]> CyberLeo.Net >> Repos - FreeBSD/FreeBSD.git/blob - contrib/tcpdump/tcpdump.1
This commit was generated by cvs2svn to compensate for changes in r161657,
[FreeBSD/FreeBSD.git] / contrib / tcpdump / tcpdump.1
1 .\" @(#) $Header: /tcpdump/master/tcpdump/tcpdump.1,v 1.167.2.4 2005/05/02 21:27:34 guy Exp $ (LBL)
2 .\"
3 .\"     $NetBSD: tcpdump.8,v 1.9 2003/03/31 00:18:17 perry Exp $
4 .\"
5 .\" Copyright (c) 1987, 1988, 1989, 1990, 1991, 1992, 1994, 1995, 1996, 1997
6 .\"     The Regents of the University of California.  All rights reserved.
7 .\" All rights reserved.
8 .\"
9 .\" Redistribution and use in source and binary forms, with or without
10 .\" modification, are permitted provided that: (1) source code distributions
11 .\" retain the above copyright notice and this paragraph in its entirety, (2)
12 .\" distributions including binary code include the above copyright notice and
13 .\" this paragraph in its entirety in the documentation or other materials
14 .\" provided with the distribution, and (3) all advertising materials mentioning
15 .\" features or use of this software display the following acknowledgement:
16 .\" ``This product includes software developed by the University of California,
17 .\" Lawrence Berkeley Laboratory and its contributors.'' Neither the name of
18 .\" the University nor the names of its contributors may be used to endorse
19 .\" or promote products derived from this software without specific prior
20 .\" written permission.
21 .\" THIS SOFTWARE IS PROVIDED ``AS IS'' AND WITHOUT ANY EXPRESS OR IMPLIED
22 .\" WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF
23 .\" MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
24 .\"
25 .\" $FreeBSD$
26 .\"
27 .TH TCPDUMP 1  "18 April 2005"
28 .SH NAME
29 tcpdump \- dump traffic on a network
30 .SH SYNOPSIS
31 .na
32 .B tcpdump
33 [
34 .B \-AdDeflLnNOpqRStuUvxX
35 ] [
36 .B \-c
37 .I count
38 ]
39 .br
40 .ti +8
41 [
42 .B \-C
43 .I file_size
44 ] [
45 .B \-F
46 .I file
47 ]
48 .br
49 .ti +8
50 [
51 .B \-i
52 .I interface
53 ]
54 [
55 .B \-m
56 .I module
57 ]
58 [
59 .B \-M
60 .I secret
61 ]
62 .br
63 .ti +8
64 [
65 .B \-r
66 .I file
67 ]
68 [
69 .B \-s
70 .I snaplen
71 ]
72 [
73 .B \-T
74 .I type
75 ]
76 [
77 .B \-w
78 .I file
79 ]
80 .br
81 .ti +8
82 [
83 .B \-W
84 .I filecount
85 ]
86 .br
87 .ti +8
88 [
89 .B \-E
90 .I spi@ipaddr algo:secret,...
91 ]
92 .br
93 .ti +8
94 [
95 .B \-y
96 .I datalinktype
97 ]
98 [
99 .B \-Z
100 .I user
101 ]
102 .ti +8
103 [
104 .B \-y
105 .I datalinktype
106 ]
107 .ti +8
108 [
109 .I expression
110 ]
111 .br
112 .ad
113 .SH DESCRIPTION
114 .LP
115 \fITcpdump\fP prints out the headers of packets on a network interface
116 that match the boolean \fIexpression\fP.  It can also be run with the
117 .B \-w
118 flag, which causes it to save the packet data to a file for later
119 analysis, and/or with the
120 .B \-r
121 flag, which causes it to read from a saved packet file rather than to
122 read packets from a network interface.  In all cases, only packets that
123 match
124 .I expression
125 will be processed by
126 .IR tcpdump .
127 .LP
128 .I Tcpdump
129 will, if not run with the
130 .B \-c
131 flag, continue capturing packets until it is interrupted by a SIGINT
132 signal (generated, for example, by typing your interrupt character,
133 typically control-C) or a SIGTERM signal (typically generated with the
134 .BR kill (1)
135 command); if run with the
136 .B \-c
137 flag, it will capture packets until it is interrupted by a SIGINT or
138 SIGTERM signal or the specified number of packets have been processed.
139 .LP
140 When
141 .I tcpdump
142 finishes capturing packets, it will report counts of:
143 .IP
144 packets ``captured'' (this is the number of packets that
145 .I tcpdump
146 has received and processed);
147 .IP
148 packets ``received by filter'' (the meaning of this depends on the OS on
149 which you're running
150 .IR tcpdump ,
151 and possibly on the way the OS was configured - if a filter was
152 specified on the command line, on some OSes it counts packets regardless
153 of whether they were matched by the filter expression and, even if they
154 were matched by the filter expression, regardless of whether
155 .I tcpdump
156 has read and processed them yet, on other OSes it counts only packets that were
157 matched by the filter expression regardless of whether
158 .I tcpdump
159 has read and processed them yet, and on other OSes it counts only
160 packets that were matched by the filter expression and were processed by
161 .IR tcpdump );
162 .IP
163 packets ``dropped by kernel'' (this is the number of packets that were
164 dropped, due to a lack of buffer space, by the packet capture mechanism
165 in the OS on which
166 .I tcpdump
167 is running, if the OS reports that information to applications; if not,
168 it will be reported as 0).
169 .LP
170 On platforms that support the SIGINFO signal, such as most BSDs
171 (including Mac OS X) and Digital/Tru64 UNIX, it will report those counts
172 when it receives a SIGINFO signal (generated, for example, by typing
173 your ``status'' character, typically control-T, although on some
174 platforms, such as Mac OS X, the ``status'' character is not set by
175 default, so you must set it with
176 .BR stty (1)
177 in order to use it) and will continue capturing packets.
178 .LP
179 Reading packets from a network interface may require that you have
180 special privileges:
181 .TP
182 .B Under SunOS 3.x or 4.x with NIT or BPF:
183 You must have read access to
184 .I /dev/nit
185 or
186 .IR /dev/bpf* .
187 .TP
188 .B Under Solaris with DLPI:
189 You must have read/write access to the network pseudo device, e.g.
190 .IR /dev/le .
191 On at least some versions of Solaris, however, this is not sufficient to
192 allow
193 .I tcpdump
194 to capture in promiscuous mode; on those versions of Solaris, you must
195 be root, or
196 .I tcpdump
197 must be installed setuid to root, in order to capture in promiscuous
198 mode.  Note that, on many (perhaps all) interfaces, if you don't capture
199 in promiscuous mode, you will not see any outgoing packets, so a capture
200 not done in promiscuous mode may not be very useful.
201 .TP
202 .B Under HP-UX with DLPI:
203 You must be root or
204 .I tcpdump
205 must be installed setuid to root.
206 .TP
207 .B Under IRIX with snoop:
208 You must be root or
209 .I tcpdump
210 must be installed setuid to root.
211 .TP
212 .B Under Linux:
213 You must be root or
214 .I tcpdump
215 must be installed setuid to root (unless your distribution has a kernel
216 that supports capability bits such as CAP_NET_RAW and code to allow
217 those capability bits to be given to particular accounts and to cause
218 those bits to be set on a user's initial processes when they log in, in
219 which case you  must have CAP_NET_RAW in order to capture and
220 CAP_NET_ADMIN to enumerate network devices with, for example, the
221 .B \-D
222 flag).
223 .TP
224 .B Under ULTRIX and Digital UNIX/Tru64 UNIX:
225 Any user may capture network traffic with
226 .IR tcpdump .
227 However, no user (not even the super-user) can capture in promiscuous
228 mode on an interface unless the super-user has enabled promiscuous-mode
229 operation on that interface using
230 .IR pfconfig (8),
231 and no user (not even the super-user) can capture unicast traffic
232 received by or sent by the machine on an interface unless the super-user
233 has enabled copy-all-mode operation on that interface using
234 .IR pfconfig ,
235 so
236 .I useful
237 packet capture on an interface probably requires that either
238 promiscuous-mode or copy-all-mode operation, or both modes of
239 operation, be enabled on that interface.
240 .TP
241 .B Under BSD (this includes Mac OS X):
242 You must have read access to
243 .IR /dev/bpf* .
244 On BSDs with a devfs (this includes Mac OS X), this might involve more
245 than just having somebody with super-user access setting the ownership
246 or permissions on the BPF devices - it might involve configuring devfs
247 to set the ownership or permissions every time the system is booted,
248 if the system even supports that; if it doesn't support that, you might
249 have to find some other way to make that happen at boot time.
250 .LP
251 Reading a saved packet file doesn't require special privileges.
252 .SH OPTIONS
253 .TP
254 .B \-A
255 Print each packet (minus its link level header) in ASCII.  Handy for
256 capturing web pages.
257 .TP
258 .B \-c
259 Exit after receiving \fIcount\fP packets.
260 .TP
261 .B \-C
262 Before writing a raw packet to a savefile, check whether the file is
263 currently larger than \fIfile_size\fP and, if so, close the current
264 savefile and open a new one.  Savefiles after the first savefile will
265 have the name specified with the
266 .B \-w
267 flag, with a number after it, starting at 1 and continuing upward.
268 The units of \fIfile_size\fP are millions of bytes (1,000,000 bytes,
269 not 1,048,576 bytes).
270 .TP
271 .B \-d
272 Dump the compiled packet-matching code in a human readable form to
273 standard output and stop.
274 .TP
275 .B \-dd
276 Dump packet-matching code as a
277 .B C
278 program fragment.
279 .TP
280 .B \-ddd
281 Dump packet-matching code as decimal numbers (preceded with a count).
282 .TP
283 .B \-D
284 Print the list of the network interfaces available on the system and on
285 which
286 .I tcpdump
287 can capture packets.  For each network interface, a number and an
288 interface name, possibly followed by a text description of the
289 interface, is printed.  The interface name or the number can be supplied
290 to the
291 .B \-i
292 flag to specify an interface on which to capture.
293 .IP
294 This can be useful on systems that don't have a command to list them
295 (e.g., Windows systems, or UNIX systems lacking
296 .BR "ifconfig \-a" );
297 the number can be useful on Windows 2000 and later systems, where the
298 interface name is a somewhat complex string.
299 .IP
300 The
301 .B \-D
302 flag will not be supported if
303 .I tcpdump
304 was built with an older version of
305 .I libpcap
306 that lacks the
307 .B pcap_findalldevs()
308 function.
309 .TP
310 .B \-e
311 Print the link-level header on each dump line.
312 .TP
313 .B \-E
314 Use \fIspi@ipaddr algo:secret\fP for decrypting IPsec ESP packets that
315 are addressed to \fIaddr\fP and contain Security Parameter Index value
316 \fIspi\fP. This combination may be repeated with comma or newline seperation.
317 .IP
318 Note that setting the secret for IPv4 ESP packets is supported at this time.
319 .IP
320 Algorithms may be
321 \fBdes-cbc\fP,
322 \fB3des-cbc\fP,
323 \fBblowfish-cbc\fP,
324 \fBrc3-cbc\fP,
325 \fBcast128-cbc\fP, or
326 \fBnone\fP.
327 The default is \fBdes-cbc\fP.
328 The ability to decrypt packets is only present if \fItcpdump\fP was compiled
329 with cryptography enabled.
330 .IP
331 \fIsecret\fP is the ASCII text for ESP secret key. 
332 If preceeded by 0x, then a hex value will be read.
333 .IP
334 The option assumes RFC2406 ESP, not RFC1827 ESP.
335 The option is only for debugging purposes, and
336 the use of this option with a true `secret' key is discouraged.
337 By presenting IPsec secret key onto command line
338 you make it visible to others, via
339 .IR ps (1)
340 and other occasions.
341 .IP
342 In addition to the above syntax, the syntax \fIfile name\fP may be used
343 to have tcpdump read the provided file in. The file is opened upon 
344 receiving the first ESP packet, so any special permissions that tcpdump
345 may have been given should already have been given up.
346 .TP
347 .B \-f
348 Print `foreign' IPv4 addresses numerically rather than symbolically
349 (this option is intended to get around serious brain damage in
350 Sun's NIS server \(em usually it hangs forever translating non-local
351 internet numbers).
352 .IP
353 The test for `foreign' IPv4 addresses is done using the IPv4 address and
354 netmask of the interface on which capture is being done.  If that
355 address or netmask are not available, available, either because the
356 interface on which capture is being done has no address or netmask or
357 because the capture is being done on the Linux "any" interface, which
358 can capture on more than one interface, this option will not work
359 correctly.
360 .TP
361 .B \-F
362 Use \fIfile\fP as input for the filter expression.
363 An additional expression given on the command line is ignored.
364 .TP
365 .B \-i
366 Listen on \fIinterface\fP.
367 If unspecified, \fItcpdump\fP searches the system interface list for the
368 lowest numbered, configured up interface (excluding loopback).
369 Ties are broken by choosing the earliest match.
370 .IP
371 On Linux systems with 2.2 or later kernels, an
372 .I interface
373 argument of ``any'' can be used to capture packets from all interfaces.
374 Note that captures on the ``any'' device will not be done in promiscuous
375 mode.
376 .IP
377 If the
378 .B \-D
379 flag is supported, an interface number as printed by that flag can be
380 used as the
381 .I interface
382 argument.
383 .TP
384 .B \-l
385 Make stdout line buffered.
386 Useful if you want to see the data
387 while capturing it.
388 E.g.,
389 .br
390 ``tcpdump\ \ \-l\ \ |\ \ tee dat'' or
391 ``tcpdump\ \ \-l \ \ > dat\ \ &\ \ tail\ \ \-f\ \ dat''.
392 .TP
393 .B \-L
394 List the known data link types for the interface and exit.
395 .TP
396 .B \-m
397 Load SMI MIB module definitions from file \fImodule\fR.
398 This option
399 can be used several times to load several MIB modules into \fItcpdump\fP.
400 .TP
401 .B \-M
402 Use \fIsecret\fP as a shared secret for validating the digests found in
403 TCP segments with the TCP-MD5 option (RFC 2385), if present.
404 .TP
405 .B \-n
406 Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
407 .TP
408 .B \-N
409 Don't print domain name qualification of host names.
410 E.g.,
411 if you give this flag then \fItcpdump\fP will print ``nic''
412 instead of ``nic.ddn.mil''.
413 .TP
414 .B \-O
415 Do not run the packet-matching code optimizer.
416 This is useful only
417 if you suspect a bug in the optimizer.
418 .TP
419 .B \-p
420 \fIDon't\fP put the interface
421 into promiscuous mode.
422 Note that the interface might be in promiscuous
423 mode for some other reason; hence, `-p' cannot be used as an abbreviation for
424 `ether host {local-hw-addr} or ether broadcast'.
425 .TP
426 .B \-q
427 Quick (quiet?) output.
428 Print less protocol information so output
429 lines are shorter.
430 .TP
431 .B \-R
432 Assume ESP/AH packets to be based on old specification (RFC1825 to RFC1829).
433 If specified, \fItcpdump\fP will not print replay prevention field.
434 Since there is no protocol version field in ESP/AH specification,
435 \fItcpdump\fP cannot deduce the version of ESP/AH protocol.
436 .TP
437 .B \-r
438 Read packets from \fIfile\fR (which was created with the
439 .B \-w
440 option).
441 Standard input is used if \fIfile\fR is ``-''.
442 .TP
443 .B \-S
444 Print absolute, rather than relative, TCP sequence numbers.
445 .TP
446 .B \-s
447 Snarf \fIsnaplen\fP bytes of data from each packet rather than the
448 default of 68 (with SunOS's NIT, the minimum is actually 96).
449 68 bytes is adequate for IP, ICMP, TCP
450 and UDP but may truncate protocol information from name server and NFS
451 packets (see below).
452 Packets truncated because of a limited snapshot
453 are indicated in the output with ``[|\fIproto\fP]'', where \fIproto\fP
454 is the name of the protocol level at which the truncation has occurred.
455 Note that taking larger snapshots both increases
456 the amount of time it takes to process packets and, effectively,
457 decreases the amount of packet buffering.
458 This may cause packets to be
459 lost.
460 You should limit \fIsnaplen\fP to the smallest number that will
461 capture the protocol information you're interested in.
462 Setting
463 \fIsnaplen\fP to 0 means use the required length to catch whole packets.
464 .TP
465 .B \-T
466 Force packets selected by "\fIexpression\fP" to be interpreted the
467 specified \fItype\fR.
468 Currently known types are
469 \fBaodv\fR (Ad-hoc On-demand Distance Vector protocol),
470 \fBcnfp\fR (Cisco NetFlow protocol),
471 \fBrpc\fR (Remote Procedure Call),
472 \fBrtp\fR (Real-Time Applications protocol),
473 \fBrtcp\fR (Real-Time Applications control protocol),
474 \fBsnmp\fR (Simple Network Management Protocol),
475 \fBtftp\fR (Trivial File Transfer Protocol),
476 \fBvat\fR (Visual Audio Tool),
477 and
478 \fBwb\fR (distributed White Board).
479 .TP
480 .B \-t
481 \fIDon't\fP print a timestamp on each dump line.
482 .TP
483 .B \-tt
484 Print an unformatted timestamp on each dump line.
485 .TP
486 .B \-ttt
487 Print a delta (in micro-seconds) between current and previous line
488 on each dump line.
489 .TP
490 .B \-tttt
491 Print a timestamp in default format proceeded by date on each dump line.
492 .TP
493 .B \-u
494 Print undecoded NFS handles.
495 .TP
496 .B \-U
497 Make output saved via the
498 .B \-w
499 option ``packet-buffered''; i.e., as each packet is saved, it will be
500 written to the output file, rather than being written only when the
501 output buffer fills.
502 .IP
503 The
504 .B \-U
505 flag will not be supported if
506 .I tcpdump
507 was built with an older version of
508 .I libpcap
509 that lacks the
510 .B pcap_dump_flush()
511 function.
512 .TP
513 .B \-v
514 When parsing and printing, produce (slightly more) verbose output.
515 For example, the time to live,
516 identification, total length and options in an IP packet are printed.
517 Also enables additional packet integrity checks such as verifying the
518 IP and ICMP header checksum.
519 .IP
520 When writing to a file with the
521 .B \-w
522 option, report, every 10 seconds, the number of packets captured.
523 .TP
524 .B \-vv
525 Even more verbose output.
526 For example, additional fields are
527 printed from NFS reply packets, and SMB packets are fully decoded.
528 .TP
529 .B \-vvv
530 Even more verbose output.
531 For example,
532 telnet \fBSB\fP ... \fBSE\fP options
533 are printed in full.
534 With
535 .B \-X
536 Telnet options are printed in hex as well.
537 .TP
538 .B \-w
539 Write the raw packets to \fIfile\fR rather than parsing and printing
540 them out.
541 They can later be printed with the \-r option.
542 Standard output is used if \fIfile\fR is ``-''.
543 .TP
544 .B \-W
545 Used in conjunction with the 
546 .I \-C 
547 option, this will limit the number
548 of files created to the specified number, and begin overwriting files
549 from the beginning, thus creating a 'rotating' buffer. 
550 In addition, it will name
551 the files with enough leading 0s to support the maximum number of
552 files, allowing them to sort correctly.
553 .TP
554 .B \-x
555 Print each packet (minus its link level header) in hex.
556 The smaller of the entire packet or
557 .I snaplen
558 bytes will be printed.  Note that this is the entire link-layer
559 packet, so for link layers that pad (e.g. Ethernet), the padding bytes
560 will also be printed when the higher layer packet is shorter than the
561 required padding.
562 .TP
563 .B \-xx
564 Print each packet,
565 .I including
566 its link level header, in hex.
567 .TP
568 .B \-X
569 Print each packet (minus its link level header) in hex and ASCII.
570 This is very handy for analysing new protocols.
571 .TP
572 .B \-XX
573 Print each packet,
574 .I including
575 its link level header, in hex and ASCII.
576 .TP
577 .B \-y
578 Set the data link type to use while capturing packets to \fIdatalinktype\fP.
579 .TP
580 .B \-Z
581 Drops privileges (if root) and changes user ID to
582 .I user
583 and the group ID to the primary group of
584 .IR user .
585 .IP
586 This behavior can also be enabled by default at compile time.
587 .IP "\fI expression\fP"
588 .RS
589 selects which packets will be dumped.
590 If no \fIexpression\fP
591 is given, all packets on the net will be dumped.
592 Otherwise,
593 only packets for which \fIexpression\fP is `true' will be dumped.
594 .LP
595 The \fIexpression\fP consists of one or more
596 .I primitives.
597 Primitives usually consist of an
598 .I id
599 (name or number) preceded by one or more qualifiers.
600 There are three
601 different kinds of qualifier:
602 .IP \fItype\fP
603 qualifiers say what kind of thing the id name or number refers to.
604 Possible types are
605 .BR host ,
606 .B net ,
607 .B port
608 and
609 .BR portrange .
610 E.g., `host foo', `net 128.3', `port 20', `portrange 6000-6008'.
611 If there is no type
612 qualifier,
613 .B host
614 is assumed.
615 .IP \fIdir\fP
616 qualifiers specify a particular transfer direction to and/or from
617 .IR id .
618 Possible directions are
619 .BR src ,
620 .BR dst ,
621 .B "src or dst"
622 and
623 .B "src and"
624 .BR dst .
625 E.g., `src foo', `dst net 128.3', `src or dst port ftp-data'.
626 If
627 there is no dir qualifier,
628 .B "src or dst"
629 is assumed.
630 For some link layers, such as SLIP and the ``cooked'' Linux capture mode
631 used for the ``any'' device and for some other device types, the
632 .B inbound
633 and
634 .B outbound
635 qualifiers can be used to specify a desired direction.
636 .IP \fIproto\fP
637 qualifiers restrict the match to a particular protocol.
638 Possible
639 protos are:
640 .BR ether ,
641 .BR fddi ,
642 .BR tr ,
643 .BR wlan ,
644 .BR ip ,
645 .BR ip6 ,
646 .BR arp ,
647 .BR rarp ,
648 .BR decnet ,
649 .BR lat ,
650 .BR sca ,
651 .BR moprc ,
652 .BR mopdl ,
653 .BR iso ,
654 .BR esis ,
655 .BR isis ,
656 .BR icmp ,
657 .BR icmp6 ,
658 .B tcp
659 and
660 .BR udp .
661 E.g., `ether src foo', `arp net 128.3', `tcp port 21', `udp portrange
662 7000-7009'.
663 If there is
664 no proto qualifier, all protocols consistent with the type are
665 assumed.
666 E.g., `src foo' means `(ip or arp or rarp) src foo'
667 (except the latter is not legal syntax), `net bar' means `(ip or
668 arp or rarp) net bar' and `port 53' means `(tcp or udp) port 53'.
669 .LP
670 [`fddi' is actually an alias for `ether'; the parser treats them
671 identically as meaning ``the data link level used on the specified
672 network interface.''  FDDI headers contain Ethernet-like source
673 and destination addresses, and often contain Ethernet-like packet
674 types, so you can filter on these FDDI fields just as with the
675 analogous Ethernet fields.
676 FDDI headers also contain other fields,
677 but you cannot name them explicitly in a filter expression.
678 .LP
679 Similarly, `tr' and `wlan' are aliases for `ether'; the previous
680 paragraph's statements about FDDI headers also apply to Token Ring
681 and 802.11 wireless LAN headers.  For 802.11 headers, the destination
682 address is the DA field and the source address is the SA field; the
683 BSSID, RA, and TA fields aren't tested.]
684 .LP
685 In addition to the above, there are some special `primitive' keywords
686 that don't follow the pattern:
687 .BR gateway ,
688 .BR broadcast ,
689 .BR less ,
690 .B greater
691 and arithmetic expressions.
692 All of these are described below.
693 .LP
694 More complex filter expressions are built up by using the words
695 .BR and ,
696 .B or
697 and
698 .B not
699 to combine primitives.
700 E.g., `host foo and not port ftp and not port ftp-data'.
701 To save typing, identical qualifier lists can be omitted.
702 E.g.,
703 `tcp dst port ftp or ftp-data or domain' is exactly the same as
704 `tcp dst port ftp or tcp dst port ftp-data or tcp dst port domain'.
705 .LP
706 Allowable primitives are:
707 .IP "\fBdst host \fIhost\fR"
708 True if the IPv4/v6 destination field of the packet is \fIhost\fP,
709 which may be either an address or a name.
710 .IP "\fBsrc host \fIhost\fR"
711 True if the IPv4/v6 source field of the packet is \fIhost\fP.
712 .IP "\fBhost \fIhost\fP
713 True if either the IPv4/v6 source or destination of the packet is \fIhost\fP.
714 .IP
715 Any of the above host expressions can be prepended with the keywords,
716 \fBip\fP, \fBarp\fP, \fBrarp\fP, or \fBip6\fP as in:
717 .in +.5i
718 .nf
719 \fBip host \fIhost\fR
720 .fi
721 .in -.5i
722 which is equivalent to:
723 .in +.5i
724 .nf
725 \fBether proto \fI\\ip\fB and host \fIhost\fR
726 .fi
727 .in -.5i
728 If \fIhost\fR is a name with multiple IP addresses, each address will
729 be checked for a match.
730 .IP "\fBether dst \fIehost\fP
731 True if the Ethernet destination address is \fIehost\fP.
732 \fIEhost\fP
733 may be either a name from /etc/ethers or a number (see
734 .IR ethers (3N)
735 for numeric format).
736 .IP "\fBether src \fIehost\fP
737 True if the Ethernet source address is \fIehost\fP.
738 .IP "\fBether host \fIehost\fP
739 True if either the Ethernet source or destination address is \fIehost\fP.
740 .IP "\fBgateway\fP \fIhost\fP
741 True if the packet used \fIhost\fP as a gateway.
742 I.e., the Ethernet
743 source or destination address was \fIhost\fP but neither the IP source
744 nor the IP destination was \fIhost\fP.
745 \fIHost\fP must be a name and
746 must be found both by the machine's host-name-to-IP-address resolution
747 mechanisms (host name file, DNS, NIS, etc.) and by the machine's
748 host-name-to-Ethernet-address resolution mechanism (/etc/ethers, etc.).
749 (An equivalent expression is
750 .in +.5i
751 .nf
752 \fBether host \fIehost \fBand not host \fIhost\fR
753 .fi
754 .in -.5i
755 which can be used with either names or numbers for \fIhost / ehost\fP.)
756 This syntax does not work in IPv6-enabled configuration at this moment.
757 .IP "\fBdst net \fInet\fR"
758 True if the IPv4/v6 destination address of the packet has a network
759 number of \fInet\fP.
760 \fINet\fP may be either a name from /etc/networks
761 or a network number (see \fInetworks(4)\fP for details).
762 .IP "\fBsrc net \fInet\fR"
763 True if the IPv4/v6 source address of the packet has a network
764 number of \fInet\fP.
765 .IP "\fBnet \fInet\fR"
766 True if either the IPv4/v6 source or destination address of the packet has a network
767 number of \fInet\fP.
768 .IP "\fBnet \fInet\fR \fBmask \fInetmask\fR"
769 True if the IPv4 address matches \fInet\fR with the specific \fInetmask\fR.
770 May be qualified with \fBsrc\fR or \fBdst\fR.
771 Note that this syntax is not valid for IPv6 \fInet\fR.
772 .IP "\fBnet \fInet\fR/\fIlen\fR"
773 True if the IPv4/v6 address matches \fInet\fR with a netmask \fIlen\fR
774 bits wide.
775 May be qualified with \fBsrc\fR or \fBdst\fR.
776 .IP "\fBdst port \fIport\fR"
777 True if the packet is ip/tcp, ip/udp, ip6/tcp or ip6/udp and has a
778 destination port value of \fIport\fP.
779 The \fIport\fP can be a number or a name used in /etc/services (see
780 .IR tcp (4P)
781 and
782 .IR udp (4P)).
783 If a name is used, both the port
784 number and protocol are checked.
785 If a number or ambiguous name is used,
786 only the port number is checked (e.g., \fBdst port 513\fR will print both
787 tcp/login traffic and udp/who traffic, and \fBport domain\fR will print
788 both tcp/domain and udp/domain traffic).
789 .IP "\fBsrc port \fIport\fR"
790 True if the packet has a source port value of \fIport\fP.
791 .IP "\fBport \fIport\fR"
792 True if either the source or destination port of the packet is \fIport\fP.
793 .IP "\fBdst portrange \fIport1\fB-\fIport2\fR"
794 True if the packet is ip/tcp, ip/udp, ip6/tcp or ip6/udp and has a
795 destination port value between \fIport1\fP and \fIport2\fP.
796 .I port1
797 and
798 .I port2
799 are interpreted in the same fashion as the
800 .I port
801 parameter for
802 .BR port .
803 .IP "\fBsrc portrange \fIport1\fB-\fIport2\fR"
804 True if the packet has a source port value between \fIport1\fP and
805 \fIport2\fP.
806 .IP "\fBportrange \fIport1\fB-\fIport2\fR"
807 True if either the source or destination port of the packet is between
808 \fIport1\fP and \fIport2\fP.
809 .IP
810 Any of the above port or port range expressions can be prepended with
811 the keywords, \fBtcp\fP or \fBudp\fP, as in:
812 .in +.5i
813 .nf
814 \fBtcp src port \fIport\fR
815 .fi
816 .in -.5i
817 which matches only tcp packets whose source port is \fIport\fP.
818 .IP "\fBless \fIlength\fR"
819 True if the packet has a length less than or equal to \fIlength\fP.
820 This is equivalent to:
821 .in +.5i
822 .nf
823 \fBlen <= \fIlength\fP.
824 .fi
825 .in -.5i
826 .IP "\fBgreater \fIlength\fR"
827 True if the packet has a length greater than or equal to \fIlength\fP.
828 This is equivalent to:
829 .in +.5i
830 .nf
831 \fBlen >= \fIlength\fP.
832 .fi
833 .in -.5i
834 .IP "\fBip proto \fIprotocol\fR"
835 True if the packet is an IPv4 packet (see
836 .IR ip (4P))
837 of protocol type \fIprotocol\fP.
838 \fIProtocol\fP can be a number or one of the names
839 \fBicmp\fP, \fBicmp6\fP, \fBigmp\fP, \fBigrp\fP, \fBpim\fP, \fBah\fP,
840 \fBesp\fP, \fBvrrp\fP, \fBudp\fP, or \fBtcp\fP.
841 Note that the identifiers \fBtcp\fP, \fBudp\fP, and \fBicmp\fP are also
842 keywords and must be escaped via backslash (\\), which is \\\\ in the C-shell.
843 Note that this primitive does not chase the protocol header chain.
844 .IP "\fBip6 proto \fIprotocol\fR"
845 True if the packet is an IPv6 packet of protocol type \fIprotocol\fP.
846 Note that this primitive does not chase the protocol header chain.
847 .IP "\fBip6 protochain \fIprotocol\fR"
848 True if the packet is IPv6 packet,
849 and contains protocol header with type \fIprotocol\fR
850 in its protocol header chain.
851 For example,
852 .in +.5i
853 .nf
854 \fBip6 protochain 6\fR
855 .fi
856 .in -.5i
857 matches any IPv6 packet with TCP protocol header in the protocol header chain.
858 The packet may contain, for example,
859 authentication header, routing header, or hop-by-hop option header,
860 between IPv6 header and TCP header.
861 The BPF code emitted by this primitive is complex and
862 cannot be optimized by BPF optimizer code in \fItcpdump\fP,
863 so this can be somewhat slow.
864 .IP "\fBip protochain \fIprotocol\fR"
865 Equivalent to \fBip6 protochain \fIprotocol\fR, but this is for IPv4.
866 .IP "\fBether broadcast\fR"
867 True if the packet is an Ethernet broadcast packet.
868 The \fIether\fP
869 keyword is optional.
870 .IP "\fBip broadcast\fR"
871 True if the packet is an IPv4 broadcast packet.
872 It checks for both the all-zeroes and all-ones broadcast conventions,
873 and looks up the subnet mask on the interface on which the capture is
874 being done.
875 .IP
876 If the subnet mask of the interface on which the capture is being done
877 is not available, either because the interface on which capture is being
878 done has no netmask or because the capture is being done on the Linux
879 "any" interface, which can capture on more than one interface, this
880 check will not work correctly.
881 .IP "\fBether multicast\fR"
882 True if the packet is an Ethernet multicast packet.
883 The \fBether\fP
884 keyword is optional.
885 This is shorthand for `\fBether[0] & 1 != 0\fP'.
886 .IP "\fBip multicast\fR"
887 True if the packet is an IPv4 multicast packet.
888 .IP "\fBip6 multicast\fR"
889 True if the packet is an IPv6 multicast packet.
890 .IP  "\fBether proto \fIprotocol\fR"
891 True if the packet is of ether type \fIprotocol\fR.
892 \fIProtocol\fP can be a number or one of the names
893 \fBip\fP, \fBip6\fP, \fBarp\fP, \fBrarp\fP, \fBatalk\fP, \fBaarp\fP,
894 \fBdecnet\fP, \fBsca\fP, \fBlat\fP, \fBmopdl\fP, \fBmoprc\fP,
895 \fBiso\fP, \fBstp\fP, \fBipx\fP, or \fBnetbeui\fP.
896 Note these identifiers are also keywords
897 and must be escaped via backslash (\\).
898 .IP
899 [In the case of FDDI (e.g., `\fBfddi protocol arp\fR'), Token Ring
900 (e.g., `\fBtr protocol arp\fR'), and IEEE 802.11 wireless LANS (e.g.,
901 `\fBwlan protocol arp\fR'), for most of those protocols, the
902 protocol identification comes from the 802.2 Logical Link Control (LLC)
903 header, which is usually layered on top of the FDDI, Token Ring, or
904 802.11 header.
