В описании допустимых выражений tcpdump на страницах руководства pcap-filter указано:
Выражение фильтра состоит из одного или нескольких примитивов. Примитивы обычно состоят из идентификатора (имени или числа), которому предшествует один или несколько квалификаторов.
В свою очередь, эти квалификаторы type
, dir
и proto
. Пока все хорошо, но ниже мы находим следующее:
ip host host
which is equivalent to:
ether proto \ip and host host
В первом случае ip
и host
являются, соответственно, proto
и type
. Какой узор ether proto \ip
следовать? Разве это не в целом proto
квалификатор? Если да, то почему нет (правильно экранированный) 'ether proto \ip host host
'юридический (нет and
)?
В ether proto \ip
«\ ip» - это идентификатор. Который ether proto \ip
означает то же самое, что и ip
на уровне содержания не означает, что оба должны быть синтаксически эквивалентными.