tcpdump按码流内容过滤

tcpdump 是一款非常强大的网络抓包分析工具，可以捕获网络数据包并对其进行分析。tcpdump 支持按照多种条件进行过滤，包括按照源/目的 IP、端口号、协议类型等进行过滤，还可以按照特定的数据包内容进行过滤。

如果你想按照码流内容进行过滤，可以使用 tcpdump 的 "string" 选项。该选项可以用于指定要匹配的字符串，例如：

上述命令会抓取 eth0 接口上的所有 TCP 端口为 80 的数据包，并过滤出其中包含字符串 "GET " 的数据包，该字符串对应的十六进制值为 0x47455420。

在这个例子中，"tcp[((tcp[12:1] & 0xf0) >> 2):4]" 表示取 TCP 头的第一个字节（tcp[0]）中的前 4 位（tcp[12:1] & 0xf0），然后将其向右移动两位（>> 2）得到一个字节的偏移量，然后取该偏移量后面的 4 个字节作为数据，即为 TCP 负载（payload）的内容。

请注意，在实际使用中，你需要根据自己的需要调整过滤条件和字符串匹配方式。由于 tcpdump 用法繁多，建议查看相关的文档和使用示例以获取更多信息。

当你想按照 UDP 数据包中的内容进行过滤时，可以使用 tcpdump 的 "udp" 选项，指定要抓取的 UDP 数据包，并使用 "string" 选项指定要匹配的字符串。

下面是一个使用 tcpdump 进行 UDP 数据包内容过滤的示例命令：

这个命令会在 eth0 接口上抓取 UDP 端口号为 53 的数据包，然后使用 "string" 选项过滤出包含字符串 "example.com" 的数据包。其中，"udp[10:2] & 0x8000 = 0x8000" 表示对数据包的第 11-12 字节（即 UDP 校验和字段）进行按位与运算，判断该数据包是否开启了 DNSSEC 功能。

如果你想过滤出 UDP 数据包中的指定字节范围内的内容，可以使用 "udp[offset:length]" 选项，指定要抓取的 UDP 数据包，并使用 "string" 选项指定要匹配的字符串。例如：

这个命令会在 eth0 接口上抓取 UDP 端口号为 53 的数据包，然后使用 "string" 选项过滤出包含字符串 "example.com" 的数据包。其中，"udp[8:2] = 0x0001" 和 "udp[12:2] = 0x0001" 分别表示匹配 DNS 查询报文的查询类型和查询类别字段。

请注意，在实际使用中，你需要根据自己的需要调整过滤条件和字符串匹配方式。由于 tcpdump 用法繁多，建议查看相关的文档和使用示例以获取更多信息。