ubuntu中dumpcap的协议支持
核心说明
在 ubuntu 中,dumpcap 是 wireshark 的命令行抓包引擎,负责从网卡或环形缓冲捕获原始链路层帧,其本身不负责协议解析;捕获后的数据可交由 wireshark / tshark 进行解码与展示。因此,所谓“支持哪些协议”,更准确的理解是:它能按链路层/网络层/传输层类型捕获哪些数据,而具体协议的解码能力取决于 wireshark 的解码器。dumpcap 与 wireshark 的功能会随版本演进而变化,建议结合所用版本查看官方文档与本地解码器列表。
按网络层次归纳的常见捕获类型
- 数据链路层
- ethernet(以太网)
- ieee 802.11(wi‑fi,取决于驱动与捕获方式)
- ppp(点对点协议)
- 网络层
- ipv4 / ipv6
- icmp / icmpv6
- arp / rarp
- 传输层
- 说明
- 上述为链路/网络/传输层的“可捕获类型”。dumpcap 不解析应用层语义,应用层协议(如 http、dns 等)的识别与解码由上层分析器完成。
应用层协议与解析能力
- 常见应用层协议(如 http、https/ssl‑tls、dns、dhcp、ftp、smtp、pop3、imap、ssh、telnet、snmp、voip(sip、rtp) 等)均可被捕获;但 dumpcap 仅保存为原始字节流,不会解析其内容。若需查看协议字段与统计,应使用 wireshark/tshark 打开捕获文件或管道数据进行分析。
查看本机可用的捕获类型与解码器
- 查看网卡与链路层类型:
- 列出接口:sudo dumpcap -d
- 简要信息:sudo dumpcap -D
- 查看已编译的解码器(显示 wireshark 能解码的协议清单):
- 命令行:tshark -G protocols | sort
- 提示:捕获能力受网卡驱动、接口类型(如 802.11 监控模式)、权限与系统内核/库版本影响;如需 802.11 管理/控制帧,通常需要监控模式与相应驱动支持。
