能放在中括号里的有哪些，比如tcpflags

在 tcpdump 的过滤器表达式中，可以放在中括号里的有以下几种：

- `ether [subtype]`：匹配以太网数据包的子类型字段。
- `ip [ip_option]`：匹配 IP 数据包的选项字段。
- `tcp [tcp_option]`：匹配 TCP 数据包的选项字段。
- `udp [udp_option]`：匹配 UDP 数据包的选项字段。
- `icmp [icmp_option]`：匹配 ICMP 数据包的选项字段。
- `vlan [vlan_id]`：匹配 VLAN 标签。
- `ip6 [ipv6_option]`：匹配 IPv6 数据包的选项字段。
- `mpls [stack_entry]`：匹配 MPLS 数据包的标签栈。

其中，`tcp [tcp_option]` 中的 `tcp_option` 可以是 TCP 数据包头部中的任何字段，例如：

- `tcp [tcpflags]`：匹配 TCP 数据包头部中的标志位字段。
- `tcp [tcpseq]`：匹配 TCP 数据包头部中的序列号字段。
- `tcp [tcpack]`：匹配 TCP 数据包头部中的确认号字段。
- `tcp [tcpwindow]`：匹配 TCP 数据包头部中的窗口大小字段。

需要注意的是，放在中括号里的选项都是小写字母。

相关问题

tcpdump tcp[tcpflags] tcpflags只能放在中括号里面吗？src为什么不用？

在 tcpdump 的过滤器表达式中，TCP 头部的标志位字节可以使用 tcpflags 或者 tcp[tcpflags] 来表示。两者的作用是相同的，都是匹配 TCP 头部的标志位字节。

而对于 IP 数据包头部的源地址字段，可以使用 src 或者 ip src 来表示，两者的作用也是相同的。这是因为在 tcpdump 的过滤器表达式中，有些字段可以使用简写，比如 src 就是简写形式，而 ip src 就是完整形式。

需要注意的是，在 tcpdump 的过滤器表达式中，如果一个字段不是 TCP 头部、IP 头部或者数据包负载等部分的内容，那么就不能使用中括号来表示。比如，如果要匹配 UDP 协议的数据包，可以使用 udp 来表示，而不能使用 udp[] 来表示。

源端口号也是TCP头部的字段，为什么不能放在中括号里面

你是对的，TCP 头部中的源端口号和目的端口号都可以作为过滤选项放在中括号里面。例如，`tcp [src port <port>]` 可以匹配源端口号为 `<port>` 的 TCP 数据包，`tcp [dst port <port>]` 可以匹配目的端口号为 `<port>` 的 TCP 数据包。

需要注意的是，放在中括号里的选项需要使用正确的语法，包括正确的字段名和可选的操作符。在 TCP 头部中，源端口号和目的端口号分别占用了前两个字节和后两个字节，因此可以使用 `src port` 和 `dst port` 分别指定源端口号和目的端口号。