記録する (Linuxで言うところのstdout) またはそれらを書きます
中に出て アーガス(5) データファイル。
OPTIONS
-A ASCII 出力を生成するときに、アプリケーションのバイト カウントを出力します。
-b コンパイルされたトランザクション一致コードを標準出力にダンプして停止します。 これは
フィルター式のデバッグに役立ちます。
-C [ホスト:]
リモート Cisco Netflow にオプションのホストと必要なポート番号を指定します。
レコードソース。 これにより、 ra(1) UDP ソケットを開き、ホストにバインドし、
指定されたポートを使用して、開いているソケットから Cisco Netflow レコードを読み取ろうとします。
-d
指定した枚数を印刷する ユーザーデータキャプチャバッファから。 の
value には数値、またはいずれかのバイト数を指定する式を指定できます。
ソースまたは宛先バッファ。 フォーマットには次のものが含まれます。
-d 32 src および dst バッファーから 32 バイトを出力します。
-d s24 src バッファから 24 バイトを出力します
-d d16 dst バッファから 16 バイトを出力します。
-d s32:d8 は src バッファから 32 バイトを出力し、
dst バッファからの 8 バイト
-D
に対応するデバッグ情報を出力します プログラムがコンパイルされた場合は stderr に
デバッグ印刷をサポートします。 レベルが上がるとデバッグの量も増えます
情報 ra(1) 印刷します。 値の範囲は 1 ~ 8 です。
-E
コマンドの最後にフィルター式を使用する場合、このオプションにより、 ra(1)
フィルタによって拒否されたレコードをに書き込む
-F
構成情報のソースとして。 このファイルの形式は次のとおりです
と同じ ラルク(5)。 読み取られたデータは、 以前の設定をオーバーライドします
情報を表示します。
-h すべての引数の説明を出力します。
-n ホストとサービスの番号を名前に変換しないでください。 -nn の翻訳を抑制します
プロトコル番号も同様です。
-p
印刷物 時間の小数部の精度の単位数。
-q 静音モードで実行します。 レコードの内容を出力しないように Ra を構成します。 これは可能です
-T および -a オプションと一緒に使用すると、それぞれを出力せずに集計アクティビティをサポートできます。
入力レコード。
-r <ファイル file ...> -
データの読み取り元 コマンドラインで指定された順序で。 '-'は標準入力を表します。
このオプションには多くの引数を指定できるため、「-」で終了する必要があります。 の
後続のオプションの「-」で十分です。 ラは読める gzip(1), bzip2(1)
圧縮する(1) 圧縮されたデータ ファイル。
-R 応答データが利用可能な場合は印刷します。 このオプションは、ICMP、ARP、および BOOTP トラフィックに適用されます
これらのプロトコル固有のクエリに対する応答を示します。
-s <[-][[+[#]]フィールド ...> -
特定します フィールド 印刷する。 Ra は、デフォルトの印刷フィールド リストを使用します。
フィールドでは、このリストを完全に置き換えることも、既存のデフォルトを変更することもできます。
オプションの「-」および「+[#]」形式のコマンドを使用して、リストを出力します。 利用可能な
印刷するフィールドは次のとおりです。
開始時刻、最終時刻、カウント、期間、avgdur、
サドル、パパ、プロト、スポーツ、dport、ipid、
stos、dtos、sttl、dttl、バイト、sbytes、dbytes、
pkts、spkts、dpkts、負荷、損失、レート、
srcid、ind、mac、dir、ジッター、ステータス、ユーザー、
勝利、トランス、シーケンス、VLAN、MPLS
例は次のとおりです。
-s srcaddr は送信元アドレスのみを出力します。
-s -bytes は、リストから bytes フィールドを削除します。
-s +2srcid は、MAC アドレスを 2 番目のフィールドとして追加します。
-s mac pkts は、MAC アドレスと src および dst の pkt カウントを出力します。
-S
リモートを指定する argus サーバー 。 オプションを使用します
-t
特定します <時間 範囲> マッチング用 アーガス(5) 記録。 の構文は、 <時間
範囲> 次のとおりです。
時間指定[-時間指定]
時間指定: [[[yyyy/]mm/]dd.]hh[:mm[:ss]]
[yyyy/]mm/dd
-%d{yMdhms}
例は次のとおりです。
-t 各日午後 14 時から午後 2 時まで 3 試合
-t 23.11:10-14 11:10:00 - 2日午後23時
-t 11/23 23 月 XNUMX 日のすべての記録
-t 1999/01/23.10 10 年 11 月 23 日午前 1999 ~ XNUMX 時