905 .IP
906 When filtering for most protocol identifiers on FDDI, Token Ring, or
907 802.11, \fItcpdump\fR checks only the protocol ID field of an LLC header
908 in so-called SNAP format with an Organizational Unit Identifier (OUI) of
909 0x000000, for encapsulated Ethernet; it doesn't check whether the packet
910 is in SNAP format with an OUI of 0x000000.
911 The exceptions are:
912 .RS
913 .TP
914 \fBiso\fP
915 \fItcpdump\fR checks the DSAP (Destination Service Access Point) and
916 SSAP (Source Service Access Point) fields of the LLC header;
917 .TP
918 \fBstp\fP and \fBnetbeui\fP
919 \fItcpdump\fR checks the DSAP of the LLC header;
920 .TP
921 \fBatalk\fP
922 \fItcpdump\fR checks for a SNAP-format packet with an OUI of 0x080007
923 and the AppleTalk etype.
924 .RE
925 .IP
926 In the case of Ethernet, \fItcpdump\fR checks the Ethernet type field
927 for most of those protocols.  The exceptions are:
928 .RS
929 .TP
930 \fBiso\fP, \fBstp\fP, and \fBnetbeui\fP
931 \fItcpdump\fR checks for an 802.3 frame and then checks the LLC header as
932 it does for FDDI, Token Ring, and 802.11;
933 .TP
934 \fBatalk\fP
935 \fItcpdump\fR checks both for the AppleTalk etype in an Ethernet frame and
936 for a SNAP-format packet as it does for FDDI, Token Ring, and 802.11;
937 .TP
938 \fBaarp\fP
939 \fItcpdump\fR checks for the AppleTalk ARP etype in either an Ethernet
940 frame or an 802.2 SNAP frame with an OUI of 0x000000;
941 .TP
942 \fBipx\fP
943 \fItcpdump\fR checks for the IPX etype in an Ethernet frame, the IPX
944 DSAP in the LLC header, the 802.3-with-no-LLC-header encapsulation of
945 IPX, and the IPX etype in a SNAP frame.
946 .RE
947 .IP "\fBdecnet src \fIhost\fR"
948 True if the DECNET source address is
949 .IR host ,
950 which may be an address of the form ``10.123'', or a DECNET host
951 name.
952 [DECNET host name support is only available on ULTRIX systems
953 that are configured to run DECNET.]
954 .IP "\fBdecnet dst \fIhost\fR"
955 True if the DECNET destination address is
956 .IR host .
957 .IP "\fBdecnet host \fIhost\fR"
958 True if either the DECNET source or destination address is
959 .IR host .
960 .IP "\fBifname \fIinterface\fR"
961 True if the packet was logged as coming from the specified interface (applies
962 only to packets logged by OpenBSD's
963 .BR pf (4)).
964 .IP "\fBon \fIinterface\fR"
965 Synonymous with the
966 .B ifname
967 modifier.
968 .IP "\fBrnr \fInum\fR"
969 True if the packet was logged as matching the specified PF rule number
970 (applies only to packets logged by OpenBSD's
971 .BR pf (4)).
972 .IP "\fBrulenum \fInum\fR"
973 Synonomous with the
974 .B rnr
975 modifier.
976 .IP "\fBreason \fIcode\fR"
977 True if the packet was logged with the specified PF reason code.  The known
978 codes are:
979 .BR match ,
980 .BR bad-offset ,
981 .BR fragment ,
982 .BR short ,
983 .BR normalize ,
984 and
985 .B memory
986 (applies only to packets logged by OpenBSD's
987 .BR pf (4)).
988 .IP "\fBrset \fIname\fR"
989 True if the packet was logged as matching the specified PF ruleset
990 name of an anchored ruleset (applies only to packets logged by
991 .BR pf (4)).
992 .IP "\fBruleset \fIname\fR"
993 Synonomous with the
994 .B rset
995 modifier.
996 .IP "\fBsrnr \fInum\fR"
997 True if the packet was logged as matching the specified PF rule number
998 of an anchored ruleset (applies only to packets logged by
999 .BR pf (4)).
1000 .IP "\fBsubrulenum \fInum\fR"
1001 Synonomous with the
1002 .B srnr
1003 modifier.
1004 .IP "\fBaction \fIact\fR"
1005 True if PF took the specified action when the packet was logged.  Known actions
1006 are:
1007 .B pass
1008 and
1009 .B block
1010 (applies only to packets logged by OpenBSD's
1011 .BR pf (4)).
1012 .IP "\fBip\fR, \fBip6\fR, \fBarp\fR, \fBrarp\fR, \fBatalk\fR, \fBaarp\fR, \fBdecnet\fR, \fBiso\fR, \fBstp\fR, \fBipx\fR, \fInetbeui\fP"
1013 Abbreviations for:
1014 .in +.5i
1015 .nf
1016 \fBether proto \fIp\fR
1017 .fi
1018 .in -.5i
1019 where \fIp\fR is one of the above protocols.
1020 .IP "\fBlat\fR, \fBmoprc\fR, \fBmopdl\fR"
1021 Abbreviations for:
1022 .in +.5i
1023 .nf
1024 \fBether proto \fIp\fR
1025 .fi
1026 .in -.5i
1027 where \fIp\fR is one of the above protocols.
1028 Note that
1029 \fItcpdump\fP does not currently know how to parse these protocols.
1030 .IP "\fBvlan \fI[vlan_id]\fR"
1031 True if the packet is an IEEE 802.1Q VLAN packet.
1032 If \fI[vlan_id]\fR is specified, only true is the packet has the specified
1033 \fIvlan_id\fR.
1034 Note that the first \fBvlan\fR keyword encountered in \fIexpression\fR
1035 changes the decoding offsets for the remainder of \fIexpression\fR
1036 on the assumption that the packet is a VLAN packet.
1037 the \fI[vlan_id]\fR statement may be used more than once, to filter on vlan hierarchies.
1038 each use of the \fI[vlan_id]\fR \fIexpression\fR increments the filter offsets by 4.
1039 .fi
1040 example(s):
1041 .fi
1042 "vlan 100 && vlan 200" filters on vlan 200 encapsulated within vlan 100
1043 .fi
1044 "vlan && vlan 300 && ip" filters IPv4 protocols encapsulated in vlan 300 encapsulated within any higher order vlan
1045 .fi
1046 .IP  "\fBtcp\fR, \fBudp\fR, \fBicmp\fR"
1047 Abbreviations for:
1048 .in +.5i
1049 .nf
1050 \fBip proto \fIp\fR\fB or ip6 proto \fIp\fR
1051 .fi
1052 .in -.5i
1053 where \fIp\fR is one of the above protocols.
1054 .IP "\fBiso proto \fIprotocol\fR"
1055 True if the packet is an OSI packet of protocol type \fIprotocol\fP.
1056 \fIProtocol\fP can be a number or one of the names
1057 \fBclnp\fP, \fBesis\fP, or \fBisis\fP.
1058 .IP "\fBclnp\fR, \fBesis\fR, \fBisis\fR"
1059 Abbreviations for:
1060 .in +.5i
1061 .nf
1062 \fBiso proto \fIp\fR
1063 .fi
1064 .in -.5i
1065 where \fIp\fR is one of the above protocols.
1066 .IP "\fBl1\fR, \fBl2\fR, \fBiih\fR, \fBlsp\fR, \fBsnp\fR, \fBcsnp\fR, \fBpsnp\fR"
1067 Abbreviations for IS-IS PDU types.
1068 .IP "\fBvpi\fP \fIn\fR
1069 True if the packet is an ATM packet, for SunATM on Solaris, with a
1070 virtual path identifier of
1071 .IR n .
1072 .IP "\fBvci\fP \fIn\fR
1073 True if the packet is an ATM packet, for SunATM on Solaris, with a
1074 virtual channel identifier of
1075 .IR n .
1076 .IP \fBlane\fP
1077 True if the packet is an ATM packet, for SunATM on Solaris, and is
1078 an ATM LANE packet.
1079 Note that the first \fBlane\fR keyword encountered in \fIexpression\fR
1080 changes the tests done in the remainder of \fIexpression\fR
1081 on the assumption that the packet is either a LANE emulated Ethernet
1082 packet or a LANE LE Control packet.  If \fBlane\fR isn't specified, the
1083 tests are done under the assumption that the packet is an
1084 LLC-encapsulated packet.
1085 .IP \fBllc\fP
1086 True if the packet is an ATM packet, for SunATM on Solaris, and is
1087 an LLC-encapsulated packet.
1088 .IP \fBoamf4s\fP
1089 True if the packet is an ATM packet, for SunATM on Solaris, and is
1090 a segment OAM F4 flow cell (VPI=0 & VCI=3).
1091 .IP \fBoamf4e\fP
1092 True if the packet is an ATM packet, for SunATM on Solaris, and is
1093 an end-to-end OAM F4 flow cell (VPI=0 & VCI=4).
1094 .IP \fBoamf4\fP
1095 True if the packet is an ATM packet, for SunATM on Solaris, and is
1096 a segment or end-to-end OAM F4 flow cell (VPI=0 & (VCI=3 | VCI=4)).
1097 .IP \fBoam\fP
1098 True if the packet is an ATM packet, for SunATM on Solaris, and is
1099 a segment or end-to-end OAM F4 flow cell (VPI=0 & (VCI=3 | VCI=4)).
1100 .IP \fBmetac\fP
1101 True if the packet is an ATM packet, for SunATM on Solaris, and is
1102 on a meta signaling circuit (VPI=0 & VCI=1).
1103 .IP \fBbcc\fP
1104 True if the packet is an ATM packet, for SunATM on Solaris, and is
1105 on a broadcast signaling circuit (VPI=0 & VCI=2).
1106 .IP \fBsc\fP
1107 True if the packet is an ATM packet, for SunATM on Solaris, and is
1108 on a signaling circuit (VPI=0 & VCI=5).
1109 .IP \fBilmic\fP
1110 True if the packet is an ATM packet, for SunATM on Solaris, and is
1111 on an ILMI circuit (VPI=0 & VCI=16).
1112 .IP \fBconnectmsg\fP
1113 True if the packet is an ATM packet, for SunATM on Solaris, and is
1114 on a signaling circuit and is a Q.2931 Setup, Call Proceeding, Connect,
1115 Connect Ack, Release, or Release Done message.
1116 .IP \fBmetaconnect\fP
1117 True if the packet is an ATM packet, for SunATM on Solaris, and is
1118 on a meta signaling circuit and is a Q.2931 Setup, Call Proceeding, Connect,
1119 Release, or Release Done message.
1120 .IP  "\fIexpr relop expr\fR"
1121 True if the relation holds, where \fIrelop\fR is one of >, <, >=, <=, =,
1122 !=, and \fIexpr\fR is an arithmetic expression composed of integer
1123 constants (expressed in standard C syntax), the normal binary operators
1124 [+, -, *, /, &, |, <<, >>], a length operator, and special packet data
1125 accessors.  Note that all comparisons are unsigned, so that, for example,
1126 0x80000000 and 0xffffffff are > 0.
1127 To access
1128 data inside the packet, use the following syntax:
1129 .in +.5i
1130 .nf
1131 \fIproto\fB [ \fIexpr\fB : \fIsize\fB ]\fR
1132 .fi
1133 .in -.5i
1134 \fIProto\fR is one of \fBether, fddi, tr, wlan, ppp, slip, link,
1135 ip, arp, rarp, tcp, udp, icmp, ip6\fR or \fBradio\fR, and
1136 indicates the protocol layer for the index operation.
