tcpdump tcp[tcpflags] tcpflags只能放在中括号里面吗？src为什么不用？

在 tcpdump 的过滤器表达式中，TCP 头部的标志位字节可以使用 tcpflags 或者 tcp[tcpflags] 来表示。两者的作用是相同的，都是匹配 TCP 头部的标志位字节。

而对于 IP 数据包头部的源地址字段，可以使用 src 或者 ip src 来表示，两者的作用也是相同的。这是因为在 tcpdump 的过滤器表达式中，有些字段可以使用简写，比如 src 就是简写形式，而 ip src 就是完整形式。

需要注意的是，在 tcpdump 的过滤器表达式中，如果一个字段不是 TCP 头部、IP 头部或者数据包负载等部分的内容，那么就不能使用中括号来表示。比如，如果要匹配 UDP 协议的数据包，可以使用 udp 来表示，而不能使用 udp[] 来表示。

相关问题

tcpdump中源端口号也是TCP头部的字段，为什么不能放在中括号里面

非常抱歉，我之前的回答有误。在 tcpdump 的过滤器表达式中，源端口号和目的端口号都可以作为过滤选项放在中括号里面。

例如，`tcp [src port <port>]` 可以匹配源端口号为 `<port>` 的 TCP 数据包，`tcp [dst port <port>]` 可以匹配目的端口号为 `<port>` 的 TCP 数据包。

需要注意的是，放在中括号里的选项需要使用正确的语法，包括正确的字段名和可选的操作符。在 TCP 头部中，源端口号和目的端口号各占用了 2 个字节，因此可以使用 `src port` 和 `dst port` 分别指定源端口号和目的端口号。

能放在中括号里的有哪些，比如tcpflags

在 tcpdump 的过滤器表达式中，可以放在中括号里的有以下几种：

- `ether [subtype]`：匹配以太网数据包的子类型字段。
- `ip [ip_option]`：匹配 IP 数据包的选项字段。
- `tcp [tcp_option]`：匹配 TCP 数据包的选项字段。
- `udp [udp_option]`：匹配 UDP 数据包的选项字段。
- `icmp [icmp_option]`：匹配 ICMP 数据包的选项字段。
- `vlan [vlan_id]`：匹配 VLAN 标签。
- `ip6 [ipv6_option]`：匹配 IPv6 数据包的选项字段。
- `mpls [stack_entry]`：匹配 MPLS 数据包的标签栈。

其中，`tcp [tcp_option]` 中的 `tcp_option` 可以是 TCP 数据包头部中的任何字段，例如：

- `tcp [tcpflags]`：匹配 TCP 数据包头部中的标志位字段。
- `tcp [tcpseq]`：匹配 TCP 数据包头部中的序列号字段。
- `tcp [tcpack]`：匹配 TCP 数据包头部中的确认号字段。
- `tcp [tcpwindow]`：匹配 TCP 数据包头部中的窗口大小字段。

需要注意的是，放在中括号里的选项都是小写字母。