-t -10m は 10 分前から現在までに一致します。
-t -2h5m-2h は 2 時間 5 分前の範囲に一致します
2時間前まで。
-T
読む アーガス(5) リモートサーバーから 時間の。
-u UTC 時間形式を使用して時間値を書き出します。
-w
一致するデータを書き出す で アーガス ファイル形式。 アン 出力ファイル 「-」の指示
ra 書くために アーガス(5) レコードを標準出力に保存し、「チェーン」を可能にします ラ* スタイルコマンド
一緒に。
-z Print Argus TCP 状態は TCP トランザクションごとに変化します。 値は次のとおりです。
「s」 - シンが送信されました
「S」 - 同期確認済み
「E」 - TCP が確立されました
'f' - Fin 送信済み (FIN 待機状態 1)
「F」 - Fin 確認済み (FIN 待機状態 2)
「R」 - TCP リセット
-Z
実際の TCP フラグ値を出力します。 <'s'rc | 'd'st | 'b'o>。
「F」 - フィン
「S」 - シン
「R」 - リセット
'P' - プッシュ
「A」 - アック
「U」 - 緊急ポインタ
'7' - 未定義の 7 番目のビットセット
'8' - 未定義の 8 番目のビットセット
フィルタ 表現
オプション処理後に引数が残っている場合、コレクションは単一のコレクションとして解釈されます。
filter 表現。 引数の終わりを示すために、引数の前に「-」を付けることをお勧めします。
フィルター式がコマンドラインに追加されます。
フィルター式は、どれを指定するかを指定します。 アーガス(5) レコードが処理のために選択されます。
ない場合 表現 指定されている場合はすべてのレコードが選択され、それ以外の場合はそれらのレコードのみが選択されます。
which 表現 is `true' と表示されます。
構文は、次の式の構文とよく似ています。 tcpdump(1)、tcpdumpとして
コンパイラは アーガス(5) フィルター式コンパイラ。 のセマンティクス
tcpdump(1)の トランザクション レコードに適用される場合、パケット フィルターの式が異なります
フィルタリングのため、いくつかの大きな違いがあります。
当学校区の 表現 XNUMX つ以上で構成されます プリミティブ。 通常、プリミティブは次のもので構成されます。 id
(名前または番号) の前に XNUMX つ以上の修飾子が続きます。 XNUMX種類あります
修飾子:
type 修飾子は、ID 名または番号がどのようなものを指すかを示します。 考えられるタイプ
srcid, host, net, ポート, TOS, TTL, VID, ミッド.
例: 「srcid isis」、「ホスト スフィンクス」、「ネット 192.168」、「ポート ドメイン」、「ttl 1」。 もしそこにあるなら
型修飾子がありません。 host 想定されます。
DIR 修飾子は、特定の転送方向を指定します。 an id。 可能
方向は SRC, DST, SRC or DST SRC DST。 例: `src spynx'、`dst net
192.168'、`src または dst ポート ftp'、`src および dst tos 0x0a'、`src または dst vid 0x12`。 もし
dir 修飾子はありません。 SRC or DST 想定されます。
プロト 修飾子は、一致を特定のプロトコルに制限します。 可能な値は次のとおりです
で指定 / etc / protocols システムファイル。 が前にある場合 エーテル、プロトコル
有効な名前と番号は ./include/ethernames.h で指定されます。
上記に加えて、これに従わない特別な「プリミティブ」キーワードがいくつかあります。
パターン: ゲートウェイ, マルチキャスト, 放送。 これらすべてについて以下で説明します。
より複雑なフィルター式は、単語を使用して構築されます。 , or 結合します
プリミティブ。 たとえば、「ホスト foo であり、ポート ftp ではなく、ポート ftp-data ではありません」。 入力を省略するには、
同一の修飾子リストは省略できます。 例: 「tcp dst ポート ftp または ftp-data またはドメイン」
これは、「tcp dst port ftp または tcp dst port ftp-data または tcp dst port domain」とまったく同じです。
許容されるプリミティブは次のとおりです。
srcid 議論
Argus レコードの argus 識別子フィールドが srcid、IP である可能性があります
アドレス、名前、または XNUMX 進数/XNUMX 進数。
DST host host
Argus レコードの IP 宛先フィールドが次の場合は True host、どちらでもかまいません
住所とか名前とか。
SRC host host
Argus レコードの IP ソース フィールドが次の場合は True host.
