BPF過濾規則及tcpdump命令詳解

libpcap支持一種功能很是強大的過濾語言——「伯克利包過濾」語法。使用BPF過濾規則，你能夠肯定該獲取和檢查哪些流量，忽略哪些流量。BPF讓你可以經過比較第二、三、4層協議中各個數據字段值的方法對流量進行過濾。BPF中內置了一些「基元」來指代一些經常使用的協議字段。能夠用「host」、"prot"之類的基元寫出很是簡潔的BPF過濾規則，也能夠檢測位於指定偏移量上的字段（甚至能夠是一個位）的值。

>>阅读原文<<