Merge branch 'vendor/LIBPCAP'
[dragonfly.git] / contrib / tcpdump / tcpdump.1.in
1 .\" @(#) $Header: /tcpdump/master/tcpdump/tcpdump.1.in,v 1.2 2008-11-09 23:35:03 mcr Exp $ (LBL)
2 .\"
3 .\"     $NetBSD: tcpdump.8,v 1.9 2003/03/31 00:18:17 perry Exp $
4 .\"
5 .\" Copyright (c) 1987, 1988, 1989, 1990, 1991, 1992, 1994, 1995, 1996, 1997
6 .\"     The Regents of the University of California.  All rights reserved.
7 .\" All rights reserved.
8 .\"
9 .\" Redistribution and use in source and binary forms, with or without
10 .\" modification, are permitted provided that: (1) source code distributions
11 .\" retain the above copyright notice and this paragraph in its entirety, (2)
12 .\" distributions including binary code include the above copyright notice and
13 .\" this paragraph in its entirety in the documentation or other materials
14 .\" provided with the distribution, and (3) all advertising materials mentioning
15 .\" features or use of this software display the following acknowledgement:
16 .\" ``This product includes software developed by the University of California,
17 .\" Lawrence Berkeley Laboratory and its contributors.'' Neither the name of
18 .\" the University nor the names of its contributors may be used to endorse
19 .\" or promote products derived from this software without specific prior
20 .\" written permission.
21 .\" THIS SOFTWARE IS PROVIDED ``AS IS'' AND WITHOUT ANY EXPRESS OR IMPLIED
22 .\" WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF
23 .\" MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
24 .\"
25 .TH TCPDUMP 1  "05 March 2009"
26 .SH NAME
27 tcpdump \- dump traffic on a network
28 .SH SYNOPSIS
29 .na
30 .B tcpdump
31 [
32 .B \-AbdDefhHIJKlLnNOpqRStuUvxX
33 ] [
34 .B \-B
35 .I buffer_size
36 ] [
37 .B \-c
38 .I count
39 ]
40 .br
41 .ti +8
42 [
43 .B \-C
44 .I file_size
45 ] [
46 .B \-G
47 .I rotate_seconds
48 ] [
49 .B \-F
50 .I file
51 ]
52 .br
53 .ti +8
54 [
55 .B \-i
56 .I interface
57 ]
58 [
59 .B \-j
60 .I tstamp_type
61 ]
62 [
63 .B \-m
64 .I module
65 ]
66 [
67 .B \-M
68 .I secret
69 ]
70 .br
71 .ti +8
72 [
73 .B \-r
74 .I file
75 ]
76 [
77 .B \-s
78 .I snaplen
79 ]
80 [
81 .B \-T
82 .I type
83 ]
84 [
85 .B \-w
86 .I file
87 ]
88 .br
89 .ti +8
90 [
91 .B \-W
92 .I filecount
93 ]
94 .br
95 .ti +8
96 [
97 .B \-E
98 .I spi@ipaddr algo:secret,...
99 ]
100 .br
101 .ti +8
102 [
103 .B \-y
104 .I datalinktype
105 ]
106 [
107 .B \-z
108 .I postrotate-command
109 ]
110 [
111 .B \-Z
112 .I user
113 ]
114 .ti +8
115 [
116 .I expression
117 ]
118 .br
119 .ad
120 .SH DESCRIPTION
121 .LP
122 \fITcpdump\fP prints out a description of the contents of packets on a
123 network interface that match the boolean \fIexpression\fP.  It can also
124 be run with the
125 .B \-w
126 flag, which causes it to save the packet data to a file for later
127 analysis, and/or with the
128 .B \-r
129 flag, which causes it to read from a saved packet file rather than to
130 read packets from a network interface.  In all cases, only packets that
131 match
132 .I expression
133 will be processed by
134 .IR tcpdump .
135 .LP
136 .I Tcpdump
137 will, if not run with the
138 .B \-c
139 flag, continue capturing packets until it is interrupted by a SIGINT
140 signal (generated, for example, by typing your interrupt character,
141 typically control-C) or a SIGTERM signal (typically generated with the
142 .BR kill (1)
143 command); if run with the
144 .B \-c
145 flag, it will capture packets until it is interrupted by a SIGINT or
146 SIGTERM signal or the specified number of packets have been processed.
147 .LP
148 When
149 .I tcpdump
150 finishes capturing packets, it will report counts of:
151 .IP
152 packets ``captured'' (this is the number of packets that
153 .I tcpdump
154 has received and processed);
155 .IP
156 packets ``received by filter'' (the meaning of this depends on the OS on
157 which you're running
158 .IR tcpdump ,
159 and possibly on the way the OS was configured - if a filter was
160 specified on the command line, on some OSes it counts packets regardless
161 of whether they were matched by the filter expression and, even if they
162 were matched by the filter expression, regardless of whether
163 .I tcpdump
164 has read and processed them yet, on other OSes it counts only packets that were
165 matched by the filter expression regardless of whether
166 .I tcpdump
167 has read and processed them yet, and on other OSes it counts only
168 packets that were matched by the filter expression and were processed by
169 .IR tcpdump );
170 .IP
171 packets ``dropped by kernel'' (this is the number of packets that were
172 dropped, due to a lack of buffer space, by the packet capture mechanism
173 in the OS on which
174 .I tcpdump
175 is running, if the OS reports that information to applications; if not,
176 it will be reported as 0).
177 .LP
178 On platforms that support the SIGINFO signal, such as most BSDs
179 (including Mac OS X) and Digital/Tru64 UNIX, it will report those counts
180 when it receives a SIGINFO signal (generated, for example, by typing
181 your ``status'' character, typically control-T, although on some
182 platforms, such as Mac OS X, the ``status'' character is not set by
183 default, so you must set it with
184 .BR stty (1)
185 in order to use it) and will continue capturing packets.
186 .LP
187 Reading packets from a network interface may require that you have
188 special privileges; see the
189 .B pcap (3)
190 man page for details.  Reading a saved packet file doesn't require
191 special privileges.
192 .SH OPTIONS
193 .TP
194 .B \-A
195 Print each packet (minus its link level header) in ASCII.  Handy for
196 capturing web pages.
197 .TP
198 .B \-b
199 Print the AS number in BGP packets in ASDOT notation rather than ASPLAIN
200 notation.
201 .TP
202 .B \-B
203 Set the operating system capture buffer size to \fIbuffer_size\fP.
204 .TP
205 .B \-c
206 Exit after receiving \fIcount\fP packets.
207 .TP
208 .B \-C
209 Before writing a raw packet to a savefile, check whether the file is
210 currently larger than \fIfile_size\fP and, if so, close the current
211 savefile and open a new one.  Savefiles after the first savefile will
212 have the name specified with the
213 .B \-w
214 flag, with a number after it, starting at 1 and continuing upward.
215 The units of \fIfile_size\fP are millions of bytes (1,000,000 bytes,
216 not 1,048,576 bytes).
217 .TP
218 .B \-d
219 Dump the compiled packet-matching code in a human readable form to
220 standard output and stop.
221 .TP
222 .B \-dd
223 Dump packet-matching code as a
224 .B C
225 program fragment.
226 .TP
227 .B \-ddd
228 Dump packet-matching code as decimal numbers (preceded with a count).
229 .TP
230 .B \-D
231 Print the list of the network interfaces available on the system and on
232 which
233 .I tcpdump
234 can capture packets.  For each network interface, a number and an
235 interface name, possibly followed by a text description of the
236 interface, is printed.  The interface name or the number can be supplied
237 to the
238 .B \-i
239 flag to specify an interface on which to capture.
240 .IP
241 This can be useful on systems that don't have a command to list them
242 (e.g., Windows systems, or UNIX systems lacking
243 .BR "ifconfig \-a" );
244 the number can be useful on Windows 2000 and later systems, where the
245 interface name is a somewhat complex string.
246 .IP
247 The
248 .B \-D
249 flag will not be supported if
250 .I tcpdump
251 was built with an older version of
252 .I libpcap
253 that lacks the
254 .B pcap_findalldevs()
255 function.
256 .TP
257 .B \-e
258 Print the link-level header on each dump line.
259 .TP
260 .B \-E
261 Use \fIspi@ipaddr algo:secret\fP for decrypting IPsec ESP packets that
262 are addressed to \fIaddr\fP and contain Security Parameter Index value
263 \fIspi\fP. This combination may be repeated with comma or newline separation.