1137 (\fBether, fddi, wlan, tr, ppp, slip\fR and \fBlink\fR all refer to the
1138 link layer. \fBradio\fR refers to the "radio header" added to some
1139 802.11 captures.)
1140 Note that \fItcp, udp\fR and other upper-layer protocol types only
1141 apply to IPv4, not IPv6 (this will be fixed in the future).
1142 The byte offset, relative to the indicated protocol layer, is
1143 given by \fIexpr\fR.
1144 \fISize\fR is optional and indicates the number of bytes in the
1145 field of interest; it can be either one, two, or four, and defaults to one.
1146 The length operator, indicated by the keyword \fBlen\fP, gives the
1147 length of the packet.
1148
1149 For example, `\fBether[0] & 1 != 0\fP' catches all multicast traffic.
1150 The expression `\fBip[0] & 0xf != 5\fP'
1151 catches all IPv4 packets with options.
1152 The expression
1153 `\fBip[6:2] & 0x1fff = 0\fP'
1154 catches only unfragmented IPv4 datagrams and frag zero of fragmented
1155 IPv4 datagrams.
1156 This check is implicitly applied to the \fBtcp\fP and \fBudp\fP
1157 index operations.
1158 For instance, \fBtcp[0]\fP always means the first
1159 byte of the TCP \fIheader\fP, and never means the first byte of an
1160 intervening fragment.
1161
1162 Some offsets and field values may be expressed as names rather than
1163 as numeric values.
1164 The following protocol header field offsets are
1165 available: \fBicmptype\fP (ICMP type field), \fBicmpcode\fP (ICMP
1166 code field), and \fBtcpflags\fP (TCP flags field).
1167
1168 The following ICMP type field values are available: \fBicmp-echoreply\fP,
1169 \fBicmp-unreach\fP, \fBicmp-sourcequench\fP, \fBicmp-redirect\fP,
1170 \fBicmp-echo\fP, \fBicmp-routeradvert\fP, \fBicmp-routersolicit\fP,
1171 \fBicmp-timxceed\fP, \fBicmp-paramprob\fP, \fBicmp-tstamp\fP,
1172 \fBicmp-tstampreply\fP, \fBicmp-ireq\fP, \fBicmp-ireqreply\fP,
1173 \fBicmp-maskreq\fP, \fBicmp-maskreply\fP.
1174
1175 The following TCP flags field values are available: \fBtcp-fin\fP,
1176 \fBtcp-syn\fP, \fBtcp-rst\fP, \fBtcp-push\fP,
1177 \fBtcp-ack\fP, \fBtcp-urg\fP.
1178 .LP
1179 Primitives may be combined using:
1180 .IP
1181 A parenthesized group of primitives and operators
1182 (parentheses are special to the Shell and must be escaped).
1183 .IP
1184 Negation (`\fB!\fP' or `\fBnot\fP').
1185 .IP
1186 Concatenation (`\fB&&\fP' or `\fBand\fP').
1187 .IP
1188 Alternation (`\fB||\fP' or `\fBor\fP').
1189 .LP
1190 Negation has highest precedence.
1191 Alternation and concatenation have equal precedence and associate
1192 left to right.
1193 Note that explicit \fBand\fR tokens, not juxtaposition,
1194 are now required for concatenation.
1195 .LP
1196 If an identifier is given without a keyword, the most recent keyword
1197 is assumed.
1198 For example,
1199 .in +.5i
1200 .nf
1201 \fBnot host vs and ace\fR
1202 .fi
1203 .in -.5i
1204 is short for
1205 .in +.5i
1206 .nf
1207 \fBnot host vs and host ace\fR
1208 .fi
1209 .in -.5i
1210 which should not be confused with
1211 .in +.5i
1212 .nf
1213 \fBnot ( host vs or ace )\fR
1214 .fi
1215 .in -.5i
1216 .LP
1217 Expression arguments can be passed to \fItcpdump\fP as either a single
1218 argument or as multiple arguments, whichever is more convenient.
1219 Generally, if the expression contains Shell metacharacters, it is
1220 easier to pass it as a single, quoted argument.
1221 Multiple arguments are concatenated with spaces before being parsed.
1222 .SH EXAMPLES
1223 .LP
1224 To print all packets arriving at or departing from \fIsundown\fP:
1225 .RS
1226 .nf
1227 \fBtcpdump host sundown\fP
1228 .fi
1229 .RE
1230 .LP
1231 To print traffic between \fIhelios\fR and either \fIhot\fR or \fIace\fR:
1232 .RS
1233 .nf
1234 \fBtcpdump host helios and \\( hot or ace \\)\fP
1235 .fi
1236 .RE
1237 .LP
1238 To print all IP packets between \fIace\fR and any host except \fIhelios\fR:
1239 .RS
1240 .nf
1241 \fBtcpdump ip host ace and not helios\fP
1242 .fi
1243 .RE
1244 .LP
1245 To print all traffic between local hosts and hosts at Berkeley:
1246 .RS
1247 .nf
1248 .B
1249 tcpdump net ucb-ether
1250 .fi
1251 .RE
1252 .LP
1253 To print all ftp traffic through internet gateway \fIsnup\fP:
1254 (note that the expression is quoted to prevent the shell from
1255 (mis-)interpreting the parentheses):
1256 .RS
1257 .nf
1258 .B
1259 tcpdump 'gateway snup and (port ftp or ftp-data)'
1260 .fi
1261 .RE
1262 .LP
1263 To print traffic neither sourced from nor destined for local hosts
1264 (if you gateway to one other net, this stuff should never make it
1265 onto your local net).
1266 .RS
1267 .nf
1268 .B
1269 tcpdump ip and not net \fIlocalnet\fP
1270 .fi
1271 .RE
1272 .LP
1273 To print the start and end packets (the SYN and FIN packets) of each
1274 TCP conversation that involves a non-local host.
1275 .RS
1276 .nf
1277 .B
1278 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net \fIlocalnet\fP'
1279 .fi
1280 .RE
1281 .LP
1282 To print all IPv4 HTTP packets to and from port 80, i.e. print only
1283 packets that contain data, not, for example, SYN and FIN packets and
1284 ACK-only packets.  (IPv6 is left as an exercise for the reader.)
1285 .RS
1286 .nf
1287 .B
1288 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
1289 .fi
1290 .RE
1291 .LP
1292 To print IP packets longer than 576 bytes sent through gateway \fIsnup\fP:
1293 .RS
1294 .nf
1295 .B
1296 tcpdump 'gateway snup and ip[2:2] > 576'
1297 .fi
1298 .RE
1299 .LP
1300 To print IP broadcast or multicast packets that were
1301 .I not
1302 sent via Ethernet broadcast or multicast:
1303 .RS
1304 .nf
1305 .B
1306 tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
1307 .fi
1308 .RE
1309 .LP
1310 To print all ICMP packets that are not echo requests/replies (i.e., not
1311 ping packets):
1312 .RS
1313 .nf
1314 .B
1315 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
1316 .fi
1317 .RE
1318 .SH OUTPUT FORMAT
1319 .LP
1320 The output of \fItcpdump\fP is protocol dependent.
1321 The following
1322 gives a brief description and examples of most of the formats.
1323 .de HD
1324 .sp 1.5
1325 .B
1326 ..
1327 .HD
1328 Link Level Headers
1329 .LP
1330 If the '-e' option is given, the link level header is printed out.
1331 On Ethernets, the source and destination addresses, protocol,
1332 and packet length are printed.
1333 .LP
1334 On FDDI networks, the  '-e' option causes \fItcpdump\fP to print
1335 the `frame control' field,  the source and destination addresses,
1336 and the packet length.
1337 (The `frame control' field governs the
1338 interpretation of the rest of the packet.
1339 Normal packets (such
1340 as those containing IP datagrams) are `async' packets, with a priority
1341 value between 0 and 7; for example, `\fBasync4\fR'.
1342 Such packets
1343 are assumed to contain an 802.2 Logical Link Control (LLC) packet;
1344 the LLC header is printed if it is \fInot\fR an ISO datagram or a
1345 so-called SNAP packet.
1346 .LP
1347 On Token Ring networks, the '-e' option causes \fItcpdump\fP to print
1348 the `access control' and `frame control' fields, the source and
1349 destination addresses, and the packet length.
1350 As on FDDI networks,
1351 packets are assumed to contain an LLC packet.
1352 Regardless of whether
1353 the '-e' option is specified or not, the source routing information is
1354 printed for source-routed packets.
1355 .LP
1356 On 802.11 networks, the '-e' option causes \fItcpdump\fP to print
1357 the `frame control' fields, all of the addresses in the 802.11 header,
1358 and the packet length.
1359 As on FDDI networks,
1360 packets are assumed to contain an LLC packet.
1361 .LP
1362 \fI(N.B.: The following description assumes familiarity with
1363 the SLIP compression algorithm described in RFC-1144.)\fP
1364 .LP
1365 On SLIP links, a direction indicator (``I'' for inbound, ``O'' for outbound),
1366 packet type, and compression information are printed out.
1367 The packet type is printed first.
1368 The three types are \fIip\fP, \fIutcp\fP, and \fIctcp\fP.
1369 No further link information is printed for \fIip\fR packets.
1370 For TCP packets, the connection identifier is printed following the type.
1371 If the packet is compressed, its encoded header is printed out.
1372 The special cases are printed out as
1373 \fB*S+\fIn\fR and \fB*SA+\fIn\fR, where \fIn\fR is the amount by which
1374 the sequence number (or sequence number and ack) has changed.
1375 If it is not a special case,
1376 zero or more changes are printed.
1377 A change is indicated by U (urgent pointer), W (window), A (ack),
1378 S (sequence number), and I (packet ID), followed by a delta (+n or -n),
1379 or a new value (=n).
1380 Finally, the amount of data in the packet and compressed header length
1381 are printed.
1382 .LP
1383 For example, the following line shows an outbound compressed TCP packet,
1384 with an implicit connection identifier; the ack has changed by 6,
1385 the sequence number by 49, and the packet ID by 6; there are 3 bytes of
1386 data and 6 bytes of compressed header:
1387 .RS
1388 .nf
1389 \fBO ctcp * A+6 S+49 I+6 3 (6)\fP
1390 .fi
1391 .RE
1392 .HD
1393 ARP/RARP Packets
1394 .LP
1395 Arp/rarp output shows the type of request and its arguments.
1396 The
1397 format is intended to be self explanatory.
1398 Here is a short sample taken from the start of an `rlogin' from
1399 host \fIrtsg\fP to host \fIcsam\fP:
1400 .RS
1401 .nf
1402 .sp .5
1403 \f(CWarp who-has csam tell rtsg
1404 arp reply csam is-at CSAM\fR
1405 .sp .5
1406 .fi
1407 .RE
1408 The first line says that rtsg sent an arp packet asking
1409 for the Ethernet address of internet host csam.
1410 Csam
1411 replies with its Ethernet address (in this example, Ethernet addresses
1412 are in caps and internet addresses in lower case).
1413 .LP
1414 This would look less redundant if we had done \fItcpdump \-n\fP:
1415 .RS
1416 .nf
1417 .sp .5
1418 \f(CWarp who-has 128.3.254.6 tell 128.3.254.68
1419 arp reply 128.3.254.6 is-at 02:07:01:00:01:c4\fP
1420 .fi
1421 .RE
1422 .LP
1423 If we had done \fItcpdump \-e\fP, the fact that the first packet is
1424 broadcast and the second is point-to-point would be visible:
1425 .RS
1426 .nf
1427 .sp .5
1428 \f(CWRTSG Broadcast 0806  64: arp who-has csam tell rtsg
1429 CSAM RTSG 0806  64: arp reply csam is-at CSAM\fR
1430 .sp .5
1431 .fi
1432 .RE
1433 For the first packet this says the Ethernet source address is RTSG, the
1434 destination is the Ethernet broadcast address, the type field
1435 contained hex 0806 (type ETHER_ARP) and the total length was 64 bytes.
