3.1.2 捕获过滤器（Capture Filter）语法（BPF）

文档摘要

3.1.2 捕获过滤器（Capture Filter）语法（BPF）在你第一次敲下并看到屏幕上瀑布般涌出的 HTTP 请求时，你可能并未意识到——那行看似轻巧的字符串，正悄然穿越三层抽象：用户输入的文本表达式 → 编译为可执行的 BPF 字节码 → 加载进内核网络栈的 JIT 编译器中，最终以接近原生指令的速度完成每秒数十万次的报文判定。这不是魔法，而是一套被千锤百炼、深嵌于 Linux 内核血脉之中的零拷贝过滤机制。今天，我们不谈“BPF 是什么”，也不满足于“如何用 port 80 过滤 HTTP”；我们要拆开它的外壳，拧开滤网支架，亲手校准每一根滤芯的孔径——聚焦于 3.1.2 捕获过滤器（Capture Filter）语法（BPF）的实现肌理。