264 .IP
265 Note that setting the secret for IPv4 ESP packets is supported at this time.
266 .IP
267 Algorithms may be
268 \fBdes-cbc\fP,
269 \fB3des-cbc\fP,
270 \fBblowfish-cbc\fP,
271 \fBrc3-cbc\fP,
272 \fBcast128-cbc\fP, or
273 \fBnone\fP.
274 The default is \fBdes-cbc\fP.
275 The ability to decrypt packets is only present if \fItcpdump\fP was compiled
276 with cryptography enabled.
277 .IP
278 \fIsecret\fP is the ASCII text for ESP secret key. 
279 If preceded by 0x, then a hex value will be read.
280 .IP
281 The option assumes RFC2406 ESP, not RFC1827 ESP.
282 The option is only for debugging purposes, and
283 the use of this option with a true `secret' key is discouraged.
284 By presenting IPsec secret key onto command line
285 you make it visible to others, via
286 .IR ps (1)
287 and other occasions.
288 .IP
289 In addition to the above syntax, the syntax \fIfile name\fP may be used
290 to have tcpdump read the provided file in. The file is opened upon 
291 receiving the first ESP packet, so any special permissions that tcpdump
292 may have been given should already have been given up.
293 .TP
294 .B \-f
295 Print `foreign' IPv4 addresses numerically rather than symbolically
296 (this option is intended to get around serious brain damage in
297 Sun's NIS server \(em usually it hangs forever translating non-local
298 internet numbers).
299 .IP
300 The test for `foreign' IPv4 addresses is done using the IPv4 address and
301 netmask of the interface on which capture is being done.  If that
302 address or netmask are not available, available, either because the
303 interface on which capture is being done has no address or netmask or
304 because the capture is being done on the Linux "any" interface, which
305 can capture on more than one interface, this option will not work
306 correctly.
307 .TP
308 .B \-F
309 Use \fIfile\fP as input for the filter expression.
310 An additional expression given on the command line is ignored.
311 .TP
312 .B \-G
313 If specified, rotates the dump file specified with the
314 .B \-w
315 option every \fIrotate_seconds\fP seconds.
316 Savefiles will have the name specified by
317 .B \-w
318 which should include a time format as defined by
319 .BR strftime (3).
320 If no time format is specified, each new file will overwrite the previous.
321 .IP
322 If used in conjunction with the
323 .B \-C
324 option, filenames will take the form of `\fIfile\fP<count>'.
325 .TP
326 .B \-h
327 Print the tcpdump and libpcap version strings, print a usage message,
328 and exit.
329 .TP
330 .B \-H
331 Attempt to detect 802.11s draft mesh headers.
332 .TP
333 .B \-i
334 Listen on \fIinterface\fP.
335 If unspecified, \fItcpdump\fP searches the system interface list for the
336 lowest numbered, configured up interface (excluding loopback).
337 Ties are broken by choosing the earliest match.
338 .IP
339 On Linux systems with 2.2 or later kernels, an
340 .I interface
341 argument of ``any'' can be used to capture packets from all interfaces.
342 Note that captures on the ``any'' device will not be done in promiscuous
343 mode.
344 .IP
345 If the
346 .B \-D
347 flag is supported, an interface number as printed by that flag can be
348 used as the
349 .I interface
350 argument.
351 .TP
352 .B \-I
353 Put the interface in "monitor mode"; this is supported only on IEEE
354 802.11 Wi-Fi interfaces, and supported only on some operating systems.
355 .IP
356 Note that in monitor mode the adapter might disassociate from the
357 network with which it's associated, so that you will not be able to use
358 any wireless networks with that adapter.  This could prevent accessing
359 files on a network server, or resolving host names or network addresses,
360 if you are capturing in monitor mode and are not connected to another
361 network with another adapter.
362 .IP
363 This flag will affect the output of the
364 .B \-L
365 flag.  If
366 .B \-I
367 isn't specified, only those link-layer types available when not in
368 monitor mode will be shown; if
369 .B \-I
370 is specified, only those link-layer types available when in monitor mode
371 will be shown.
372 .TP
373 .B \-j
374 Set the time stamp type for the capture to \fItstamp_type\fP.  The names
375 to use for the time stamp types are given in
376 .BR pcap-tstamp-type (@MAN_MISC_INFO@);
377 not all the types listed there will necessarily be valid for any given
378 interface.
379 .TP
380 .B \-J
381 List the supported time stamp types for the interface and exit.  If the
382 time stamp type cannot be set for the interface, no time stamp types are
383 listed.
384 .TP
385 .B \-K
386 Don't attempt to verify IP, TCP, or UDP checksums.  This is useful for
387 interfaces that perform some or all of those checksum calculation in
388 hardware; otherwise, all outgoing TCP checksums will be flagged as bad.
389 .TP
390 .B \-l
391 Make stdout line buffered.
392 Useful if you want to see the data
393 while capturing it.
394 E.g.,
395 .br
396 ``tcpdump\ \ \-l\ \ |\ \ tee dat'' or
397 ``tcpdump\ \ \-l \ \ > dat\ \ &\ \ tail\ \ \-f\ \ dat''.
398 .TP
399 .B \-L
400 List the known data link types for the interface, in the specified mode,
401 and exit.  The list of known data link types may be dependent on the
402 specified mode; for example, on some platforms, a Wi-Fi interface might
403 support one set of data link types when not in monitor mode (for
404 example, it might support only fake Ethernet headers, or might support
405 802.11 headers but not support 802.11 headers with radio information)
406 and another set of data link types when in monitor mode (for example, it
407 might support 802.11 headers, or 802.11 headers with radio information,
408 only in monitor mode).
409 .TP
410 .B \-m
411 Load SMI MIB module definitions from file \fImodule\fR.
412 This option
413 can be used several times to load several MIB modules into \fItcpdump\fP.
414 .TP
415 .B \-M
416 Use \fIsecret\fP as a shared secret for validating the digests found in
417 TCP segments with the TCP-MD5 option (RFC 2385), if present.
418 .TP
419 .B \-n
420 Don't convert addresses (i.e., host addresses, port numbers, etc.) to names.
421 .TP
422 .B \-N
423 Don't print domain name qualification of host names.
424 E.g.,
425 if you give this flag then \fItcpdump\fP will print ``nic''
426 instead of ``nic.ddn.mil''.
427 .TP
428 .B \-O
429 Do not run the packet-matching code optimizer.
430 This is useful only
431 if you suspect a bug in the optimizer.
432 .TP
433 .B \-p
434 \fIDon't\fP put the interface
435 into promiscuous mode.
436 Note that the interface might be in promiscuous
437 mode for some other reason; hence, `-p' cannot be used as an abbreviation for
438 `ether host {local-hw-addr} or ether broadcast'.
439 .TP
440 .B \-q
441 Quick (quiet?) output.
442 Print less protocol information so output
443 lines are shorter.
444 .TP
445 .B \-R
446 Assume ESP/AH packets to be based on old specification (RFC1825 to RFC1829).
447 If specified, \fItcpdump\fP will not print replay prevention field.
448 Since there is no protocol version field in ESP/AH specification,
449 \fItcpdump\fP cannot deduce the version of ESP/AH protocol.
450 .TP
451 .B \-r
452 Read packets from \fIfile\fR (which was created with the
453 .B \-w
454 option).
455 Standard input is used if \fIfile\fR is ``-''.
456 .TP
457 .B \-S
458 Print absolute, rather than relative, TCP sequence numbers.
459 .TP
460 .B \-s
461 Snarf \fIsnaplen\fP bytes of data from each packet rather than the
462 default of 65535 bytes.
463 Packets truncated because of a limited snapshot
464 are indicated in the output with ``[|\fIproto\fP]'', where \fIproto\fP
465 is the name of the protocol level at which the truncation has occurred.
466 Note that taking larger snapshots both increases
467 the amount of time it takes to process packets and, effectively,
468 decreases the amount of packet buffering.
469 This may cause packets to be
470 lost.
471 You should limit \fIsnaplen\fP to the smallest number that will
472 capture the protocol information you're interested in.
473 Setting
474 \fIsnaplen\fP to 0 sets it to the default of 65535,
475 for backwards compatibility with recent older versions of
476 .IR tcpdump .
