Em ether proto \ip "\ ip" é o ID. Que ether proto \ip significa o mesmo que ip no nível de conteúdo não significa que ambos tenham que ser sintaticamente equivalentes.
Em sua descrição de expressões tcpdump válidas, o estado das páginas man do filtro pcap:
The filter expression consists of one or more primitives. Primitives usually consist of an id (name or number) preceded by one or more qualifiers.
Por sua vez, esses qualificadores são type , dir e proto . Até aí tudo bem, mas mais abaixo encontramos isso:
ip host host
which is equivalent to:
ether proto \ip and host host
No primeiro caso, ip e host são, respectivamente, proto e type . Que padrão segue ether proto \ip ? Isso não é, como um todo, um qualificador proto ? Em caso afirmativo, por que não é (um escape corretamente) ' ether proto \ip host host ' legal (sem and )?
Tags networking tcpdump