解构BPF过滤器的tcpdump

tcp[12:1]处于从TCP报头的开头的12个字节偏移字节; 12是而不是从数据包开始的偏移量，它是从TCP报头（它是tcp[12:1]，而不是ether[12:1]或诸如此类的东西）开始的偏移量。 “1”是被引用的字节数。

根据RFC 793这是TCP的规范，从the TCP header开始的偏移量为12字节的字节包含高4位的数据偏移量，低4位为保留位。数据偏移量是“TCP报头中32位字的数量”，其中“指示数据从何处开始”。

数据包中的数据显示为一个字节对序列。如果以单个字节序列的形式呈现，则会更容易理解，因此：

0x0000: 1a 17 8e 8a a3 a0 02 6d 62 7d 04 9c 08 00 45 00 
     eth dest   eth src   etype IP hdr 

数据包的前6个字节是以太网目标地址。

数据包的下6个字节是以太网源地址。

之后的2个字节是以太网类型值;它是big-endian，所以它的值是0x0800，它是IPv4的以太网类型值。

接下来的2个字节是IPv4标头的前2个字节。根据作为IPv4规范的RFC 791，the IPv4 header的第一个字节包含IP版本的高4位和低4位的报头长度。该字节的值为0x45，因此IP版本为4（因为它应该是IPv4）并且标头长度为5.标头长度“是32位字中互联网标头的长度”，所以这是5 32位字或20个字节。

所以，现在，让我们跳过IPv4报头，并转到TCP报头：

0x0020: 0d c9 ba f0 1f 90 86 e2 f3 b7 f9 9e b5 03 80 18 
       TCP header       12 13 

所以TCP报头的12个字节是0x80的。 0x80 & 0xf0是0x80，并且0x80 >> 2是0x20，它是32;这与该字节的高4位是数据偏移是一致的，32位字为8 * 4 = 32。

tcp[((tcp[12:1] & 0xf0) >> 2):4]因此，对于这个分组，tcp[32:4]，即在偏移处的4个字节从TCP头部开始的32。从TCP报头的开头

32个字节是：

0x0040: 2e78 4745 5420 2f69 636f 6e73 2f75 6e6b 
      ^

那里，而这在HTTP请求的“GET”报头，在TCP数据段的开头开始。所讨论的4个字节是“GET”。

所以在tcp[12:1]的12 不的从分组的开始偏移，这是从TCP报头（这是tcp[12:1]，不ether[12:1]或为一些诸如）开始偏移。

而且，在回答中数据包的字节，它们是什么问题：

0x0000: 1a 17 8e 8a a3 a0: Ethernet destination 
     02 6d 62 7d 04 9c: Ethernet source 
     08 00: Ethernet type/length field - 0x0800 = IPv4 

所以第14（0x000e）数据包的字节是以太网报头。

在该分组，以太网类型/长度字段为0x0800，所以以太网有效载荷，所述以太网报头以下，是IPv4分组，具有一个IPv4标头开始：

  45: IPv4 version/header length 
     00: IPv4 Type of Service/Differentiated Service 
0x0010: 0a e2: IPv4 total length 
     9c bf: IPv4 identification 
     40 00: IPv4 flags/fragment offset 
     3f: IPv4 time-to-live 
     06: IPv4 (next) protocol - 6 = TCP 
     ac 3b: IPv4 header checksum 
     0a f0 23 51: IPv4 source address 
     ac 11: first 2 bytes of IPv4 destination address 
0x0020: 0d c9: second 2 bytes of IPv4 destination address 

IPv4标头长度是5，所以IPv4标头是20个字节。这是最小的IPv4标头长度;它不能更小，但如果在头部的固定长度部分之后有IPv4选项，则它可以更大。在这种情况下没有任何东西。

由于协议字段具有值6，IPv4的有效载荷是一个TCP包：

  ba f0: TCP source port (47856) 
     1f 90: TCP destination port (8080) 
     86 e2 f3 b7: TCP sequence number 
     f9 9e b5 03: TCP acknowledgment number 
     80: TCP data offset + reserved bits 
     18: reserved bits + TCP flags 
0x0030: 00 1c: TCP window 
     f2 ef: TCP checksum 
     00 00: TCP urgent pointer 

这就是TCP报头的20字节固定长度的部分;然而，TCP报头长度是32个字节，所以有一个额外的12个字节的TCP选项在标题：

  01: TCP No-Operation option 
     01: TCP No-Operation option 
     08 0a 71 a8 6f 0b 0c c8: first 8 bytes of TCP Timestamp option 
0x0040: 2e 78: last 2 bytes of TCP Timestamp option 

甲TCP报头的长度必须是32位的倍数，即4个字节的倍数; TCP选项的长度可能不是4的倍数 - TCP时间戳选项的长度为10个字节 - 因此无操作选项用于填充。

那么这32个字节就是TCP头;接下来是TCP有效载荷。显然，这是一个HTTP连接上（该分组被发送到端口8080，这是一个备用HTTP端口），并且这是HTTP GET请求的开始：

  47 45 54 20 2f 69 63 6f 6e 73 2f 75 6e 6b 
0x0050: 6e 6f 77 6e 2e 67 69 66 20 48 54 54 50 2f 31 2e 
0x0060: 31 0d 0a 68 6f 73 74 3a 20 70 68 70 2d 6d 69 6e 

所以：

• 因为这是在以太网或Wi-Fi网络（不处于监控模式）时捕获的（或者在某些其他类型的使用以太网接头的网络上，或者适配器或驱动程序提供“假以太网”与Wi-Fi），数据包将以以太网报头开始;
• 由于以太网类型值为0x0800，所以后面跟着一个IPv4标头;
• 由于IPv4协议值是6，所以后面跟着一个TCP报头;
• 作为TCP端口号之一是通常由HTTP（8080）使用的端口号，它的可能是后面是某种类型的HTTP数据（但不保证，但是 - TCP端口号更像是提示） 。

对于ARP在同一个网络，你会再有一个以太网的头部（ffff ffff是以太网广播地址，所以该数据包是正在播出，如ARP请求通常是），使用以太网类型0x0806 ，这是ARP的以太网类型值。

对于通过同一网络的ICMP，您将再次拥有以太网标头，并且您还将拥有IPv4标头，因此以太网类型将为0x0800。对于ICMP，IPv4标头中协议字段的值将为1。