The following is an excerpt from the output of tcpdump -nli eth1 'udp':



13:03:17.277327 IP 192.168.123.5.1065 > 192.168.5.112.53: 43653+ A? lpi.org. (25)
13:03:17.598624 IP 192.168.5.112.53 > 192.168.123.5.1065: 43653 1/0/0 A 198.51.100.42 (41)

Which network service or protocol was used?

A. FTP
B. HTTP
C. SSH
D. DNS
E. DHCP

題解

「tcpdump」指令可以用來顯示網路介面的封包。「-n」參數可以讓「tcpdump」指令不去反查主機IP的名稱。「-l」參數可以讓「tcpdump」指令的標準輸出可以被暫存並再導到檔案或是其它的指令中,確保接收的程式每次接到的封包資料都是完整的。「-i」指令可以指定要監控的網路介面。「udp」參數是指要過濾掉非UDP協定的封包。

「192.168.123.5.1065 > 192.168.5.112.53」表示此封包是由「192.168.123.5」的1065埠傳給「192.168.5.112」的53埠。

我們可以從封包來源和目的地的連接埠,來推斷封包使用什麼協定。53是DNS預設的連接埠,因此答案為選項「D」。