tcpdump过滤tcp的两种方式

【前言】

tcpdump过滤规则是BPF。在做实验过程中有时需要借助tcpdump过滤出想要的TCP包，那么tcpdump关于tcp过滤有两种方式，并且有所差异。

（在如下例子中并未涉及tcpdump其他参数。）

【方式一】

过滤条件直接写为“tcp”。

        eg：shell>tcpdump  tcp

【方式二】

过滤条件描述为“ip[9]=6”

        原因：IP首部第十个字节表示协议号，若将IP首部看成数组，从0开始计数，则ip[9]表示协议号，且TCP的协议号为6。

eg:shell>tcpdump ip[9]=6

【对比】

第一种方式支持IPV6和IPV4格式的数据包处理。第二种方式只支持IPV4格式，会遗漏IPV6格式的TCP数据包。

一般情况下，两者过滤得到的结果是一致的，因为日常生活中IPV4格式数据包居多，但当遇到IPV4和IPV6两种格式同时存在时，方式二会遗漏数据包。所以还是建议大家使用方式一。

PS:如果您正在尝试自己编程过滤TCP数据包，而且需要tcpdump的过滤结果来验证自己程序的正确性时，若您的处理结果与方式一得到的结果不同，可以尝试方式二。