The following is an excerpt from the output of tcpdump -nli eth1:
13:03:17.277327 IP 192.168.123.5.1065 > 192.168.5.112.21: Flags [.], ack 1 (truncated) 13:03:17.598624 IP 192.168.5.112.21 > 192.168.123.5.1065: Flags [P.], seq (truncated)
Which network service or protocol was used?
A. FTP
B. HTTP
C. SSH
D. DNS
E. DHCP
題解
「tcpdump」指令可以用來顯示網路介面的封包。「-n」參數可以讓「tcpdump」指令不去反查主機IP的名稱。「-l」參數可以讓「tcpdump」指令的標準輸出可以被暫存並再導到檔案或是其它的指令中,確保接收的程式每次接到的封包資料都是完整的。「-i」指令可以指定要監控的網路介面。
「192.168.123.5.1065 > 192.168.5.112.21」表示此封包是由「192.168.123.5」的1065埠傳給「192.168.5.112」的21埠。
我們可以從封包來源和目的地的連接埠,來推斷封包使用什麼協定。21是FTP預設的連接埠,因此答案為選項「A」。