host host
Argus レコードの IP 送信元または宛先が次の場合は True host。 のいずれか
上記のホスト表現の前にキーワードを追加できます。 ip, arpまたは ラップ as
に:
ip host host
これは次と同等です:
エーテル プロト \ip host host
If host 複数の IP アドレスを持つ名前である場合、各アドレスがチェックされます。
一致しています。
エーテル DST イーホスト
イーサネット宛先アドレスが次の場合は True イーホスト. イーホスト からの名前のいずれかである可能性があります
/etc/ethers または数値 (「 エーテル(3N) 数値形式の場合)。
エーテル SRC イーホスト
イーサネット送信元アドレスが次の場合は True イーホスト.
エーテル host イーホスト
イーサネット送信元アドレスまたは宛先アドレスのいずれかが イーホスト.
ゲートウェイ host
トランザクションが使用された場合は True host ゲートウェイとして。 つまり、イーサネット ソースまたは
宛先アドレスは host しかし、IP 送信元も IP 宛先も
host. 主催者 名前である必要があり、両方に存在する必要があります /etc/hosts および/etc/ethers。
(同等の表現は
エーテル host イーホスト host host
これは、名前または番号とともに使用できます。 host / イーホスト.)
DST net net
Argus レコードの IP 宛先アドレスのネットワーク番号が次の場合は True。 net,
これは住所または名前のいずれかです。
SRC net net
Argus レコードの送信元 IP アドレスのネットワーク番号が次の場合は True。 net.
net net
Argus レコードの送信元 IP アドレスまたは宛先 IP アドレスのいずれかに
のネットワーク番号 net.
DST ポート ポート
ネットワーク トランザクションが ip/tcp または ip/udp で、宛先ポートがある場合は True
の値 ポートを選択します。 ポート で使用される番号または名前を指定できます /etc/services (参照してください
TCP(4P)と UDP(4P))。 名前を使用する場合、ポート番号とプロトコルの両方が使用されます。
チェックした。 番号またはあいまいな名前が使用された場合は、ポート番号のみがチェックされます
(例えば、 DST ポート 513 tcp/login トラフィックと udp/who トラフィックの両方を出力します。 ポート
ドメイン tcp/domain トラフィックと udp/domain トラフィックの両方を出力します)。
SRC ポート ポート
ネットワーク トランザクションの送信元ポート値が次の場合は True ポート.
ポート ポート
Argus レコードの送信元ポートまたは宛先ポートのいずれかが ポート。 のいずれか
上記のポート表現の前にキーワードを追加できます。 TCP or UDP、のように:
TCP SRC ポート ポート
これは tcp 接続のみに一致します。
ip プロト
Argus レコードが IP トランザクションである場合は True (「 ip(4P)) のプロトコル タイプ
. プロトコル 数値または次のいずれかの文字列値を指定できます。
/etc/プロトコルスク.
マルチキャスト
ネットワーク トランザクションに IP マルチキャスト アドレスが関与する場合は True。 指定することで
イーサ マルチキャストでは、イーサネット マルチキャストに関係する argus レコードを選択できます
住所。
放送
ネットワーク トランザクションに IP ブロードキャスト アドレスが含まれる場合は True。 指定することで
イーサ ブロードキャストでは、イーサネット ブロードキャストを含む argus レコードを選択できます
住所。
エーテル プロト
Argus レコードが ether タイプの場合は True . プロトコル 数字または
みたいな名前 ip, arpまたは ラップ。 これらの識別子はキーワードでもあるため、次のようにする必要があることに注意してください。
バックスラッシュ (\) でエスケープしました。
DST TTL 数
Argus レコードの宛先 TTL が次の場合は True 数.
SRC TTL 数
Argus レコードのソース TTL が次の場合は True 数.
TTL 数
Argus レコードの送信元または宛先 TTL のいずれかが等しい場合は True 数.
DST TOS 数
Argus レコードの宛先 TOS が次の場合は True 数.
SRC TOS 数
Argus レコードのソース TOS が次の場合は True 数.
TOS 数
Argus レコードの送信元または宛先の TOS が次の場合に True になります。 数.
DST VID 数
Argus レコードの宛先 VLAN ID が等しい場合は True 数.
SRC VID 数
Argus レコードのソース VLAN ID が等しい場合は True 数.
VID 数
Argus レコードの送信元 VLAN ID または宛先 VLAN ID のいずれかが等しい場合は True 数.
DST ミッド 数
Argus レコードの宛先 MPLS ラベルが次の場合は True 数.
SRC ミッド 数
Argus レコードのソース MPLS ラベルが次の場合は True 数.
ミッド 数
Argus レコードの送信元または宛先の MPLS ラベルが次の場合に True になります。
数.
Ra フィルター式は、フロー状態に固有で使用できるプリミティブをサポートします。
生成時にこれらの状態にあったフロー レコードを選択します。 通常の,
wait , タイムアウト, 東 or とともに
断片化が発生したフローを選択するプリミティブ。 断片 激しく
フロー中に複数の MAC アドレスのペアを使用したフローの選択のサポート
一生。 マルチパス
TCP フローに固有のプリミティブがサポートされています。 シン, シナック, データ, ecn, フィン, フィナック,
リセット, 再転送, 故障中 ウィンシャット
ICMP フローに固有のプリミティブがサポートされています。 echo, 届かない, リダイレクト 時限
一部のプリミティブでは、方向修飾子が適切です。 これらは 断片, リセット,
再転送, 故障中 ウィンシャット
プリミティブは以下を使用して組み合わせることができます。
プリミティブと演算子の括弧で囲まれたグループ (括弧は、
シェルでエスケープする必要があります)。
否定 (`!'または ` ')。
連結 (` ')。
交互(`or')。
否定が最も優先されます。 交互と連結は同じ優先順位を持ち、
左から右に関連付けます。 明示的なことに注意してください 現在は、並列ではなくトークンが使用されています。
連結に必要です。
キーワードを指定せずに識別子を指定した場合は、最新のキーワードが想定されます。 のために
例、
host スフィンクス アヌビス
略です
host スフィンクス host アヌビス
混同すべきではありません
( host スフィンクス or アヌビス )
式の引数を渡すことができます ra(1) 単一の引数または複数の引数として
引数のうち、都合のよい方を選択してください。 通常、式にシェルが含まれる場合、
メタキャラクターを単一の引用符で囲んだ引数として渡す方が簡単です。 複数の引数
解析される前にスペースで連結されます。
スタートアップ 処理
Ra 設定ファイルを検索することから始まります .rarc 最初のディレクトリで、 $アーグスホーム
その後 $ HOME。 もし .rarc が見つかると、ファイル内で指定されたすべての変数が設定されます。
Ra 次に、コマンド ライン オプションを解析し、それに応じて内部変数を設定します。
構成ファイルがコマンドラインで指定されている場合は、「-f」を使用します。 " オプション、
この .rarc 形式のファイル内の値は、他のすべての値よりも優先されます。
例
ホスト「narly.wave.com」との間のすべての TCP トランザクションをレポートし、トランザクション データを読み取る
from argus-ファイル 引数.データ:
ra -r アーガス.データ - TCP host narly.wave.com
作ります argus-ファイル データを使用した、ホスト nimrod に関係するすべての ICMP イベントを含む icmp.log
from argus-ファイルですが、トランザクションデータを読み取るのは stdin:
cat argus-ファイル | ra -r - -w icmp.log - icmp host ニムロッド
出力 FORMAT
以下は、出力形式の簡単な説明です。 ra トランザクションを報告する
さまざまな詳細レベルのデータ。 一般的な形式は次のとおりです。
時間 プロト シュシュ DIR dsthost [カウント] status
時間
のフォーマット 時間 フィールドは、.rarc ファイルによってサポートされる構文を使用して指定されます。
ルーチン 現地時間(3V)。 デフォルトは アーガス トランザクションデータには両方が含まれます
トランザクションの開始時間と終了時間 (マイクロ秒単位の精度)。 しかし、 ra
のステータスに応じて、これらの日付のうち XNUMX つだけを出力します。 アーガス サーバ。 いつ
アーガス サーバーはデフォルト モードで実行されており、 ra トランザクションの開始時間を報告します。
