Синтаксическая ошибка выражения tcpdump в `ip proto tcp`

Question

Я внимательно изучил справочные страницы tcpdump и pcap-filter (который определяет грамматику выражения tcpdump), но не смог найти причину, по которой мое выражение является ошибкой:

$ sudo tcpdump -i lo 'ip proto tcp'
tcpdump: syntax error

Страница man четко прописанаip proto protocol допустимая грамматика: https://www.tcpdump.org/manpages/pcap-filter.7.html

Может ли проблема быть несовпадением версий?

Answer 1

Похоже, tcpdump не понимает псевдоним tcp в этом контексте.Вам нужно будет использовать фактический номер протокола IP:

sudo tcpdump -i lo ip proto 0x6

---

Если вы также хотите использовать IPv6 (что и означает tcpdump -i lo tcp):

sudo tcpdump -i lo ip proto 0x6 or ip6 proto 0x6