1436 .HD
1437 TCP Packets
1438 .LP
1439 \fI(N.B.:The following description assumes familiarity with
1440 the TCP protocol described in RFC-793.
1441 If you are not familiar
1442 with the protocol, neither this description nor \fItcpdump\fP will
1443 be of much use to you.)\fP
1444 .LP
1445 The general format of a tcp protocol line is:
1446 .RS
1447 .nf
1448 .sp .5
1449 \fIsrc > dst: flags data-seqno ack window urgent options\fP
1450 .sp .5
1451 .fi
1452 .RE
1453 \fISrc\fP and \fIdst\fP are the source and destination IP
1454 addresses and ports.
1455 \fIFlags\fP are some combination of S (SYN),
1456 F (FIN), P (PUSH), R (RST), W (ECN CWR) or E (ECN-Echo), or a single
1457 `.' (no flags).
1458 \fIData-seqno\fP describes the portion of sequence space covered
1459 by the data in this packet (see example below).
1460 \fIAck\fP is sequence number of the next data expected the other
1461 direction on this connection.
1462 \fIWindow\fP is the number of bytes of receive buffer space available
1463 the other direction on this connection.
1464 \fIUrg\fP indicates there is `urgent' data in the packet.
1465 \fIOptions\fP are tcp options enclosed in angle brackets (e.g., <mss 1024>).
1466 .LP
1467 \fISrc, dst\fP and \fIflags\fP are always present.
1468 The other fields
1469 depend on the contents of the packet's tcp protocol header and
1470 are output only if appropriate.
1471 .LP
1472 Here is the opening portion of an rlogin from host \fIrtsg\fP to
1473 host \fIcsam\fP.
1474 .RS
1475 .nf
1476 .sp .5
1477 \s-2\f(CWrtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
1478 csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
1479 rtsg.1023 > csam.login: . ack 1 win 4096
1480 rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
1481 csam.login > rtsg.1023: . ack 2 win 4096
1482 rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
1483 csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
1484 csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
1485 csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1\fR\s+2
1486 .sp .5
1487 .fi
1488 .RE
1489 The first line says that tcp port 1023 on rtsg sent a packet
1490 to port \fIlogin\fP
1491 on csam.
1492 The \fBS\fP indicates that the \fISYN\fP flag was set.
1493 The packet sequence number was 768512 and it contained no data.
1494 (The notation is `first:last(nbytes)' which means `sequence
1495 numbers \fIfirst\fP
1496 up to but not including \fIlast\fP which is \fInbytes\fP bytes of user data'.)
1497 There was no piggy-backed ack, the available receive window was 4096
1498 bytes and there was a max-segment-size option requesting an mss of
1499 1024 bytes.
1500 .LP
1501 Csam replies with a similar packet except it includes a piggy-backed
1502 ack for rtsg's SYN.
1503 Rtsg then acks csam's SYN.
1504 The `.' means no
1505 flags were set.
1506 The packet contained no data so there is no data sequence number.
1507 Note that the ack sequence
1508 number is a small integer (1).
1509 The first time \fItcpdump\fP sees a
1510 tcp `conversation', it prints the sequence number from the packet.
1511 On subsequent packets of the conversation, the difference between
1512 the current packet's sequence number and this initial sequence number
1513 is printed.
1514 This means that sequence numbers after the
1515 first can be interpreted
1516 as relative byte positions in the conversation's data stream (with the
1517 first data byte each direction being `1').
1518 `-S' will override this
1519 feature, causing the original sequence numbers to be output.
1520 .LP
1521 On the 6th line, rtsg sends csam 19 bytes of data (bytes 2 through 20
1522 in the rtsg \(-> csam side of the conversation).
1523 The PUSH flag is set in the packet.
1524 On the 7th line, csam says it's received data sent by rtsg up to
1525 but not including byte 21.
1526 Most of this data is apparently sitting in the
1527 socket buffer since csam's receive window has gotten 19 bytes smaller.
1528 Csam also sends one byte of data to rtsg in this packet.
1529 On the 8th and 9th lines,
1530 csam sends two bytes of urgent, pushed data to rtsg.
1531 .LP
1532 If the snapshot was small enough that \fItcpdump\fP didn't capture
1533 the full TCP header, it interprets as much of the header as it can
1534 and then reports ``[|\fItcp\fP]'' to indicate the remainder could not
1535 be interpreted.
1536 If the header contains a bogus option (one with a length
1537 that's either too small or beyond the end of the header), \fItcpdump\fP
1538 reports it as ``[\fIbad opt\fP]'' and does not interpret any further
1539 options (since it's impossible to tell where they start).
1540 If the header
1541 length indicates options are present but the IP datagram length is not
1542 long enough for the options to actually be there, \fItcpdump\fP reports
1543 it as ``[\fIbad hdr length\fP]''.
1544 .HD
1545 .B Capturing TCP packets with particular flag combinations (SYN-ACK, URG-ACK, etc.)
1546 .PP
1547 There are 8 bits in the control bits section of the TCP header:
1548 .IP
1549 .I CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
1550 .PP
1551 Let's assume that we want to watch packets used in establishing
1552 a TCP connection.
1553 Recall that TCP uses a 3-way handshake protocol
1554 when it initializes a new connection; the connection sequence with
1555 regard to the TCP control bits is
1556 .PP
1557 .RS
1558 1) Caller sends SYN
1559 .RE
1560 .RS
1561 2) Recipient responds with SYN, ACK
1562 .RE
1563 .RS
1564 3) Caller sends ACK
1565 .RE
1566 .PP
1567 Now we're interested in capturing packets that have only the
1568 SYN bit set (Step 1).
1569 Note that we don't want packets from step 2
1570 (SYN-ACK), just a plain initial SYN.
1571 What we need is a correct filter
1572 expression for \fItcpdump\fP.
1573 .PP
1574 Recall the structure of a TCP header without options:
1575 .PP
1576 .nf
1577  0                            15                              31
1578 -----------------------------------------------------------------
1579 |          source port          |       destination port        |
1580 -----------------------------------------------------------------
1581 |                        sequence number                        |
1582 -----------------------------------------------------------------
1583 |                     acknowledgment number                     |
1584 -----------------------------------------------------------------
1585 |  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size            |
1586 -----------------------------------------------------------------
1587 |         TCP checksum          |       urgent pointer          |
1588 -----------------------------------------------------------------
1589 .fi
1590 .PP
1591 A TCP header usually holds 20 octets of data, unless options are
1592 present.
1593 The first line of the graph contains octets 0 - 3, the
1594 second line shows octets 4 - 7 etc.
1595 .PP
1596 Starting to count with 0, the relevant TCP control bits are contained
1597 in octet 13:
1598 .PP
1599 .nf
1600  0             7|             15|             23|             31
1601 ----------------|---------------|---------------|----------------
1602 |  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size            |
1603 ----------------|---------------|---------------|----------------
1604 |               |  13th octet   |               |               |
1605 .fi
1606 .PP
1607 Let's have a closer look at octet no. 13:
1608 .PP
1609 .nf
1610                 |               |
1611                 |---------------|
1612                 |C|E|U|A|P|R|S|F|
1613                 |---------------|
1614                 |7   5   3     0|
1615 .fi
1616 .PP
1617 These are the TCP control bits we are interested
1618 in.
1619 We have numbered the bits in this octet from 0 to 7, right to
1620 left, so the PSH bit is bit number 3, while the URG bit is number 5.
1621 .PP
1622 Recall that we want to capture packets with only SYN set.
1623 Let's see what happens to octet 13 if a TCP datagram arrives
1624 with the SYN bit set in its header:
1625 .PP
1626 .nf
1627                 |C|E|U|A|P|R|S|F|
1628                 |---------------|
1629                 |0 0 0 0 0 0 1 0|
1630                 |---------------|
1631                 |7 6 5 4 3 2 1 0|
1632 .fi
1633 .PP
1634 Looking at the
1635 control bits section we see that only bit number 1 (SYN) is set.
1636 .PP
1637 Assuming that octet number 13 is an 8-bit unsigned integer in
1638 network byte order, the binary value of this octet is
1639 .IP
1640 00000010
1641 .PP
1642 and its decimal representation is
1643 .PP
1644 .nf
1645    7     6     5     4     3     2     1     0
1646 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 1*2 + 0*2  =  2
1647 .fi
1648 .PP
1649 We're almost done, because now we know that if only SYN is set,
1650 the value of the 13th octet in the TCP header, when interpreted
1651 as a 8-bit unsigned integer in network byte order, must be exactly 2.
1652 .PP
1653 This relationship can be expressed as
1654 .RS
1655 .B
1656 tcp[13] == 2
1657 .RE
1658 .PP
1659 We can use this expression as the filter for \fItcpdump\fP in order
1660 to watch packets which have only SYN set:
1661 .RS
1662 .B
1663 tcpdump -i xl0 tcp[13] == 2
1664 .RE
1665 .PP
1666 The expression says "let the 13th octet of a TCP datagram have
1667 the decimal value 2", which is exactly what we want.
1668 .PP
1669 Now, let's assume that we need to capture SYN packets, but we
1670 don't care if ACK or any other TCP control bit is set at the
1671 same time.
1672 Let's see what happens to octet 13 when a TCP datagram
1673 with SYN-ACK set arrives:
1674 .PP
1675 .nf
1676      |C|E|U|A|P|R|S|F|
1677      |---------------|
1678      |0 0 0 1 0 0 1 0|
1679      |---------------|
1680      |7 6 5 4 3 2 1 0|
1681 .fi
1682 .PP
1683 Now bits 1 and 4 are set in the 13th octet.
1684 The binary value of
1685 octet 13 is
1686 .IP
1687      00010010
1688 .PP
1689 which translates to decimal
1690 .PP
1691 .nf
1692    7     6     5     4     3     2     1     0
1693 0*2 + 0*2 + 0*2 + 1*2 + 0*2 + 0*2 + 1*2 + 0*2   = 18
1694 .fi
1695 .PP
1696 Now we can't just use 'tcp[13] == 18' in the \fItcpdump\fP filter
1697 expression, because that would select only those packets that have
1698 SYN-ACK set, but not those with only SYN set.
1699 Remember that we don't care
1700 if ACK or any other control bit is set as long as SYN is set.
1701 .PP
1702 In order to achieve our goal, we need to logically AND the
1703 binary value of octet 13 with some other value to preserve
1704 the SYN bit.
1705 We know that we want SYN to be set in any case,
1706 so we'll logically AND the value in the 13th octet with
1707 the binary value of a SYN:
1708 .PP
1709 .nf
1710
1711           00010010 SYN-ACK              00000010 SYN
1712      AND  00000010 (we want SYN)   AND  00000010 (we want SYN)
1713           --------                      --------
1714      =    00000010                 =    00000010
1715 .fi
1716 .PP
1717 We see that this AND operation delivers the same result
1718 regardless whether ACK or another TCP control bit is set.