サーバーが DETAIL モードの場合、トランザクションの終了時刻が報告されます。
mac.アドレス
mac.アドレス はオプションのフィールドであり、 -m フラグ。 mac.アドレス 表します
特定のトランザクションで確認された最初の送信元および宛先 MAC アドレス。 これら
アドレスは ホスト.ポート フィールドなので方向指示器が必要です
送信元 MAC アドレスと宛先 MAC アドレスを区別します。
プロト [オプション プロトコル]
当学校区の プロト インジケーターは XNUMX つのフィールドで構成されます。 XNUMX つ目はプロトコル固有のもので、
指定は次のとおりです。
m - MPLS カプセル化フロー
q - 802.1Q カプセル化フロー
p - PPP over Enternet のカプセル化されたフロー
E - 複数のカプセル化/タグ
s - 送信元 TCP パケットの再送信数
d - 宛先 TCP パケット再送信数
* - Src と Dst の両方の TCP 再送信
i - 送信元 TCP パケットの順序が乱れています
r - Dst TCP パケットの順序が乱れています
& - Src パケットと Dst パケットの両方が順序が正しくありません
S - 送信元 TCP ウィンドウの終了
D - Dst TCP ウィンドウの閉鎖
@ - Src ウィンドウと Dst ウィンドウの両方を閉じる
x - 送信元 TCP の明示的な輻輳通知
t - 宛先 TCP ECN
E - 送信元 ECN と送信先 ECN の両方
M - 複数の物理層パス
I - このフローにマッピングされた ICMP イベント
S - IP オプションの厳密なソース ルート
L - IP オプション ルーズ ソース ルート
T - IP オプションのタイムスタンプ
+ - IP オプション セキュリティ
R - IP オプション ルートの記録
A - IP オプション ルーター アラート
O - 複数の IP オプションが設定されています
E - 不明な IP オプション セット
F - 断片が見られる
f - 部分フラグメント
V - フラグメントの重複が見られる
XNUMX 番目のフィールドは、トランザクションで使用される上位プロトコルを示します。 このフィールド
使用されるプロトコルの正式名の最初の 4 文字が含まれます。
RFC-1700で定義されています。 Argus はリアルタイム トランスポート プロトコルを検出しようとします。
使用されているとき。 RTP に遭遇すると、この用途での使用が示されます。
フィールドに文字列「rtp」を入力します。 の使用 -n オプションを XNUMX 回 (-nn) 指定すると、
表示される実際のプロトコル番号。
host
当学校区の host フィールドはプロトコルに依存し、すべてのプロトコルに IP が含まれます。
住所/名前。 TCP および UDP の場合、フィールドにはポート番号/名前も含まれます。
ピリオドで区切ります。
DIR
当学校区の DIR フィールドには、最も適切に判断できるトランザクションの方向が含まれます。
データから取得され、どのホストが送信しているかを示すために使用されます。 TCP の場合、ディレクトリは
フィールドは、TCP 接続の実際のソースと中央の文字を示します。
トランザクションの状態を示します。
- - トランザクションは正常でした
| - トランザクションがリセットされました
o - トランザクションがタイムアウトしました。
? - 取引の方向性は不明です。
カウント
カウント はオプションのフィールドであり、 -c オプション。 フィールドは 4 つあり、
生産されます。 最初の 2 つはパケット数、最後の 2 つはバイト数です。
特定のトランザクションの場合。 フィールドは前のホスト フィールドとペアになっています。
および は、それぞれのホストによって送信されたパケットを表します。
status
当学校区の status フィールドは、トランザクション レポートの基本ステータスを示します。
プロトコルに依存します。 ICMP を除くすべてのプロトコルについて、このフィールドは
トランザクションの基本的な状態。
要求|INT (リクエスト|初期)
これは、これが 初期 トランザクションのステータスレポートが表示されます
あるときだけ argus サーバー 詳細モードになっています。 TCP 接続の場合、これは REQ,
接続が要求されていることを示します。 コネクションレス型プロトコルの場合、
UDPなど、これは INT.
