阅读tcpdump我发现这个例子的联机帮助页
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'
但我不明白,尤其是最后一部分。
该tcp[tcpflags] & (tcp-syn|tcp-fin) != 0部分过滤所有设置了 SYN 或 FIN 位的数据包。
过滤什么not src and dst net localnet?
同一手册页中的解释说
打印涉及非本地主机的每个 TCP 会话的开始和结束数据包(SYN 和 FIN 数据包)。
但在我看来,src这本身并不是一种表达。
答案1
您可以这样解析该过滤器的第二部分
not ( (src and dest) net localnet )
它的简写为
not src net localnet and not dest net localnet