如两个图,为什么http放在前面不可以,放在后面就可以诶,而且在网上搜的bpf过滤规则里面proto里面也没有http诶,最多看到tcp和udp
--------------摘抄-------------
过滤规则由一个或多个原语组成。原语通常由一个标识(id, 名称或数字)和标识前面的一个或多个限定词组成。
过滤规则有三种类型的限定词,分别为 type、dir 和 proto。
1.type
类型限定词,说明标识的类型,即名字的类型或数字的类型。大概有 host、net 和 port 三种类型。例如 ’host foo’, ’net 128.3’, ’port 20’。如果不指定类型修饰字,就使用默认的 host。
2.dir
方向限定词,说明相对于标识的传输方向,即数据是传入还是传出标识。可以使用的方向有 src, dst, src or dst 和 src and dst。例如,’src foo’, ’dst net 128.3’, ’src or dst port ftp-data’。如果不指定方向限定词,就使用默认的 src or dst。对于’null’ 链路层(就是说像 slip 之类的点到点协议),用 inbound 和 outbound 限定词指定所需的传输方向。
3.proto
协议限定词,说明过滤规则指定的协议。可以使用的协议有: ether, fddi, ip, arp, rarp, decnet,lat, sca, moprc, mopdl, tcp 和 udp。例如,’ether src foo’, ’arp net 128.3’, ’tcp port 21’。如果不指定协议限定词,就使用所有符合类型的协议。例如,’src foo’ 指(ip 或 arp 或 rarp)src foo’ , ’netbar’ 指 ’ (ip 或 arp 或 rarp) net bar’, ’port 53’ 指(tcp 或 udp)port 53’。
)