477 .TP
478 .B \-T
479 Force packets selected by "\fIexpression\fP" to be interpreted the
480 specified \fItype\fR.
481 Currently known types are
482 \fBaodv\fR (Ad-hoc On-demand Distance Vector protocol),
483 \fBcnfp\fR (Cisco NetFlow protocol),
484 \fBrpc\fR (Remote Procedure Call),
485 \fBrtp\fR (Real-Time Applications protocol),
486 \fBrtcp\fR (Real-Time Applications control protocol),
487 \fBsnmp\fR (Simple Network Management Protocol),
488 \fBtftp\fR (Trivial File Transfer Protocol),
489 \fBvat\fR (Visual Audio Tool),
490 and
491 \fBwb\fR (distributed White Board).
492 .TP
493 .B \-t
494 \fIDon't\fP print a timestamp on each dump line.
495 .TP
496 .B \-tt
497 Print an unformatted timestamp on each dump line.
498 .TP
499 .B \-ttt
500 Print a delta (micro-second resolution) between current and previous line
501 on each dump line.
502 .TP
503 .B \-tttt
504 Print a timestamp in default format proceeded by date on each dump line.
505 .TP
506 .B \-ttttt
507 Print a delta (micro-second resolution) between current and first line
508 on each dump line.
509 .TP
510 .B \-u
511 Print undecoded NFS handles.
512 .TP
513 .B \-U
514 Make output saved via the
515 .B \-w
516 option ``packet-buffered''; i.e., as each packet is saved, it will be
517 written to the output file, rather than being written only when the
518 output buffer fills.
519 .IP
520 The
521 .B \-U
522 flag will not be supported if
523 .I tcpdump
524 was built with an older version of
525 .I libpcap
526 that lacks the
527 .B pcap_dump_flush()
528 function.
529 .TP
530 .B \-v
531 When parsing and printing, produce (slightly more) verbose output.
532 For example, the time to live,
533 identification, total length and options in an IP packet are printed.
534 Also enables additional packet integrity checks such as verifying the
535 IP and ICMP header checksum.
536 .IP
537 When writing to a file with the
538 .B \-w
539 option, report, every 10 seconds, the number of packets captured.
540 .TP
541 .B \-vv
542 Even more verbose output.
543 For example, additional fields are
544 printed from NFS reply packets, and SMB packets are fully decoded.
545 .TP
546 .B \-vvv
547 Even more verbose output.
548 For example,
549 telnet \fBSB\fP ... \fBSE\fP options
550 are printed in full.
551 With
552 .B \-X
553 Telnet options are printed in hex as well.
554 .TP
555 .B \-w
556 Write the raw packets to \fIfile\fR rather than parsing and printing
557 them out.
558 They can later be printed with the \-r option.
559 Standard output is used if \fIfile\fR is ``-''.
560 See
561 .BR pcap-savefile (@MAN_FILE_FORMATS@)
562 for a description of the file format.
563 .TP
564 .B \-W
565 Used in conjunction with the 
566 .B \-C 
567 option, this will limit the number
568 of files created to the specified number, and begin overwriting files
569 from the beginning, thus creating a 'rotating' buffer. 
570 In addition, it will name
571 the files with enough leading 0s to support the maximum number of
572 files, allowing them to sort correctly.
573 .IP
574 Used in conjunction with the 
575 .B \-G
576 option, this will limit the number of rotated dump files that get
577 created, exiting with status 0 when reaching the limit. If used with
578 .B \-C
579 as well, the behavior will result in cyclical files per timeslice.
580 .TP
581 .B \-x
582 When parsing and printing,
583 in addition to printing the headers of each packet, print the data of
584 each packet (minus its link level header) in hex. 
585 The smaller of the entire packet or
586 .I snaplen
587 bytes will be printed.  Note that this is the entire link-layer
588 packet, so for link layers that pad (e.g. Ethernet), the padding bytes
589 will also be printed when the higher layer packet is shorter than the
590 required padding.
591 .TP
592 .B \-xx
593 When parsing and printing,
594 in addition to printing the headers of each packet, print the data of
595 each packet,
596 .I including
597 its link level header, in hex.
598 .TP
599 .B \-X
600 When parsing and printing,
601 in addition to printing the headers of each packet, print the data of
602 each packet (minus its link level header) in hex and ASCII.
603 This is very handy for analysing new protocols.
604 .TP
605 .B \-XX
606 When parsing and printing,
607 in addition to printing the headers of each packet, print the data of
608 each packet,
609 .I including
610 its link level header, in hex and ASCII.
611 .TP
612 .B \-y
613 Set the data link type to use while capturing packets to \fIdatalinktype\fP.
614 .TP
615 .B \-z
616 Used in conjunction with the
617 .B -C
618 or
619 .B -G
620 options, this will make
621 .I tcpdump
622 run "
623 .I command file
624 " where
625 .I file
626 is the savefile being closed after each rotation. For example, specifying
627 .B \-z gzip
628 or
629 .B \-z bzip2
630 will compress each savefile using gzip or bzip2.
631 .IP
632 Note that tcpdump will run the command in parallel to the capture, using
633 the lowest priority so that this doesn't disturb the capture process.
634 .IP
635 And in case you would like to use a command that itself takes flags or
636 different arguments, you can always write a shell script that will take the
637 savefile name as the only argument, make the flags & arguments arrangements
638 and execute the command that you want.
639 .TP
640 .B \-Z
641 If
642 .I tcpdump
643 is running as root, after opening the capture device or input savefile,
644 but before opening any savefiles for output, change the user ID to
645 .I user
646 and the group ID to the primary group of
647 .IR user .
648 .IP
649 This behavior can also be enabled by default at compile time.
650 .IP "\fI expression\fP"
651 .RS
652 selects which packets will be dumped.
653 If no \fIexpression\fP
654 is given, all packets on the net will be dumped.
655 Otherwise,
656 only packets for which \fIexpression\fP is `true' will be dumped.
657 .LP
658 For the \fIexpression\fP syntax, see
659 .BR pcap-filter (@MAN_MISC_INFO@).
660 .LP
661 Expression arguments can be passed to \fItcpdump\fP as either a single
662 argument or as multiple arguments, whichever is more convenient.
663 Generally, if the expression contains Shell metacharacters, it is
664 easier to pass it as a single, quoted argument.
665 Multiple arguments are concatenated with spaces before being parsed.
666 .SH EXAMPLES
667 .LP
668 To print all packets arriving at or departing from \fIsundown\fP:
669 .RS
670 .nf
671 \fBtcpdump host sundown\fP
672 .fi
673 .RE
674 .LP
675 To print traffic between \fIhelios\fR and either \fIhot\fR or \fIace\fR:
676 .RS
677 .nf
678 \fBtcpdump host helios and \\( hot or ace \\)\fP
679 .fi
680 .RE
681 .LP
682 To print all IP packets between \fIace\fR and any host except \fIhelios\fR:
683 .RS
684 .nf
685 \fBtcpdump ip host ace and not helios\fP
686 .fi
687 .RE
688 .LP
689 To print all traffic between local hosts and hosts at Berkeley:
690 .RS
691 .nf
692 .B
693 tcpdump net ucb-ether
694 .fi
695 .RE
696 .LP
697 To print all ftp traffic through internet gateway \fIsnup\fP:
698 (note that the expression is quoted to prevent the shell from
699 (mis-)interpreting the parentheses):
700 .RS
701 .nf
702 .B
703 tcpdump 'gateway snup and (port ftp or ftp-data)'
704 .fi
705 .RE
706 .LP
707 To print traffic neither sourced from nor destined for local hosts
708 (if you gateway to one other net, this stuff should never make it
709 onto your local net).
