TCPDUMP过滤规则说明

TCPDUMP 是一款强大的命令行数据包分析器，尤其当基于GUI的报文分析工具在目标机器不可行的情况下。

 

TCPDUMP可以设置一些过滤规则(Expression)以提升抓包效率, 过滤规则可以分为两类：简单规则以及组合规则。

简单规则

dst host host

目标IP地址

src host host

源IP地址

host host

源或者目标IP地址

dst net net

        目标网络， 如： dst net 192.168.100.0 255.255.255.0

src net net

源网络， 如： dst net 192.168.100.0 255.255.255.0.

net net

源或者目标网络 如：net 192.168.100.0 255.255.255.0.

dst port port

目标端口号，无论是TCP还是UDP，均会被匹配.

src port port

源端口号，无论是TCP还是UDP，均会被匹配.

port port

源或者目标端口号，无论是TCP还是UDP，均会被匹配

dst portrange port1-port2

目标端口号范围，无论是TCP还是UDP，范围内的目标端口号均会被匹配.  

src portrange port1-port2

源端口号范围，无论是TCP还是UDP，范围内的源端口号均会被匹配.  

less length

报文长度小于某值会被匹配，即:

len <= length

greater length

报文长度大于某值会被匹配，即：

len >= length

组合规则

可以用以下运算符进行组合：

非 (`!' or `not').

与(`&&' or `and').

或(`||' or `or').