Может ли tcpdump фильтровать по протоколу прикладного уровня?

Question

Мне не очень повезло в поиске способа для tcpdump фильтровать по протоколу прикладного уровня, как HTTP или FTP.Кажется, он может фильтровать по большинству протоколов транспортного уровня, таких как TCP или UDP: https://linux.die.net/man/7/pcap-filter

Правда ли, что tcpdump не имеет функции для проверки и идентификации заголовков протоколов прикладного уровня, как это делает Wireshark?

Answer 1

tcpdump использует синтаксис фильтров pcap и позволяет выполнять фильтрацию по порту с помощью:

tcp port 80

или

tcp port 21

Если вы хотите выполнить фильтрацию по приложениюпротокол уровня, вам придется использовать TShark .С помощью этого инструмента вы можете использовать фильтры захвата с тем же синтаксисом, что и у фильтров pcap, но также фильтры отображения , которые позволяют фильтровать по протоколу прикладного уровня с помощью:

http

или

ftp