Краткая помощь:
Фильтр:
Каждое выражение, задающее фильтр, включает один или несколько примитивов, состоящих из одного или нескольких идентификаторов объекта и предшествующих ему классификаторов. Идентификатором объекта может служить его имя или номер. Классификаторы объектов могут относиться к одному из трех видов:
type – указывает тип объекта, заданного идентификатором. В качестве типа объектов могут указываться значения:
host (хост),
net (сеть),
port (порт).
Если тип объекта не указан, предполагается значение host.
dir – задает направление по отношению к объекту. Для этого классификатора поддерживаются значения:
src (объект является отправителем),
dst (объект является получателем),
src or dst (отправитель или получатель),
src and dst (отправитель и получатель).
Если классификатор dir не задан, предполагается значение src or dst.
Для режима захвата с фиктивного интерфейса any могут использоваться классификаторы inbound и outbound.
proto – задает протокол, к которому должны относиться пакеты. Этот классификатор может принимать значения:
ether, fddi1, tr2, wlan3, ip, ip6, arp, rarp, decnet, tcp и udp.
Если примитив не содержит классификатора протокола, предполагается, что данному фильтру удовлетворяют все протоколы, совместимые с типом объекта.
Кроме объектов и квалификаторов примитивы могут содержать ключевые слова:
gateway (шлюз),
broadcast (широковещательный),
less (меньше),
greater (больше),
арифметические выражения.
Сложные фильтры могут содержать множество примитивов, связанных между собой с использованием логических операторов and, or и not. Для сокращения задающих фильтры выражений можно опускать идентичные списки квалификаторов.
Примеры фильтров:
dst foo – будет отбирать пакеты, в которых поле адреса получателя IPv4/v6 содержит адрес хоста foo;
src net 128.3.0.0/16 – выбирает все пакеты IPv4/v6, отправленные из указанной сети;
ether broadcast – обеспечивает отбор всех широковещательных кадров Ethernet. Ключевое слово ether может быть опущено.
Для получения более детальной информации о фильтрации пакетов обращайтесь к специализированным ресурсам.
