tcpdump 是一款非常強大的網(wǎng)絡(luò)抓包分析工具，可以捕獲網(wǎng)絡(luò)數(shù)據(jù)包并對其進行分析。tcpdump 支持按照多種條件進行過濾，包括按照源/目的 IP、端口號、協(xié)議類型等進行過濾，還可以按照特定的數(shù)據(jù)包內(nèi)容進行過濾。

如果你想按照碼流內(nèi)容進行過濾，可以使用 tcpdump 的 "string" 選項。該選項可以用于指定要匹配的字符串，例如：

上述命令會抓取 eth0 接口上的所有 TCP 端口為 80 的數(shù)據(jù)包，并過濾出其中包含字符串 "GET " 的數(shù)據(jù)包，該字符串對應(yīng)的十六進制值為 0x47455420。

在這個例子中，"tcp[((tcp[12:1] & 0xf0) >> 2):4]" 表示取 TCP 頭的第一個字節(jié)（tcp[0]）中的前 4 位（tcp[12:1] & 0xf0），然后將其向右移動兩位（>> 2）得到一個字節(jié)的偏移量，然后取該偏移量后面的 4 個字節(jié)作為數(shù)據(jù)，即為 TCP 負載（payload）的內(nèi)容。

請注意，在實際使用中，你需要根據(jù)自己的需要調(diào)整過濾條件和字符串匹配方式。由于 tcpdump 用法繁多，建議查看相關(guān)的文檔和使用示例以獲取更多信息。

當你想按照 UDP 數(shù)據(jù)包中的內(nèi)容進行過濾時，可以使用 tcpdump 的 "udp" 選項，指定要抓取的 UDP 數(shù)據(jù)包，并使用 "string" 選項指定要匹配的字符串。

下面是一個使用 tcpdump 進行 UDP 數(shù)據(jù)包內(nèi)容過濾的示例命令：

這個命令會在 eth0 接口上抓取 UDP 端口號為 53 的數(shù)據(jù)包，然后使用 "string" 選項過濾出包含字符串 "example.com" 的數(shù)據(jù)包。其中，"udp[10:2] & 0x8000 = 0x8000" 表示對數(shù)據(jù)包的第 11-12 字節(jié)（即 UDP 校驗和字段）進行按位與運算，判斷該數(shù)據(jù)包是否開啟了 DNSSEC 功能。

如果你想過濾出 UDP 數(shù)據(jù)包中的指定字節(jié)范圍內(nèi)的內(nèi)容，可以使用 "udp[offset:length]" 選項，指定要抓取的 UDP 數(shù)據(jù)包，并使用 "string" 選項指定要匹配的字符串。例如：

這個命令會在 eth0 接口上抓取 UDP 端口號為 53 的數(shù)據(jù)包，然后使用 "string" 選項過濾出包含字符串 "example.com" 的數(shù)據(jù)包。其中，"udp[8:2] = 0x0001" 和 "udp[12:2] = 0x0001" 分別表示匹配 DNS 查詢報文的查詢類型和查詢類別字段。

請注意，在實際使用中，你需要根據(jù)自己的需要調(diào)整過濾條件和字符串匹配方式。由于 tcpdump 用法繁多，建議查看相關(guān)的文檔和使用示例以獲取更多信息。