在阅读tcpdump的手册页时,我发现-dd参数会将转储输出为C文件的一个片段。在什么情况下这样做有用?我认为这是为了在一个程序中快速包含和编译片段,该程序将用于根据我们自己编写的代码处理数据?这对未知或新的协议有用吗?是否还有其他常见的、长期存在的情况需要这样做?只是好奇。
如果您正在使用libpcap/WinPcap编写一个程序,该程序将使用筛选器,但无论出于何种原因,都不会运行pcap_compile()将筛选器字符串转换为BPF机器代码,那么这将非常有用;它允许您使用tcpdump进行编译,并生成一些文本,这些文本可以用于初始化struct bpf_insn数组(一个指向struct bpf_program的指针和一个元素计数(。
不过,我不确定谁会那样做。