ACC (受け入れられました)
これは、リクエスト/レスポンス条件が発生し、トランザクションが完了したことを示します。
XNUMX つのホスト間で検出されました。 TCP の場合、これは接続が
リクエストが応答され、接続が受け入れられます。 これは見られるだけです
時 argus サーバー 詳細モードになっています。 コネクションレス型プロトコルの場合、この状態は
XNUMX つのホスト間で単一のパケット交換が行われたことを示します。
リクエスト/レスポンストランザクションとして認められます。
EST|CON (確立|接続)
このレコード タイプは、報告されたトランザクションがアクティブであり、すでに実行されていることを示します。
確立されているか、継続されています。 これは、次のステータスレポートとして解釈されるべきです。
現在アクティブなトランザクション。 TCP の場合、EST ステータスは DETAIL モードでのみ表示されます。
接続に対する XNUMX ウェイ ハンドシェイクが完了したことを示します。
CLO (閉まっている)
TCP 固有のこのレコード タイプは、TCP 接続が正常に終了したことを示します。
TIM (タイムアウト)
期間中、このトランザクションに関連するアクティビティは見られませんでした。 アーガス サーバーのタイムアウト
このプロトコルの期間。 このステータスは、パケットが記録されている場合にのみ表示されます。
このトランザクションの最後のレポート以降。
ICMP プロトコルの場合、 status フィールドには、ICMP タイプの特定の側面が表示されます。 ICMP
status には次の値を指定できます。
ECO エコーリクエスト
ECR エコー応答
SRC ソースクエンチ
RED リダイレクト
RTA ルーターのアドバタイズメント
RTS ルーターの要請
TXD 時間を超過しました
PAR パラメータの問題
TST タイムスタンプリクエスト
TSR タイムスタンプ応答
IRQ 情報請求
IRR 情報返信
MAS マスクリクエスト
MSR マスク返信
URN 到達不能なネットワーク
うーん 到達不能なホスト
URP 到達不能なポート
URF 到達不可能なニーズの断片化
URS 到達不能なソースに失敗しました
ウルヌ 到達不能な DST ネットワークが不明です
ウルフ 到達不能な DST ホストが不明です
ウリソ 到達不能なソースホストが分離されました
URNPRO 到達不可能なネットワーク管理は禁止されています
ウルプロ 到達不能なホストは管理上禁止されています
ウルントス 到達不能なネットワーク TOS は禁止されています
ウルトス 到達不能なホスト TOS は禁止されています
アーフィル 到達不能な管理フィルター
ウプレ 到達不能な優先順位違反
アーカット 到達不能な優先カットオフ
出力 例
これらの例は典型的なものを示しています ra 出力を示し、以下に見られるさまざまなバリエーションを示します。
アーガス データ。 これ ra 出力は、 -n 数値を抑制するオプション
翻訳。
木 12/29 06:40:32 S TCP 132.3.31.15.6439 -> 12.23.14.77.23 CLO
これは、ホスト 12.23.14.77 の Telnet ポートに対する通常の TCP トランザクションです。 IPオプション
厳密なソースルートが見られました。
木 12/29 06:40:32 TCP 132.3.31.15.6200 <| 12.23.14.77.25 RST
ホスト 12.23.14.77 の smtp ポートからのこの tcp トランザクションは、 RESETということを
取引が拒否されました。
木 12/29 03:39:05 M IGMP 12.88.14.10 <-> 128.2.2.10 WITH
これは IGMP トランザクション ステータス レポートであり、通常は MBONE トラフィックで表示されます。 ありました
トランザクションをサポートするために使用される複数の送信元と宛先の MAC アドレスのペア、
ルーティング ループの可能性を示唆しています。
木 12/29 06:40:05 * TCP 12.23.14.23.1043 <-> 12.23.14.27.6000 TIM
これは X-Windows トランザクションです。 タイムアウトしました。 パケットが再送信されました
接続。
木 12/29 07:42:09 UDP 12.9.1.115.2262 -> 28.12.141.6.139 INT
これは、初期の netbios UDP トランザクション ステータス レポートであり、これが
このトランザクションで最初に検出されたデータグラム。
木 12/29 06:42:09 icmp 12.9.1.115 <-> 12.68.5.127 ECO
この例は、ホスト 12.9.1.115 の「ping」とその応答を表しています。
次の例は、 ra 先行する Arp と
リモートからの読み取り中の DNS リクエスト argus サーバー。 CLO レポートの「*」は、次のことを示します。
トランザクション中に少なくとも XNUMX つの TCP パケットが再送信されたこと。 この中のホスト名は
例は架空のものです。
% ra -S argus サーバー i.qosient.com をホストします
ra: argus-server ポート 561 を試行しています
ra: 接続された Argus バージョン 2.0
土曜日 12/03 15:29:38 arp i.qosient.com 誰が dsn.qosient.com INT
土曜日 12/03 15:29:39 udp i.qosient.com.1542 <-> dns.qosient.53 INT
土曜日 12/03 15:29:39 arp i.qosient.com who-has qosient.com INT
土曜日 12/03 15:29:39 * tcp i.qosient.com.1543 -> qosient.com.smtp CLO
作者
カーターブラード([メール保護]).
onworks.net サービスを使用してオンラインで RA を使用する