710 .RS
711 .nf
712 .B
713 tcpdump ip and not net \fIlocalnet\fP
714 .fi
715 .RE
716 .LP
717 To print the start and end packets (the SYN and FIN packets) of each
718 TCP conversation that involves a non-local host.
719 .RS
720 .nf
721 .B
722 tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net \fIlocalnet\fP'
723 .fi
724 .RE
725 .LP
726 To print all IPv4 HTTP packets to and from port 80, i.e. print only
727 packets that contain data, not, for example, SYN and FIN packets and
728 ACK-only packets.  (IPv6 is left as an exercise for the reader.)
729 .RS
730 .nf
731 .B
732 tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'
733 .fi
734 .RE
735 .LP
736 To print IP packets longer than 576 bytes sent through gateway \fIsnup\fP:
737 .RS
738 .nf
739 .B
740 tcpdump 'gateway snup and ip[2:2] > 576'
741 .fi
742 .RE
743 .LP
744 To print IP broadcast or multicast packets that were
745 .I not
746 sent via Ethernet broadcast or multicast:
747 .RS
748 .nf
749 .B
750 tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'
751 .fi
752 .RE
753 .LP
754 To print all ICMP packets that are not echo requests/replies (i.e., not
755 ping packets):
756 .RS
757 .nf
758 .B
759 tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
760 .fi
761 .RE
762 .SH OUTPUT FORMAT
763 .LP
764 The output of \fItcpdump\fP is protocol dependent.
765 The following
766 gives a brief description and examples of most of the formats.
767 .de HD
768 .sp 1.5
769 .B
770 ..
771 .HD
772 Link Level Headers
773 .LP
774 If the '-e' option is given, the link level header is printed out.
775 On Ethernets, the source and destination addresses, protocol,
776 and packet length are printed.
777 .LP
778 On FDDI networks, the  '-e' option causes \fItcpdump\fP to print
779 the `frame control' field,  the source and destination addresses,
780 and the packet length.
781 (The `frame control' field governs the
782 interpretation of the rest of the packet.
783 Normal packets (such
784 as those containing IP datagrams) are `async' packets, with a priority
785 value between 0 and 7; for example, `\fBasync4\fR'.
786 Such packets
787 are assumed to contain an 802.2 Logical Link Control (LLC) packet;
788 the LLC header is printed if it is \fInot\fR an ISO datagram or a
789 so-called SNAP packet.
790 .LP
791 On Token Ring networks, the '-e' option causes \fItcpdump\fP to print
792 the `access control' and `frame control' fields, the source and
793 destination addresses, and the packet length.
794 As on FDDI networks,
795 packets are assumed to contain an LLC packet.
796 Regardless of whether
797 the '-e' option is specified or not, the source routing information is
798 printed for source-routed packets.
799 .LP
800 On 802.11 networks, the '-e' option causes \fItcpdump\fP to print
801 the `frame control' fields, all of the addresses in the 802.11 header,
802 and the packet length.
803 As on FDDI networks,
804 packets are assumed to contain an LLC packet.
805 .LP
806 \fI(N.B.: The following description assumes familiarity with
807 the SLIP compression algorithm described in RFC-1144.)\fP
808 .LP
809 On SLIP links, a direction indicator (``I'' for inbound, ``O'' for outbound),
810 packet type, and compression information are printed out.
811 The packet type is printed first.
812 The three types are \fIip\fP, \fIutcp\fP, and \fIctcp\fP.
813 No further link information is printed for \fIip\fR packets.
814 For TCP packets, the connection identifier is printed following the type.
815 If the packet is compressed, its encoded header is printed out.
816 The special cases are printed out as
817 \fB*S+\fIn\fR and \fB*SA+\fIn\fR, where \fIn\fR is the amount by which
818 the sequence number (or sequence number and ack) has changed.
819 If it is not a special case,
820 zero or more changes are printed.
821 A change is indicated by U (urgent pointer), W (window), A (ack),
822 S (sequence number), and I (packet ID), followed by a delta (+n or -n),
823 or a new value (=n).
824 Finally, the amount of data in the packet and compressed header length
825 are printed.
826 .LP
827 For example, the following line shows an outbound compressed TCP packet,
828 with an implicit connection identifier; the ack has changed by 6,
829 the sequence number by 49, and the packet ID by 6; there are 3 bytes of
830 data and 6 bytes of compressed header:
831 .RS
832 .nf
833 \fBO ctcp * A+6 S+49 I+6 3 (6)\fP
834 .fi
835 .RE
836 .HD
837 ARP/RARP Packets
838 .LP
839 Arp/rarp output shows the type of request and its arguments.
840 The
841 format is intended to be self explanatory.
842 Here is a short sample taken from the start of an `rlogin' from
843 host \fIrtsg\fP to host \fIcsam\fP:
844 .RS
845 .nf
846 .sp .5
847 \f(CWarp who-has csam tell rtsg
848 arp reply csam is-at CSAM\fR
849 .sp .5
850 .fi
851 .RE
852 The first line says that rtsg sent an arp packet asking
853 for the Ethernet address of internet host csam.
854 Csam
855 replies with its Ethernet address (in this example, Ethernet addresses
856 are in caps and internet addresses in lower case).
857 .LP
858 This would look less redundant if we had done \fItcpdump \-n\fP:
859 .RS
860 .nf
861 .sp .5
862 \f(CWarp who-has 128.3.254.6 tell 128.3.254.68
863 arp reply 128.3.254.6 is-at 02:07:01:00:01:c4\fP
864 .fi
865 .RE
866 .LP
867 If we had done \fItcpdump \-e\fP, the fact that the first packet is
868 broadcast and the second is point-to-point would be visible:
869 .RS
870 .nf
871 .sp .5
872 \f(CWRTSG Broadcast 0806  64: arp who-has csam tell rtsg
873 CSAM RTSG 0806  64: arp reply csam is-at CSAM\fR
874 .sp .5
875 .fi
876 .RE
877 For the first packet this says the Ethernet source address is RTSG, the
878 destination is the Ethernet broadcast address, the type field
879 contained hex 0806 (type ETHER_ARP) and the total length was 64 bytes.
880 .HD
881 TCP Packets
882 .LP
883 \fI(N.B.:The following description assumes familiarity with
884 the TCP protocol described in RFC-793.
885 If you are not familiar
886 with the protocol, neither this description nor \fItcpdump\fP will
887 be of much use to you.)\fP
888 .LP
889 The general format of a tcp protocol line is:
890 .RS
891 .nf
892 .sp .5
893 \fIsrc > dst: flags data-seqno ack window urgent options\fP
894 .sp .5
895 .fi
896 .RE
897 \fISrc\fP and \fIdst\fP are the source and destination IP
898 addresses and ports.
899 \fIFlags\fP are some combination of S (SYN),
900 F (FIN), P (PUSH), R (RST), U (URG), W (ECN CWR), E (ECN-Echo) or
901 `.' (ACK), or `none' if no flags are set.
902 \fIData-seqno\fP describes the portion of sequence space covered
903 by the data in this packet (see example below).
904 \fIAck\fP is sequence number of the next data expected the other
905 direction on this connection.
906 \fIWindow\fP is the number of bytes of receive buffer space available
907 the other direction on this connection.
908 \fIUrg\fP indicates there is `urgent' data in the packet.
909 \fIOptions\fP are tcp options enclosed in angle brackets (e.g., <mss 1024>).
910 .LP
911 \fISrc, dst\fP and \fIflags\fP are always present.
912 The other fields
913 depend on the contents of the packet's tcp protocol header and
914 are output only if appropriate.
915 .LP
916 Here is the opening portion of an rlogin from host \fIrtsg\fP to
917 host \fIcsam\fP.
918 .RS
919 .nf
920 .sp .5
921 \s-2\f(CWrtsg.1023 > csam.login: S 768512:768512(0) win 4096 <mss 1024>
922 csam.login > rtsg.1023: S 947648:947648(0) ack 768513 win 4096 <mss 1024>
923 rtsg.1023 > csam.login: . ack 1 win 4096
924 rtsg.1023 > csam.login: P 1:2(1) ack 1 win 4096
925 csam.login > rtsg.1023: . ack 2 win 4096
926 rtsg.1023 > csam.login: P 2:21(19) ack 1 win 4096
927 csam.login > rtsg.1023: P 1:2(1) ack 21 win 4077
928 csam.login > rtsg.1023: P 2:3(1) ack 21 win 4077 urg 1
929 csam.login > rtsg.1023: P 3:4(1) ack 21 win 4077 urg 1\fR\s+2
930 .sp .5
931 .fi
932 .RE
933 The first line says that tcp port 1023 on rtsg sent a packet
934 to port \fIlogin\fP
935 on csam.
936 The \fBS\fP indicates that the \fISYN\fP flag was set.
937 The packet sequence number was 768512 and it contained no data.
938 (The notation is `first:last(nbytes)' which means `sequence
939 numbers \fIfirst\fP
940 up to but not including \fIlast\fP which is \fInbytes\fP bytes of user data'.)
