Отличие фильтрации по порту и фильтрации по флагам в tcpdump заключается в том, что каждая из них позволяет захватывать разные типы пакетов:

1. Фильтрация по порту позволяет захватывать трафик, который «слушается» на определённом порту, используя опцию port. 1 Например, команда tcpdump «порт 80» захватывает только те пакеты, которые поступают с порта 80 или отправляются на него. 3 Также можно указать диапазон портов с помощью квалификатора portrange. 3
2. Фильтрация по флагам позволяет искать пакеты с различными флагами, например SYN, ACK, URG, PSH, RST, FIN. 2 Для этого нужно указать значение поля в пакете, равное определённому значению (например, для поиска пакетов с флагом SYN указывается значение поля 13 в TCP-пакете, равное 0х002). 2

Таким образом, фильтрация по порту фокусируется на захвате трафика по определённому порту или диапазону портов, а фильтрация по флагам — на поиске пакетов с определёнными флагами или их комбинациями. 24