proto [ expr : size ]
proto指定一个协议,expr表示从哪个字节开始(1个字节是8位,因此就表示第多少个8位组),size是偏移几个字节(8位组) 例如
ip[9]==1表示抓icmp协议,因为IP包中的第9个字节是表示的协议类型,1是icmp协议。
tcp[0:2]=80 表示源端口为80,因为tcp包中第0个字节开始并偏移2个字节,即表示tcp包的开始前16位,正好是源端口
tcp[2:2]=80表示目的端口为80,因为从第2字节(实际就是第三个字节开始,因为从0开始数)并偏移2个字节,正好是目的端口所占用的16位。
icmp[0]=8 表示echo request,因为icmp的第一个字节正好表示icmp的type,type=8表示回显请求
文章评论