941 There was no piggy-backed ack, the available receive window was 4096
942 bytes and there was a max-segment-size option requesting an mss of
943 1024 bytes.
944 .LP
945 Csam replies with a similar packet except it includes a piggy-backed
946 ack for rtsg's SYN.
947 Rtsg then acks csam's SYN.
948 The `.' means the ACK flag was set.
949 The packet contained no data so there is no data sequence number.
950 Note that the ack sequence
951 number is a small integer (1).
952 The first time \fItcpdump\fP sees a
953 tcp `conversation', it prints the sequence number from the packet.
954 On subsequent packets of the conversation, the difference between
955 the current packet's sequence number and this initial sequence number
956 is printed.
957 This means that sequence numbers after the
958 first can be interpreted
959 as relative byte positions in the conversation's data stream (with the
960 first data byte each direction being `1').
961 `-S' will override this
962 feature, causing the original sequence numbers to be output.
963 .LP
964 On the 6th line, rtsg sends csam 19 bytes of data (bytes 2 through 20
965 in the rtsg \(-> csam side of the conversation).
966 The PUSH flag is set in the packet.
967 On the 7th line, csam says it's received data sent by rtsg up to
968 but not including byte 21.
969 Most of this data is apparently sitting in the
970 socket buffer since csam's receive window has gotten 19 bytes smaller.
971 Csam also sends one byte of data to rtsg in this packet.
972 On the 8th and 9th lines,
973 csam sends two bytes of urgent, pushed data to rtsg.
974 .LP
975 If the snapshot was small enough that \fItcpdump\fP didn't capture
976 the full TCP header, it interprets as much of the header as it can
977 and then reports ``[|\fItcp\fP]'' to indicate the remainder could not
978 be interpreted.
979 If the header contains a bogus option (one with a length
980 that's either too small or beyond the end of the header), \fItcpdump\fP
981 reports it as ``[\fIbad opt\fP]'' and does not interpret any further
982 options (since it's impossible to tell where they start).
983 If the header
984 length indicates options are present but the IP datagram length is not
985 long enough for the options to actually be there, \fItcpdump\fP reports
986 it as ``[\fIbad hdr length\fP]''.
987 .HD
988 .B Capturing TCP packets with particular flag combinations (SYN-ACK, URG-ACK, etc.)
989 .PP
990 There are 8 bits in the control bits section of the TCP header:
991 .IP
992 .I CWR | ECE | URG | ACK | PSH | RST | SYN | FIN
993 .PP
994 Let's assume that we want to watch packets used in establishing
995 a TCP connection.
996 Recall that TCP uses a 3-way handshake protocol
997 when it initializes a new connection; the connection sequence with
998 regard to the TCP control bits is
999 .PP
1000 .RS
1001 1) Caller sends SYN
1002 .RE
1003 .RS
1004 2) Recipient responds with SYN, ACK
1005 .RE
1006 .RS
1007 3) Caller sends ACK
1008 .RE
1009 .PP
1010 Now we're interested in capturing packets that have only the
1011 SYN bit set (Step 1).
1012 Note that we don't want packets from step 2
1013 (SYN-ACK), just a plain initial SYN.
1014 What we need is a correct filter
1015 expression for \fItcpdump\fP.
1016 .PP
1017 Recall the structure of a TCP header without options:
1018 .PP
1019 .nf
1020  0                            15                              31
1021 -----------------------------------------------------------------
1022 |          source port          |       destination port        |
1023 -----------------------------------------------------------------
1024 |                        sequence number                        |
1025 -----------------------------------------------------------------
1026 |                     acknowledgment number                     |
1027 -----------------------------------------------------------------
1028 |  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size            |
1029 -----------------------------------------------------------------
1030 |         TCP checksum          |       urgent pointer          |
1031 -----------------------------------------------------------------
1032 .fi
1033 .PP
1034 A TCP header usually holds 20 octets of data, unless options are
1035 present.
1036 The first line of the graph contains octets 0 - 3, the
1037 second line shows octets 4 - 7 etc.
1038 .PP
1039 Starting to count with 0, the relevant TCP control bits are contained
1040 in octet 13:
1041 .PP
1042 .nf
1043  0             7|             15|             23|             31
1044 ----------------|---------------|---------------|----------------
1045 |  HL   | rsvd  |C|E|U|A|P|R|S|F|        window size            |
1046 ----------------|---------------|---------------|----------------
1047 |               |  13th octet   |               |               |
1048 .fi
1049 .PP
1050 Let's have a closer look at octet no. 13:
1051 .PP
1052 .nf
1053                 |               |
1054                 |---------------|
1055                 |C|E|U|A|P|R|S|F|
1056                 |---------------|
1057                 |7   5   3     0|
1058 .fi
1059 .PP
1060 These are the TCP control bits we are interested
1061 in.
1062 We have numbered the bits in this octet from 0 to 7, right to
1063 left, so the PSH bit is bit number 3, while the URG bit is number 5.
1064 .PP
1065 Recall that we want to capture packets with only SYN set.
1066 Let's see what happens to octet 13 if a TCP datagram arrives
1067 with the SYN bit set in its header:
1068 .PP
1069 .nf
1070                 |C|E|U|A|P|R|S|F|
1071                 |---------------|
1072                 |0 0 0 0 0 0 1 0|
1073                 |---------------|
1074                 |7 6 5 4 3 2 1 0|
1075 .fi
1076 .PP
1077 Looking at the
1078 control bits section we see that only bit number 1 (SYN) is set.
1079 .PP
1080 Assuming that octet number 13 is an 8-bit unsigned integer in
1081 network byte order, the binary value of this octet is
1082 .IP
1083 00000010
1084 .PP
1085 and its decimal representation is
1086 .PP
1087 .nf
1088    7     6     5     4     3     2     1     0
1089 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 0*2 + 1*2 + 0*2  =  2
1090 .fi
1091 .PP
1092 We're almost done, because now we know that if only SYN is set,
1093 the value of the 13th octet in the TCP header, when interpreted
1094 as a 8-bit unsigned integer in network byte order, must be exactly 2.
1095 .PP
1096 This relationship can be expressed as
1097 .RS
1098 .B
1099 tcp[13] == 2
1100 .RE
1101 .PP
1102 We can use this expression as the filter for \fItcpdump\fP in order
1103 to watch packets which have only SYN set:
1104 .RS
1105 .B
1106 tcpdump -i xl0 tcp[13] == 2
1107 .RE
1108 .PP
1109 The expression says "let the 13th octet of a TCP datagram have
1110 the decimal value 2", which is exactly what we want.
1111 .PP
1112 Now, let's assume that we need to capture SYN packets, but we
1113 don't care if ACK or any other TCP control bit is set at the
1114 same time.
1115 Let's see what happens to octet 13 when a TCP datagram
1116 with SYN-ACK set arrives:
1117 .PP
1118 .nf
1119      |C|E|U|A|P|R|S|F|
1120      |---------------|
1121      |0 0 0 1 0 0 1 0|
1122      |---------------|
1123      |7 6 5 4 3 2 1 0|
1124 .fi
1125 .PP
1126 Now bits 1 and 4 are set in the 13th octet.
1127 The binary value of
1128 octet 13 is
1129 .IP
1130      00010010
1131 .PP
1132 which translates to decimal
1133 .PP
1134 .nf
1135    7     6     5     4     3     2     1     0
1136 0*2 + 0*2 + 0*2 + 1*2 + 0*2 + 0*2 + 1*2 + 0*2   = 18
1137 .fi
1138 .PP
1139 Now we can't just use 'tcp[13] == 18' in the \fItcpdump\fP filter
1140 expression, because that would select only those packets that have
1141 SYN-ACK set, but not those with only SYN set.
1142 Remember that we don't care
1143 if ACK or any other control bit is set as long as SYN is set.
1144 .PP
1145 In order to achieve our goal, we need to logically AND the
1146 binary value of octet 13 with some other value to preserve
1147 the SYN bit.
1148 We know that we want SYN to be set in any case,
1149 so we'll logically AND the value in the 13th octet with
1150 the binary value of a SYN:
1151 .PP
1152 .nf
1153
1154           00010010 SYN-ACK              00000010 SYN
1155      AND  00000010 (we want SYN)   AND  00000010 (we want SYN)
1156           --------                      --------
1157      =    00000010                 =    00000010
1158 .fi
1159 .PP
1160 We see that this AND operation delivers the same result
1161 regardless whether ACK or another TCP control bit is set.
1162 The decimal representation of the AND value as well as
1163 the result of this operation is 2 (binary 00000010),
1164 so we know that for packets with SYN set the following
1165 relation must hold true:
1166 .IP
1167 ( ( value of octet 13 ) AND ( 2 ) ) == ( 2 )
1168 .PP
1169 This points us to the \fItcpdump\fP filter expression
1170 .RS
1171 .B
1172      tcpdump -i xl0 'tcp[13] & 2 == 2'
1173 .RE
1174 .PP
1175 Some offsets and field values may be expressed as names
1176 rather than as numeric values. For example tcp[13] may
1177 be replaced with tcp[tcpflags]. The following TCP flag
1178 field values are also available: tcp-fin, tcp-syn, tcp-rst,
1179 tcp-push, tcp-act, tcp-urg.
1180 .PP
1181 This can be demonstrated as:
1182 .RS
1183 .B 
1184      tcpdump -i xl0 'tcp[tcpflags] & tcp-push != 0'
1185 .RE
1186 .PP
1187 Note that you should use single quotes or a backslash
1188 in the expression to hide the AND ('&') special character
1189 from the shell.
1190 .HD
1191 .B
1192 UDP Packets
1193 .LP
1194 UDP format is illustrated by this rwho packet:
1195 .RS
1196 .nf
1197 .sp .5
1198 \f(CWactinide.who > broadcast.who: udp 84\fP
1199 .sp .5
1200 .fi
1201 .RE
1202 This says that port \fIwho\fP on host \fIactinide\fP sent a udp
1203 datagram to port \fIwho\fP on host \fIbroadcast\fP, the Internet
1204 broadcast address.
1205 The packet contained 84 bytes of user data.
1206 .LP
1207 Some UDP services are recognized (from the source or destination
1208 port number) and the higher level protocol information printed.
1209 In particular, Domain Name service requests (RFC-1034/1035) and Sun
1210 RPC calls (RFC-1050) to NFS.
1211 .HD
1212 UDP Name Server Requests
1213 .LP
1214 \fI(N.B.:The following description assumes familiarity with
1215 the Domain Service protocol described in RFC-1035.
1216 If you are not familiar
1217 with the protocol, the following description will appear to be written
1218 in greek.)\fP
1219 .LP
1220 Name server requests are formatted as
1221 .RS
1222 .nf
1223 .sp .5
1224 \fIsrc > dst: id op? flags qtype qclass name (len)\fP
1225 .sp .5
1226 \f(CWh2opolo.1538 > helios.domain: 3+ A? ucbvax.berkeley.edu. (37)\fR
1227 .sp .5
1228 .fi
1229 .RE
1230 Host \fIh2opolo\fP asked the domain server on \fIhelios\fP for an
1231 address record (qtype=A) associated with the name \fIucbvax.berkeley.edu.\fP
1232 The query id was `3'.
1233 The `+' indicates the \fIrecursion desired\fP flag
1234 was set.
1235 The query length was 37 bytes, not including the UDP and
1236 IP protocol headers.
1237 The query operation was the normal one, \fIQuery\fP,
1238 so the op field was omitted.
1239 If the op had been anything else, it would
1240 have been printed between the `3' and the `+'.
1241 Similarly, the qclass was the normal one,
1242 \fIC_IN\fP, and omitted.
1243 Any other qclass would have been printed
1244 immediately after the `A'.
1245 .LP
1246 A few anomalies are checked and may result in extra fields enclosed in
1247 square brackets:  If a query contains an answer, authority records or
1248 additional records section,
1249 .IR ancount ,
1250 .IR nscount ,
1251 or
1252 .I arcount
1253 are printed as `[\fIn\fPa]', `[\fIn\fPn]' or  `[\fIn\fPau]' where \fIn\fP
1254 is the appropriate count.
1255 If any of the response bits are set (AA, RA or rcode) or any of the
1256 `must be zero' bits are set in bytes two and three, `[b2&3=\fIx\fP]'
1257 is printed, where \fIx\fP is the hex value of header bytes two and three.
1258 .HD
1259 UDP Name Server Responses
1260 .LP
1261 Name server responses are formatted as
1262 .RS
1263 .nf
1264 .sp .5
1265 \fIsrc > dst:  id op rcode flags a/n/au type class data (len)\fP
1266 .sp .5
1267 \f(CWhelios.domain > h2opolo.1538: 3 3/3/7 A 128.32.137.3 (273)
1268 helios.domain > h2opolo.1537: 2 NXDomain* 0/1/0 (97)\fR
1269 .sp .5
1270 .fi
1271 .RE
1272 In the first example, \fIhelios\fP responds to query id 3 from \fIh2opolo\fP
1273 with 3 answer records, 3 name server records and 7 additional records.
1274 The first answer record is type A (address) and its data is internet
1275 address 128.32.137.3.
1276 The total size of the response was 273 bytes,
1277 excluding UDP and IP headers.
1278 The op (Query) and response code
1279 (NoError) were omitted, as was the class (C_IN) of the A record.
1280 .LP
1281 In the second example, \fIhelios\fP responds to query 2 with a
1282 response code of non-existent domain (NXDomain) with no answers,
1283 one name server and no authority records.
1284 The `*' indicates that
1285 the \fIauthoritative answer\fP bit was set.
1286 Since there were no
1287 answers, no type, class or data were printed.
1288 .LP
1289 Other flag characters that might appear are `\-' (recursion available,
1290 RA, \fInot\fP set) and `|' (truncated message, TC, set).
1291 If the
1292 `question' section doesn't contain exactly one entry, `[\fIn\fPq]'
1293 is printed.
1294 .HD
1295 SMB/CIFS decoding
1296 .LP
1297 \fItcpdump\fP now includes fairly extensive SMB/CIFS/NBT decoding for data
1298 on UDP/137, UDP/138 and TCP/139.
1299 Some primitive decoding of IPX and
1300 NetBEUI SMB data is also done.
1301 .LP
1302 By default a fairly minimal decode is done, with a much more detailed
1303 decode done if -v is used.
1304 Be warned that with -v a single SMB packet
1305 may take up a page or more, so only use -v if you really want all the
1306 gory details.
1307 .LP
1308 For information on SMB packet formats and what all the fields mean see
1309 www.cifs.org or the pub/samba/specs/ directory on your favorite
1310 samba.org mirror site.
1311 The SMB patches were written by Andrew Tridgell
1312 (tridge@samba.org).
1313 .HD
1314 NFS Requests and Replies
1315 .LP
1316 Sun NFS (Network File System) requests and replies are printed as:
1317 .RS
1318 .nf
1319 .sp .5
1320 \fIsrc.xid > dst.nfs: len op args\fP
1321 \fIsrc.nfs > dst.xid: reply stat len op results\fP
1322 .sp .5
1323 \f(CW
1324 sushi.6709 > wrl.nfs: 112 readlink fh 21,24/10.73165
1325 wrl.nfs > sushi.6709: reply ok 40 readlink "../var"
1326 sushi.201b > wrl.nfs:
1327         144 lookup fh 9,74/4096.6878 "xcolors"
1328 wrl.nfs > sushi.201b:
1329         reply ok 128 lookup fh 9,74/4134.3150
1330 \fR
1331 .sp .5
1332 .fi
1333 .RE
1334 In the first line, host \fIsushi\fP sends a transaction with id \fI6709\fP
1335 to \fIwrl\fP (note that the number following the src host is a
1336 transaction id, \fInot\fP the source port).
1337 The request was 112 bytes,
1338 excluding the UDP and IP headers.
1339 The operation was a \fIreadlink\fP
1340 (read symbolic link) on file handle (\fIfh\fP) 21,24/10.731657119.
1341 (If one is lucky, as in this case, the file handle can be interpreted
1342 as a major,minor device number pair, followed by the inode number and
1343 generation number.)
1344 \fIWrl\fP replies `ok' with the contents of the link.
1345 .LP
1346 In the third line, \fIsushi\fP asks \fIwrl\fP to lookup the name
1347 `\fIxcolors\fP' in directory file 9,74/4096.6878.
1348 Note that the data printed
1349 depends on the operation type.
1350 The format is intended to be self
1351 explanatory if read in conjunction with
1352 an NFS protocol spec.
