tcpdump 输出的意思？

laoyangtou

[ root]#tcpdump\r\n17:40:24.907949 IP 192.168.40.143.netbios-ns > 192.168.40.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST\r\n17:40:36.160607 IP 192.168.40.143.netbios-ns > 192.168.40.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST\r\n17:40:36.702464 IP 192.168.40.86.netbios-dgm > 192.168.40.255.netbios-dgm: NBT UDP PACKET(13\r\n\r\n\r\n这里192.168.40.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST \r\n一、netbios-ns 是什么意思？自己查了下知道可能是个端口。\r\n二、NBT UDP PACKET(137)这个是什么意思？ NBT 指什么？\r\n\r\n三、第一句我理解是 时间，ID号（但不知道是什么的ID?）, 从192.168.40.143 到192.168.40.255的包，后面跟 QUERY; REQUEST; BROADCAST这一般指什么？\r\n    ID号（但不知道是什么的ID?）？

ssffzz1

NBT  NETBIOS 微软的一种协议。\r\nnetbios-ns NETBIOS的邻居发现端口。\r\n\r\n那个不是ID号，应该是毫秒数。

unixlinuxsys

会发贴\r\n不会man?\r\n不会google?

hyagami

NBT NetBios Traffic \r\nNBT UDP PACKET(137)  传送UDP数据包到137端口\r\n17:40:24.907949 这个要整体看待，17：40不用说，具体分析时应该是从24.907949判断发包的延时，\r\n运行于微妙精度的OS，毫秒\r\nQUERY; REQUEST; BROADCAST这一般指什么？ 包的类型，请求 应答 广播

laoyangtou

我一般都是google一圈再发帖的。发帖时不得以的办法。

laoyangtou

17:40:24.907949 ？    是  时：分：秒：毫秒的格式，我觉得 907949不像是毫秒。\r\n如果是毫那么  907849/1000=907.849  ，有点不符合情况啊。

ssffzz1

忘记的差不多了。参看TCPDUMP手册。

hyagami

不好意思，这个我解释的不到位了，确切的来说907949应该理解为时钟精度的一种形式\r\n\r\n像对于类17:40:24.907949 这样的格式tcpdump输出的时间戳是运行于一个微妙精度的系统中的，这个差值就是你看到的在微\r\n\r\n妙精度系统中可以打印到小数点的第6位，相对于更早的bsd系统来说，它只能提供10ms的精度，打印到只能小数点后2位，这个\r\n\r\n还是取决于你的os，更精确的时间戳当然也有利于你分析分组的时间差啦:wink: