【前言】
tcpdump过滤规则是BPF。在做实验过程中有时需要借助tcpdump过滤出想要的TCP包,那么tcpdump关于tcp过滤有两种方式,并且有所差异。
(在如下例子中并未涉及tcpdump其他参数。)
【方式一】
过滤条件直接写为“tcp”。
eg:shell>tcpdump tcp
【方式二】
过滤条件描述为“ip[9]=6”
原因:IP首部第十个字节表示协议号,若将IP首部看成数组,从0开始计数,则ip[9]表示协议号,且TCP的协议号为6。
eg:shell>tcpdump ip[9]=6
【对比】
第一种方式支持IPV6和IPV4格式的数据包处理。第二种方式只支持IPV4格式,会遗漏IPV6格式的TCP数据包。
一般情况下,两者过滤得到的结果是一致的,因为日常生活中IPV4格式数据包居多,但当遇到IPV4和IPV6两种格式同时存在时,方式二会遗漏数据包。所以还是建议大家使用方式一。
PS:如果您正在尝试自己编程过滤TCP数据包,而且需要tcpdump的过滤结果来验证自己程序的正确性时,若您的处理结果与方式一得到的结果不同,可以尝试方式二。