1353 .LP
1354 If the \-v (verbose) flag is given, additional information is printed.
1355 For example:
1356 .RS
1357 .nf
1358 .sp .5
1359 \f(CW
1360 sushi.1372a > wrl.nfs:
1361         148 read fh 21,11/12.195 8192 bytes @ 24576
1362 wrl.nfs > sushi.1372a:
1363         reply ok 1472 read REG 100664 ids 417/0 sz 29388
1364 \fP
1365 .sp .5
1366 .fi
1367 .RE
1368 (\-v also prints the IP header TTL, ID, length, and fragmentation fields,
1369 which have been omitted from this example.)  In the first line,
1370 \fIsushi\fP asks \fIwrl\fP to read 8192 bytes from file 21,11/12.195,
1371 at byte offset 24576.
1372 \fIWrl\fP replies `ok'; the packet shown on the
1373 second line is the first fragment of the reply, and hence is only 1472
1374 bytes long (the other bytes will follow in subsequent fragments, but
1375 these fragments do not have NFS or even UDP headers and so might not be
1376 printed, depending on the filter expression used).
1377 Because the \-v flag
1378 is given, some of the file attributes (which are returned in addition
1379 to the file data) are printed: the file type (``REG'', for regular file),
1380 the file mode (in octal), the uid and gid, and the file size.
1381 .LP
1382 If the \-v flag is given more than once, even more details are printed.
1383 .LP
1384 Note that NFS requests are very large and much of the detail won't be printed
1385 unless \fIsnaplen\fP is increased.
1386 Try using `\fB\-s 192\fP' to watch
1387 NFS traffic.
1388 .LP
1389 NFS reply packets do not explicitly identify the RPC operation.
1390 Instead,
1391 \fItcpdump\fP keeps track of ``recent'' requests, and matches them to the
1392 replies using the transaction ID.
1393 If a reply does not closely follow the
1394 corresponding request, it might not be parsable.
1395 .HD
1396 AFS Requests and Replies
1397 .LP
1398 Transarc AFS (Andrew File System) requests and replies are printed
1399 as:
1400 .HD
1401 .RS
1402 .nf
1403 .sp .5
1404 \fIsrc.sport > dst.dport: rx packet-type\fP
1405 \fIsrc.sport > dst.dport: rx packet-type service call call-name args\fP
1406 \fIsrc.sport > dst.dport: rx packet-type service reply call-name args\fP
1407 .sp .5
1408 \f(CW
1409 elvis.7001 > pike.afsfs:
1410         rx data fs call rename old fid 536876964/1/1 ".newsrc.new"
1411         new fid 536876964/1/1 ".newsrc"
1412 pike.afsfs > elvis.7001: rx data fs reply rename
1413 \fR
1414 .sp .5
1415 .fi
1416 .RE
1417 In the first line, host elvis sends a RX packet to pike.
1418 This was
1419 a RX data packet to the fs (fileserver) service, and is the start of
1420 an RPC call.
1421 The RPC call was a rename, with the old directory file id
1422 of 536876964/1/1 and an old filename of `.newsrc.new', and a new directory
1423 file id of 536876964/1/1 and a new filename of `.newsrc'.
1424 The host pike
1425 responds with a RPC reply to the rename call (which was successful, because
1426 it was a data packet and not an abort packet).
1427 .LP
1428 In general, all AFS RPCs are decoded at least by RPC call name.
1429 Most
1430 AFS RPCs have at least some of the arguments decoded (generally only
1431 the `interesting' arguments, for some definition of interesting).
1432 .LP
1433 The format is intended to be self-describing, but it will probably
1434 not be useful to people who are not familiar with the workings of
1435 AFS and RX.
1436 .LP
1437 If the -v (verbose) flag is given twice, acknowledgement packets and
1438 additional header information is printed, such as the the RX call ID,
1439 call number, sequence number, serial number, and the RX packet flags.
1440 .LP
1441 If the -v flag is given twice, additional information is printed,
1442 such as the the RX call ID, serial number, and the RX packet flags.
1443 The MTU negotiation information is also printed from RX ack packets.
1444 .LP
1445 If the -v flag is given three times, the security index and service id
1446 are printed.
1447 .LP
1448 Error codes are printed for abort packets, with the exception of Ubik
1449 beacon packets (because abort packets are used to signify a yes vote
1450 for the Ubik protocol).
1451 .LP
1452 Note that AFS requests are very large and many of the arguments won't
1453 be printed unless \fIsnaplen\fP is increased.
1454 Try using `\fB-s 256\fP'
1455 to watch AFS traffic.
1456 .LP
1457 AFS reply packets do not explicitly identify the RPC operation.
1458 Instead,
1459 \fItcpdump\fP keeps track of ``recent'' requests, and matches them to the
1460 replies using the call number and service ID.
1461 If a reply does not closely
1462 follow the
1463 corresponding request, it might not be parsable.
1464
1465 .HD
1466 KIP AppleTalk (DDP in UDP)
1467 .LP
1468 AppleTalk DDP packets encapsulated in UDP datagrams are de-encapsulated
1469 and dumped as DDP packets (i.e., all the UDP header information is
1470 discarded).
1471 The file
1472 .I /etc/atalk.names
1473 is used to translate AppleTalk net and node numbers to names.
1474 Lines in this file have the form
1475 .RS
1476 .nf
1477 .sp .5
1478 \fInumber       name\fP
1479
1480 \f(CW1.254              ether
1481 16.1            icsd-net
1482 1.254.110       ace\fR
1483 .sp .5
1484 .fi
1485 .RE
1486 The first two lines give the names of AppleTalk networks.
1487 The third
1488 line gives the name of a particular host (a host is distinguished
1489 from a net by the 3rd octet in the number \-
1490 a net number \fImust\fP have two octets and a host number \fImust\fP
1491 have three octets.)  The number and name should be separated by
1492 whitespace (blanks or tabs).
1493 The
1494 .I /etc/atalk.names
1495 file may contain blank lines or comment lines (lines starting with
1496 a `#').
1497 .LP
1498 AppleTalk addresses are printed in the form
1499 .RS
1500 .nf
1501 .sp .5
1502 \fInet.host.port\fP
1503
1504 \f(CW144.1.209.2 > icsd-net.112.220
1505 office.2 > icsd-net.112.220
1506 jssmag.149.235 > icsd-net.2\fR
1507 .sp .5
1508 .fi
1509 .RE
1510 (If the
1511 .I /etc/atalk.names
1512 doesn't exist or doesn't contain an entry for some AppleTalk
1513 host/net number, addresses are printed in numeric form.)
1514 In the first example, NBP (DDP port 2) on net 144.1 node 209
1515 is sending to whatever is listening on port 220 of net icsd node 112.
1516 The second line is the same except the full name of the source node
1517 is known (`office').
1518 The third line is a send from port 235 on
1519 net jssmag node 149 to broadcast on the icsd-net NBP port (note that
1520 the broadcast address (255) is indicated by a net name with no host
1521 number \- for this reason it's a good idea to keep node names and
1522 net names distinct in /etc/atalk.names).
1523 .LP
1524 NBP (name binding protocol) and ATP (AppleTalk transaction protocol)
1525 packets have their contents interpreted.
1526 Other protocols just dump
1527 the protocol name (or number if no name is registered for the
1528 protocol) and packet size.
1529
1530 \fBNBP packets\fP are formatted like the following examples:
1531 .RS
1532 .nf
1533 .sp .5
1534 \s-2\f(CWicsd-net.112.220 > jssmag.2: nbp-lkup 190: "=:LaserWriter@*"
1535 jssmag.209.2 > icsd-net.112.220: nbp-reply 190: "RM1140:LaserWriter@*" 250
1536 techpit.2 > icsd-net.112.220: nbp-reply 190: "techpit:LaserWriter@*" 186\fR\s+2
1537 .sp .5
1538 .fi
1539 .RE
1540 The first line is a name lookup request for laserwriters sent by net icsd host
1541 112 and broadcast on net jssmag.
1542 The nbp id for the lookup is 190.
1543 The second line shows a reply for this request (note that it has the
1544 same id) from host jssmag.209 saying that it has a laserwriter
1545 resource named "RM1140" registered on port 250.
1546 The third line is
1547 another reply to the same request saying host techpit has laserwriter
1548 "techpit" registered on port 186.