1719 The decimal representation of the AND value as well as
1720 the result of this operation is 2 (binary 00000010),
1721 so we know that for packets with SYN set the following
1722 relation must hold true:
1723 .IP
1724 ( ( value of octet 13 ) AND ( 2 ) ) == ( 2 )
1725 .PP
1726 This points us to the \fItcpdump\fP filter expression
1727 .RS
1728 .B
1729      tcpdump -i xl0 'tcp[13] & 2 == 2'
1730 .RE
1731 .PP
1732 Note that you should use single quotes or a backslash
1733 in the expression to hide the AND ('&') special character
1734 from the shell.
1735 .HD
1736 .B
1737 UDP Packets
1738 .LP
1739 UDP format is illustrated by this rwho packet:
1740 .RS
1741 .nf
1742 .sp .5
1743 \f(CWactinide.who > broadcast.who: udp 84\fP
1744 .sp .5
1745 .fi
1746 .RE
1747 This says that port \fIwho\fP on host \fIactinide\fP sent a udp
1748 datagram to port \fIwho\fP on host \fIbroadcast\fP, the Internet
1749 broadcast address.
1750 The packet contained 84 bytes of user data.
1751 .LP
1752 Some UDP services are recognized (from the source or destination
1753 port number) and the higher level protocol information printed.
1754 In particular, Domain Name service requests (RFC-1034/1035) and Sun
1755 RPC calls (RFC-1050) to NFS.
1756 .HD
1757 UDP Name Server Requests
1758 .LP
1759 \fI(N.B.:The following description assumes familiarity with
1760 the Domain Service protocol described in RFC-1035.
1761 If you are not familiar
1762 with the protocol, the following description will appear to be written
1763 in greek.)\fP
1764 .LP
1765 Name server requests are formatted as
1766 .RS
1767 .nf
1768 .sp .5
1769 \fIsrc > dst: id op? flags qtype qclass name (len)\fP
1770 .sp .5
1771 \f(CWh2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)\fR
1772 .sp .5
1773 .fi
1774 .RE
1775 Host \fIh2opolo\fP asked the domain server on \fIhelios\fP for an
1776 address record (qtype=A) associated with the name \fIucbvax.berkeley.edu.\fP
1777 The query id was `3'.
1778 The `+' indicates the \fIrecursion desired\fP flag
1779 was set.
1780 The query length was 37 bytes, not including the UDP and
1781 IP protocol headers.
1782 The query operation was the normal one, \fIQuery\fP,
1783 so the op field was omitted.
1784 If the op had been anything else, it would
1785 have been printed between the `3' and the `+'.
1786 Similarly, the qclass was the normal one,
1787 \fIC_IN\fP, and omitted.
1788 Any other qclass would have been printed
1789 immediately after the `A'.
1790 .LP
1791 A few anomalies are checked and may result in extra fields enclosed in
1792 square brackets:  If a query contains an answer, authority records or
1793 additional records section,
1794 .IR ancount ,
1795 .IR nscount ,
1796 or
1797 .I arcount
1798 are printed as `[\fIn\fPa]', `[\fIn\fPn]' or  `[\fIn\fPau]' where \fIn\fP
1799 is the appropriate count.
1800 If any of the response bits are set (AA, RA or rcode) or any of the
1801 `must be zero' bits are set in bytes two and three, `[b2&3=\fIx\fP]'
1802 is printed, where \fIx\fP is the hex value of header bytes two and three.
1803 .HD
1804 UDP Name Server Responses
1805 .LP
1806 Name server responses are formatted as
1807 .RS
1808 .nf
1809 .sp .5
1810 \fIsrc > dst:  id op rcode flags a/n/au type class data (len)\fP
1811 .sp .5
1812 \f(CWhelios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
1813 helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)\fR
1814 .sp .5
1815 .fi
1816 .RE
1817 In the first example, \fIhelios\fP responds to query id 3 from \fIh2opolo\fP
1818 with 3 answer records, 3 name server records and 7 additional records.
1819 The first answer record is type A (address) and its data is internet
1820 address 128.32.137.3.
1821 The total size of the response was 273 bytes,
1822 excluding UDP and IP headers.
1823 The op (Query) and response code
1824 (NoError) were omitted, as was the class (C_IN) of the A record.
1825 .LP
1826 In the second example, \fIhelios\fP responds to query 2 with a
1827 response code of non-existent domain (NXDomain) with no answers,
1828 one name server and no authority records.
1829 The `*' indicates that
1830 the \fIauthoritative answer\fP bit was set.
1831 Since there were no
1832 answers, no type, class or data were printed.
1833 .LP
1834 Other flag characters that might appear are `\-' (recursion available,
1835 RA, \fInot\fP set) and `|' (truncated message, TC, set).
1836 If the
1837 `question' section doesn't contain exactly one entry, `[\fIn\fPq]'
1838 is printed.
1839 .LP
1840 Note that name server requests and responses tend to be large and the
1841 default \fIsnaplen\fP of 68 bytes may not capture enough of the packet
1842 to print.
1843 Use the \fB\-s\fP flag to increase the snaplen if you
1844 need to seriously investigate name server traffic.
1845 `\fB\-s 128\fP'
1846 has worked well for me.
1847
1848 .HD
1849 SMB/CIFS decoding
1850 .LP
1851 \fItcpdump\fP now includes fairly extensive SMB/CIFS/NBT decoding for data
1852 on UDP/137, UDP/138 and TCP/139.
1853 Some primitive decoding of IPX and
1854 NetBEUI SMB data is also done.
1855
1856 By default a fairly minimal decode is done, with a much more detailed
1857 decode done if -v is used.
1858 Be warned that with -v a single SMB packet
1859 may take up a page or more, so only use -v if you really want all the
1860 gory details.
1861
1862 For information on SMB packet formats and what all te fields mean see
1863 www.cifs.org or the pub/samba/specs/ directory on your favorite
1864 samba.org mirror site.
1865 The SMB patches were written by Andrew Tridgell
1866 (tridge@samba.org).
1867
1868 .HD
1869 NFS Requests and Replies
1870 .LP
1871 Sun NFS (Network File System) requests and replies are printed as:
1872 .RS
1873 .nf
1874 .sp .5
1875 \fIsrc.xid > dst.nfs: len op args\fP
1876 \fIsrc.nfs > dst.xid: reply stat len op results\fP
1877 .sp .5
1878 \f(CW
1879 sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
1880 wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
1881 sushi.201b > wrl.nfs:
1882         144 lookup fh 9,74/4096.6878 "xcolors"
1883 wrl.nfs > sushi.201b:
1884         reply ok 128 lookup fh 9,74/4134.3150
1885 \fR
1886 .sp .5
1887 .fi
1888 .RE
1889 In the first line, host \fIsushi\fP sends a transaction with id \fI6709\fP
1890 to \fIwrl\fP (note that the number following the src host is a
1891 transaction id, \fInot\fP the source port).
1892 The request was 112 bytes,
1893 excluding the UDP and IP headers.
1894 The operation was a \fIreadlink\fP
1895 (read symbolic link) on file handle (\fIfh\fP) 21,24/10.731657119.
1896 (If one is lucky, as in this case, the file handle can be interpreted
1897 as a major,minor device number pair, followed by the inode number and
1898 generation number.)
1899 \fIWrl\fP replies `ok' with the contents of the link.
1900 .LP
1901 In the third line, \fIsushi\fP asks \fIwrl\fP to lookup the name
1902 `\fIxcolors\fP' in directory file 9,74/4096.6878.
1903 Note that the data printed
1904 depends on the operation type.
1905 The format is intended to be self
1906 explanatory if read in conjunction with
1907 an NFS protocol spec.
1908 .LP
1909 If the \-v (verbose) flag is given, additional information is printed.
1910 For example:
1911 .RS
1912 .nf
1913 .sp .5
1914 \f(CW
1915 sushi.1372a > wrl.nfs:
1916         148 read fh 21,11/12.195 8192 bytes @ 24576
1917 wrl.nfs > sushi.1372a:
1918         reply ok 1472 read REG 100664 ids 417/0 sz 29388
1919 \fP
1920 .sp .5
1921 .fi
1922 .RE
1923 (\-v also prints the IP header TTL, ID, length, and fragmentation fields,
1924 which have been omitted from this example.)  In the first line,
1925 \fIsushi\fP asks \fIwrl\fP to read 8192 bytes from file 21,11/12.195,
1926 at byte offset 24576.
1927 \fIWrl\fP replies `ok'; the packet shown on the
1928 second line is the first fragment of the reply, and hence is only 1472
1929 bytes long (the other bytes will follow in subsequent fragments, but
1930 these fragments do not have NFS or even UDP headers and so might not be
1931 printed, depending on the filter expression used).
1932 Because the \-v flag
1933 is given, some of the file attributes (which are returned in addition
1934 to the file data) are printed: the file type (``REG'', for regular file),
1935 the file mode (in octal), the uid and gid, and the file size.
1936 .LP
1937 If the \-v flag is given more than once, even more details are printed.
1938 .LP
1939 Note that NFS requests are very large and much of the detail won't be printed
1940 unless \fIsnaplen\fP is increased.
1941 Try using `\fB\-s 192\fP' to watch
1942 NFS traffic.
1943 .LP
1944 NFS reply packets do not explicitly identify the RPC operation.
1945 Instead,
1946 \fItcpdump\fP keeps track of ``recent'' requests, and matches them to the
1947 replies using the transaction ID.
1948 If a reply does not closely follow the
1949 corresponding request, it might not be parsable.
1950 .HD
1951 AFS Requests and Replies
1952 .LP
1953 Transarc AFS (Andrew File System) requests and replies are printed
1954 as:
1955 .HD
1956 .RS
1957 .nf
1958 .sp .5
1959 \fIsrc.sport > dst.dport: rx packet-type\fP
1960 \fIsrc.sport > dst.dport: rx packet-type service call call-name args\fP
1961 \fIsrc.sport > dst.dport: rx packet-type service reply call-name args\fP
1962 .sp .5
1963 \f(CW
1964 elvis.7001 > pike.afsfs:
1965         rx data fs call rename old fid 536876964/1/1 ".newsrc.new"
1966         new fid 536876964/1/1 ".newsrc"
1967 pike.afsfs > elvis.7001: rx data fs reply rename
1968 \fR
1969 .sp .5
1970 .fi
1971 .RE
1972 In the first line, host elvis sends a RX packet to pike.
1973 This was
1974 a RX data packet to the fs (fileserver) service, and is the start of
1975 an RPC call.
1976 The RPC call was a rename, with the old directory file id
1977 of 536876964/1/1 and an old filename of `.newsrc.new', and a new directory
1978 file id of 536876964/1/1 and a new filename of `.newsrc'.
1979 The host pike
1980 responds with a RPC reply to the rename call (which was successful, because
1981 it was a data packet and not an abort packet).
1982 .LP
1983 In general, all AFS RPCs are decoded at least by RPC call name.
1984 Most
1985 AFS RPCs have at least some of the arguments decoded (generally only
1986 the `interesting' arguments, for some definition of interesting).
1987 .LP
1988 The format is intended to be self-describing, but it will probably
1989 not be useful to people who are not familiar with the workings of
1990 AFS and RX.
1991 .LP
1992 If the -v (verbose) flag is given twice, acknowledgement packets and
1993 additional header information is printed, such as the the RX call ID,
1994 call number, sequence number, serial number, and the RX packet flags.
1995 .LP
1996 If the -v flag is given twice, additional information is printed,
1997 such as the the RX call ID, serial number, and the RX packet flags.
1998 The MTU negotiation information is also printed from RX ack packets.
1999 .LP
2000 If the -v flag is given three times, the security index and service id
2001 are printed.
