ubuntu常见嗅探工具可识别的协议范围
在 ubuntu 上,所谓“sniffer”通常指基于 libpcap 的抓包工具(如 tcpdump、wireshark、tshark、etherape 等)。它们能识别的协议取决于工具本身及其解码插件/配置,覆盖从数据链路层到应用层的广泛协议族。
按协议层次的代表性协议
| 层次 | 代表性协议 | 说明 |
|---|---|---|
| 数据链路层 | ethernet、wlan/802.11 | 有线以太网与 802.11 无线帧(取决于网卡与驱动/支持) |
| 网络层 | ip、ipv6、icmp、icmpv6、arp | 常见 ip 转发与诊断、邻居发现、地址解析 |
| 传输层 | tcp、udp | 面向连接与无连接传输 |
| 常见应用层 | http、https、dns、ftp、sip | dns 走 udp/tcp 53;http/https 走 80/443;sip 常见于 voip |
| 安全与隧道 | ipsec、ssl/tls、isakmp、kerberos、snmpv3 | 取决于工具的解码能力与是否具备相应协议解析器 |
| 其他/链路类型 | fddi、tr、ppp、slip | 传统或特定介质链路,部分图形化嗅探器支持显示与过滤 |
| 以上协议在 ubuntu 的常用嗅探工具中均有不同程度支持,具体以工具与插件为准。 |
影响识别范围的因素
快速验证示例
sudo tcpdump -i any -n tcp port 80sudo tcpdump -i any -n udp port 53sudo tcpdump -i any -w capture.pcapicmphttp && ip.addr == 192.168.1.12ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443)
以上命令可快速确认系统对常见协议(如 http、dns、icmp、tcp/udp)的捕获与解析能力。合规提示
仅在对自己拥有或已获授权的网络与设备上抓包;避免捕获、存储或展示他人的隐私与敏感信息(如密码、个人信息)。
