在对有效tcpdumpexpression式的描述中,pcap-filter手册页指出:
filterexpression式由一个或多个基元组成。 图元通常由一个id(名字或数字)组成,前面有一个或多个限定符。
反过来,这些限定符是type , dir和proto 。 到目前为止这么好,但进一步下去,我们发现这一点:
ip host host which is equivalent to: ether proto \ip and host host
在第一种情况下, ip和host分别是proto和type 。 ether proto \ip遵循什么模式? 整体而言,这不是一个proto资格赛吗? 如果是这样,为什么没有(一个正确逃脱)“ ether proto \ip host host ”合法(不and )?
在ether proto \ip “\ ip”是ID。 这个ether proto \ip意味着在内容层次上与ip相同并不意味着两者在语法上都是相同的。