1549
1550 \fBATP packet\fP formatting is demonstrated by the following example:
1551 .RS
1552 .nf
1553 .sp .5
1554 \s-2\f(CWjssmag.209.165 > helios.132: atp-req  12266<0-7> 0xae030001
1555 helios.132 > jssmag.209.165: atp-resp 12266:0 (512) 0xae040000
1556 helios.132 > jssmag.209.165: atp-resp 12266:1 (512) 0xae040000
1557 helios.132 > jssmag.209.165: atp-resp 12266:2 (512) 0xae040000
1558 helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
1559 helios.132 > jssmag.209.165: atp-resp 12266:4 (512) 0xae040000
1560 helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
1561 helios.132 > jssmag.209.165: atp-resp 12266:6 (512) 0xae040000
1562 helios.132 > jssmag.209.165: atp-resp*12266:7 (512) 0xae040000
1563 jssmag.209.165 > helios.132: atp-req  12266<3,5> 0xae030001
1564 helios.132 > jssmag.209.165: atp-resp 12266:3 (512) 0xae040000
1565 helios.132 > jssmag.209.165: atp-resp 12266:5 (512) 0xae040000
1566 jssmag.209.165 > helios.132: atp-rel  12266<0-7> 0xae030001
1567 jssmag.209.133 > helios.132: atp-req* 12267<0-7> 0xae030002\fR\s+2
1568 .sp .5
1569 .fi
1570 .RE
1571 Jssmag.209 initiates transaction id 12266 with host helios by requesting
1572 up to 8 packets (the `<0-7>').
1573 The hex number at the end of the line
1574 is the value of the `userdata' field in the request.
1575 .LP
1576 Helios responds with 8 512-byte packets.
1577 The `:digit' following the
1578 transaction id gives the packet sequence number in the transaction
1579 and the number in parens is the amount of data in the packet,
1580 excluding the atp header.
1581 The `*' on packet 7 indicates that the
1582 EOM bit was set.
1583 .LP
1584 Jssmag.209 then requests that packets 3 & 5 be retransmitted.
1585 Helios
1586 resends them then jssmag.209 releases the transaction.
1587 Finally,
1588 jssmag.209 initiates the next request.
1589 The `*' on the request
1590 indicates that XO (`exactly once') was \fInot\fP set.
1591
1592 .HD
1593 IP Fragmentation
1594 .LP
1595 Fragmented Internet datagrams are printed as
1596 .RS
1597 .nf
1598 .sp .5
1599 \fB(frag \fIid\fB:\fIsize\fB@\fIoffset\fB+)\fR
1600 \fB(frag \fIid\fB:\fIsize\fB@\fIoffset\fB)\fR
1601 .sp .5
1602 .fi
1603 .RE
1604 (The first form indicates there are more fragments.
1605 The second
1606 indicates this is the last fragment.)
1607 .LP
1608 \fIId\fP is the fragment id.
1609 \fISize\fP is the fragment
1610 size (in bytes) excluding the IP header.
1611 \fIOffset\fP is this
1612 fragment's offset (in bytes) in the original datagram.
1613 .LP
1614 The fragment information is output for each fragment.
1615 The first
1616 fragment contains the higher level protocol header and the frag
1617 info is printed after the protocol info.
1618 Fragments
1619 after the first contain no higher level protocol header and the
1620 frag info is printed after the source and destination addresses.
1621 For example, here is part of an ftp from arizona.edu to lbl-rtsg.arpa
1622 over a CSNET connection that doesn't appear to handle 576 byte datagrams:
1623 .RS
1624 .nf
1625 .sp .5
1626 \s-2\f(CWarizona.ftp-data > rtsg.1170: . 1024:1332(308) ack 1 win 4096 (frag 595a:328@0+)
1627 arizona > rtsg: (frag 595a:204@328)
1628 rtsg.1170 > arizona.ftp-data: . ack 1536 win 2560\fP\s+2
1629 .sp .5
1630 .fi
1631 .RE
1632 There are a couple of things to note here:  First, addresses in the
1633 2nd line don't include port numbers.
1634 This is because the TCP
1635 protocol information is all in the first fragment and we have no idea
1636 what the port or sequence numbers are when we print the later fragments.
1637 Second, the tcp sequence information in the first line is printed as if there
1638 were 308 bytes of user data when, in fact, there are 512 bytes (308 in
1639 the first frag and 204 in the second).
1640 If you are looking for holes
1641 in the sequence space or trying to match up acks
1642 with packets, this can fool you.
1643 .LP
1644 A packet with the IP \fIdon't fragment\fP flag is marked with a
1645 trailing \fB(DF)\fP.
1646 .HD
1647 Timestamps
1648 .LP
1649 By default, all output lines are preceded by a timestamp.
1650 The timestamp
1651 is the current clock time in the form
1652 .RS
1653 .nf
1654 \fIhh:mm:ss.frac\fP
1655 .fi
1656 .RE
1657 and is as accurate as the kernel's clock.
1658 The timestamp reflects the time the kernel first saw the packet.
1659 No attempt
1660 is made to account for the time lag between when the
1661 Ethernet interface removed the packet from the wire and when the kernel
1662 serviced the `new packet' interrupt.
1663 .SH "SEE ALSO"
1664 stty(1), pcap(3), bpf(4), pcap-savefile(@MAN_FILE_FORMATS@),
1665 pcap-filter(@MAN_MISC_INFO@), pcap-tstamp-type(@MAN_MISC_INFO@)
1666 .SH AUTHORS
1667 The original authors are:
1668 .LP
1669 Van Jacobson,
1670 Craig Leres and
1671 Steven McCanne, all of the
1672 Lawrence Berkeley National Laboratory, University of California, Berkeley, CA.
1673 .LP
1674 It is currently being maintained by tcpdump.org.
1675 .LP
1676 The current version is available via http:
1677 .LP
1678 .RS
1679 .I http://www.tcpdump.org/
1680 .RE
1681 .LP
1682 The original distribution is available via anonymous ftp:
1683 .LP
1684 .RS
1685 .I ftp://ftp.ee.lbl.gov/tcpdump.tar.Z
1686 .RE
1687 .LP
1688 IPv6/IPsec support is added by WIDE/KAME project.
1689 This program uses Eric Young's SSLeay library, under specific configurations.
1690 .SH BUGS
1691 Please send problems, bugs, questions, desirable enhancements, patches
1692 etc. to:
1693 .LP
1694 .RS
1695 tcpdump-workers@lists.tcpdump.org
1696 .RE
1697 .LP
1698 NIT doesn't let you watch your own outbound traffic, BPF will.
1699 We recommend that you use the latter.
1700 .LP
1701 On Linux systems with 2.0[.x] kernels:
1702 .IP
1703 packets on the loopback device will be seen twice;
1704 .IP
1705 packet filtering cannot be done in the kernel, so that all packets must
1706 be copied from the kernel in order to be filtered in user mode;
1707 .IP
1708 all of a packet, not just the part that's within the snapshot length,
1709 will be copied from the kernel (the 2.0[.x] packet capture mechanism, if
1710 asked to copy only part of a packet to userland, will not report the
1711 true length of the packet; this would cause most IP packets to get an
1712 error from
1713 .BR tcpdump );
1714 .IP
1715 capturing on some PPP devices won't work correctly.
1716 .LP
1717 We recommend that you upgrade to a 2.2 or later kernel.
1718 .LP
1719 Some attempt should be made to reassemble IP fragments or, at least
1720 to compute the right length for the higher level protocol.
1721 .LP
1722 Name server inverse queries are not dumped correctly: the (empty)
1723 question section is printed rather than real query in the answer
1724 section.
1725 Some believe that inverse queries are themselves a bug and
1726 prefer to fix the program generating them rather than \fItcpdump\fP.
1727 .LP
1728 A packet trace that crosses a daylight savings time change will give
1729 skewed time stamps (the time change is ignored).
1730 .LP
1731 Filter expressions on fields other than those in Token Ring headers will
1732 not correctly handle source-routed Token Ring packets.
1733 .LP
1734 Filter expressions on fields other than those in 802.11 headers will not
1735 correctly handle 802.11 data packets with both To DS and From DS set.
1736 .LP
1737 .BR "ip6 proto"
1738 should chase header chain, but at this moment it does not.
1739 .BR "ip6 protochain"
1740 is supplied for this behavior.
1741 .LP
1742 Arithmetic expression against transport layer headers, like \fBtcp[0]\fP,
1743 does not work against IPv6 packets.
1744 It only looks at IPv4 packets.