我没有太多运气找到tcpdump通过应用层协议(如HTTP或FTP)进行过滤的方法。它似乎可以过滤大多数传输层协议,如TCP或UDP:https://linux.die.net/man/7/pcap-filter
是不是tcpdump没有像Wireshark那样检查和识别应用层协议头的功能?
答案 0 :(得分:1)
tcpdump使用pcap过滤器语法,允许您按端口过滤:
tcp port 80
或
tcp port 21
如果要按应用层协议进行过滤,则必须使用TShark。使用此工具,您可以使用capture filters语法与pcap过滤器相同,但也可以使用display filters,它允许您按应用程序层协议过滤:
http
或
ftp