2002 .LP
2003 Error codes are printed for abort packets, with the exception of Ubik
2004 beacon packets (because abort packets are used to signify a yes vote
2005 for the Ubik protocol).
2006 .LP
2007 Note that AFS requests are very large and many of the arguments won't
2008 be printed unless \fIsnaplen\fP is increased.
2009 Try using `\fB-s 256\fP'
2010 to watch AFS traffic.
2011 .LP
2012 AFS reply packets do not explicitly identify the RPC operation.
2013 Instead,
2014 \fItcpdump\fP keeps track of ``recent'' requests, and matches them to the
2015 replies using the call number and service ID.
2016 If a reply does not closely
2017 follow the
2018 corresponding request, it might not be parsable.
2019
2020 .HD
2021 KIP AppleTalk (DDP in UDP)
2022 .LP
2023 AppleTalk DDP packets encapsulated in UDP datagrams are de-encapsulated
2024 and dumped as DDP packets (i.e., all the UDP header information is
2025 discarded).
2026 The file
2027 .I /etc/atalk.names
2028 is used to translate AppleTalk net and node numbers to names.
2029 Lines in this file have the form
2030 .RS
2031 .nf
2032 .sp .5
2033 \fInumber       name\fP
2034
2035 \f(CW1.254              ether
2036 16.1            icsd-net
2037 1.254.110       ace\fR
2038 .sp .5
2039 .fi
2040 .RE
2041 The first two lines give the names of AppleTalk networks.
2042 The third
2043 line gives the name of a particular host (a host is distinguished
2044 from a net by the 3rd octet in the number \-
2045 a net number \fImust\fP have two octets and a host number \fImust\fP
2046 have three octets.)  The number and name should be separated by
2047 whitespace (blanks or tabs).
2048 The
2049 .I /etc/atalk.names
2050 file may contain blank lines or comment lines (lines starting with
2051 a `#').
2052 .LP
2053 AppleTalk addresses are printed in the form
2054 .RS
2055 .nf
2056 .sp .5
2057 \fInet.host.port\fP
2058
2059 \f(CW144.1.209.2 > icsd-net.112.220
2060 office.2 > icsd-net.112.220
2061 jssmag.149.235 > icsd-net.2\fR
2062 .sp .5
2063 .fi
2064 .RE
2065 (If the
2066 .I /etc/atalk.names
2067 doesn't exist or doesn't contain an entry for some AppleTalk
2068 host/net number, addresses are printed in numeric form.)
2069 In the first example, NBP (DDP port 2) on net 144.1 node 209
2070 is sending to whatever is listening on port 220 of net icsd node 112.
2071 The second line is the same except the full name of the source node
2072 is known (`office').
2073 The third line is a send from port 235 on
2074 net jssmag node 149 to broadcast on the icsd-net NBP port (note that
2075 the broadcast address (255) is indicated by a net name with no host
2076 number \- for this reason it's a good idea to keep node names and
2077 net names distinct in /etc/atalk.names).
2078 .LP
2079 NBP (name binding protocol) and ATP (AppleTalk transaction protocol)
2080 packets have their contents interpreted.
2081 Other protocols just dump
2082 the protocol name (or number if no name is registered for the
2083 protocol) and packet size.
2084
2085 \fBNBP packets\fP are formatted like the following examples:
2086 .RS
2087 .nf
2088 .sp .5
2089 \s-2\f(CWicsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
2090 jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
2091 techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186\fR\s+2
2092 .sp .5
2093 .fi
2094 .RE
2095 The first line is a name lookup request for laserwriters sent by net icsd host
2096 112 and broadcast on net jssmag.
2097 The nbp id for the lookup is 190.
2098 The second line shows a reply for this request (note that it has the
2099 same id) from host jssmag.209 saying that it has a laserwriter
2100 resource named "RM1140" registered on port 250.
2101 The third line is
2102 another reply to the same request saying host techpit has laserwriter
2103 "techpit" registered on port 186.
2104
2105 \fBATP packet\fP formatting is demonstrated by the following example:
2106 .RS
2107 .nf
2108 .sp .5
2109 \s-2\f(CWjssmag.209.165 > helios.132: atp-req  12266<0-7> 0xae030001
2110 helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
2111 helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
2112 helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
2113 helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
2114 helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
2115 helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
2116 helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
2117 helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
2118 jssmag.209.165 > helios.132: atp-req  12266<3,5> 0xae030001
2119 helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
2120 helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
2121 jssmag.209.165 > helios.132: atp-rel  12266<0-7> 0xae030001
2122 jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002\fR\s+2
2123 .sp .5
2124 .fi
2125 .RE
2126 Jssmag.209 initiates transaction id 12266 with host helios by requesting
2127 up to 8 packets (the `<0-7>').
2128 The hex number at the end of the line
2129 is the value of the `userdata' field in the request.
2130 .LP
2131 Helios responds with 8 512-byte packets.
2132 The `:digit' following the
2133 transaction id gives the packet sequence number in the transaction
2134 and the number in parens is the amount of data in the packet,
2135 excluding the atp header.
2136 The `*' on packet 7 indicates that the
2137 EOM bit was set.
2138 .LP
2139 Jssmag.209 then requests that packets 3 & 5 be retransmitted.
2140 Helios
2141 resends them then jssmag.209 releases the transaction.
2142 Finally,
2143 jssmag.209 initiates the next request.
2144 The `*' on the request
2145 indicates that XO (`exactly once') was \fInot\fP set.
2146
2147 .HD
2148 IP Fragmentation
2149 .LP
2150 Fragmented Internet datagrams are printed as
2151 .RS
2152 .nf
2153 .sp .5
2154 \fB(frag \fIid\fB:\fIsize\fB@\fIoffset\fB+)\fR
2155 \fB(frag \fIid\fB:\fIsize\fB@\fIoffset\fB)\fR
2156 .sp .5
2157 .fi
2158 .RE
2159 (The first form indicates there are more fragments.
2160 The second
2161 indicates this is the last fragment.)
2162 .LP
2163 \fIId\fP is the fragment id.
2164 \fISize\fP is the fragment
2165 size (in bytes) excluding the IP header.
2166 \fIOffset\fP is this
2167 fragment's offset (in bytes) in the original datagram.
2168 .LP
2169 The fragment information is output for each fragment.
2170 The first
2171 fragment contains the higher level protocol header and the frag
2172 info is printed after the protocol info.
2173 Fragments
2174 after the first contain no higher level protocol header and the
2175 frag info is printed after the source and destination addresses.
2176 For example, here is part of an ftp from arizona.edu to lbl-rtsg.arpa
2177 over a CSNET connection that doesn't appear to handle 576 byte datagrams:
2178 .RS
2179 .nf
2180 .sp .5
2181 \s-2\f(CWarizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
2182 arizona > rtsg: (frag 595a:204@328)
2183 rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560\fP\s+2
2184 .sp .5
2185 .fi
2186 .RE
2187 There are a couple of things to note here:  First, addresses in the
2188 2nd line don't include port numbers.
2189 This is because the TCP
2190 protocol information is all in the first fragment and we have no idea
2191 what the port or sequence numbers are when we print the later fragments.
2192 Second, the tcp sequence information in the first line is printed as if there
2193 were 308 bytes of user data when, in fact, there are 512 bytes (308 in
2194 the first frag and 204 in the second).
2195 If you are looking for holes
2196 in the sequence space or trying to match up acks
2197 with packets, this can fool you.
2198 .LP
2199 A packet with the IP \fIdon't fragment\fP flag is marked with a
2200 trailing \fB(DF)\fP.
2201 .HD
2202 Timestamps
2203 .LP
2204 By default, all output lines are preceded by a timestamp.
2205 The timestamp
2206 is the current clock time in the form
2207 .RS
2208 .nf
2209 \fIhh:mm:ss.frac\fP
2210 .fi
2211 .RE
2212 and is as accurate as the kernel's clock.
2213 The timestamp reflects the time the kernel first saw the packet.
2214 No attempt
2215 is made to account for the time lag between when the
2216 Ethernet interface removed the packet from the wire and when the kernel
2217 serviced the `new packet' interrupt.
2218 .SH "SEE ALSO"
2219 bpf(4), pcap(3)
2220 .SH AUTHORS
2221 The original authors are:
2222 .LP
2223 Van Jacobson,
2224 Craig Leres and
2225 Steven McCanne, all of the
2226 Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.
2227 .LP
2228 It is currently being maintained by tcpdump.org.
2229 .LP
2230 The current version is available via http:
2231 .LP
2232 .RS
2233 .I http://www.tcpdump.org/
2234 .RE
2235 .LP
2236 The original distribution is available via anonymous ftp:
2237 .LP
2238 .RS
2239 .I ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
2240 .RE
2241 .LP
2242 IPv6/IPsec support is added by WIDE/KAME project.
2243 This program uses Eric Young's SSLeay library, under specific configuration.
2244 .SH BUGS
2245 Please send problems, bugs, questions, desirable enhancements, etc. to:
2246 .LP
2247 .RS
2248 tcpdump-workers@tcpdump.org
2249 .RE
2250 .LP
2251 Please send source code contributions, etc. to:
2252 .LP
2253 .RS
2254 patches@tcpdump.org
2255 .RE
2256 .LP
2257 NIT doesn't let you watch your own outbound traffic, BPF will.
2258 We recommend that you use the latter.
2259 .LP
2260 When running
2261 .BR tcpdump
2262 with the
2263 .B \-v
2264 option on a network interface supporting checksum off-loading,
2265 IP packets sourced from this machine will have many false 'bad cksum 0' errors.
2266 .LP
2267 On Linux systems with 2.0[.x] kernels:
2268 .IP
2269 packets on the loopback device will be seen twice;
2270 .IP
2271 packet filtering cannot be done in the kernel, so that all packets must
2272 be copied from the kernel in order to be filtered in user mode;
2273 .IP
2274 all of a packet, not just the part that's within the snapshot length,
2275 will be copied from the kernel (the 2.0[.x] packet capture mechanism, if
2276 asked to copy only part of a packet to userland, will not report the
2277 true length of the packet; this would cause most IP packets to get an
2278 error from
2279 .BR tcpdump );
2280 .IP
2281 capturing on some PPP devices won't work correctly.
2282 .LP
2283 We recommend that you upgrade to a 2.2 or later kernel.
2284 .LP
2285 Some attempt should be made to reassemble IP fragments or, at least
2286 to compute the right length for the higher level protocol.
2287 .LP
2288 Name server inverse queries are not dumped correctly: the (empty)
2289 question section is printed rather than real query in the answer
2290 section.
2291 Some believe that inverse queries are themselves a bug and
2292 prefer to fix the program generating them rather than \fItcpdump\fP.
2293 .LP
2294 A packet trace that crosses a daylight savings time change will give
2295 skewed time stamps (the time change is ignored).
2296 .LP
2297 Filter expressions on fields other than those in Token Ring headers will
2298 not correctly handle source-routed Token Ring packets.
2299 .LP
2300 Filter expressions on fields other than those in 802.11 headers will not
2301 correctly handle 802.11 data packets with both To DS and From DS set.
2302 .LP
2303 .BR "ip6 proto"
2304 should chase header chain, but at this moment it does not.
2305 .BR "ip6 protochain"
2306 is supplied for this behavior.
2307 .LP
2308 Arithmetic expression against transport layer headers, like \fBtcp[0]\fP,
2309 does not work against IPv6 packets.
2310 It only looks at IPv4 packets.