在 tcpdump 过滤中“port”和“tcp”是否冗余?

tag-icon tag-icon tcpdump filtering
在 tcpdump 过滤中“port”和“tcp”是否冗余?

为什么在使用“port”时要在“tcpdump”过滤器中强制使用“tcp”,因为端口号是在 TCP 标头中定义的(而不是 IP)。

换句话说,

tcpdump tcp and port 10000

同义词

tcpdump port 10000

答案1

不。

  • tcp and port 10000表示“tcp 端口 10000”
  • port 10000表示“tcp 端口 10000 或 udp 端口​​ 10000”,是(tcp or udp) and port 10000

例如,如果我想仅查看通过 TCP 传输的 DNS 数据包(而不是默认的 UDP),我会强制使用 TCP。

tcpdump应该被命名packetdump或者netdump因为它可以转储低至第 2 层的数据包信息,而不是其名称所暗示的第 4 层。)

相关内容