dumpcap 在 debian 中的协议解析支持
核心说明
- dumpcap 是 wireshark 的命令行抓包工具,主要职责是“捕获”网络数据包,本身不进行协议解析与解码;协议解析需要后续用 wireshark/tshark 打开捕获文件查看。换言之,它“支持捕获的协议类型”非常广,但“解析展示”由上层分析器完成。
捕获层面的协议与链路类型
- 链路层/物理层:ethernet(以太网)、ieee 802.11(wi‑fi)、ppp(点对点协议) 等。
- 网络层:ipv4、ipv6。
- 传输层:tcp、udp、icmp(以及 icmpv6 等 ip 族控制报文)。
- 常见链路/地址解析与网络服务:arp、rarp、dns、dhcp 等。
- 应用层常见协议:http、https(ssl/tls)、ftp、smtp、pop3、imap、ssh、telnet 等。
- 其它:支持捕获原始数据包,可抓取网卡上可见的任意链路层帧。
以上为实际捕获中常见且可用的协议/链路类型示例,具体可见性取决于接口类型、驱动与抓包权限。
在 debian 上的安装与基本用法
- 安装:sudo apt update && sudo apt install wireshark-cli(包含 dumpcap)。
- 列出接口:dumpcap -d;在指定接口抓包:dumpcap -i eth0;保存到文件:dumpcap -i eth0 -w capture.pcap。
- 捕获过滤(bpf):例如仅 tcp 80 端口 dumpcap -i eth0 -f “tcp port 80”;仅 icmp:dumpcap -i eth0 icmp。
- 权限:抓包通常需要管理员权限(如使用 sudo)。
查看解析结果的方法
- 用 wireshark 打开 .pcap 文件,在“协议”列可看到各层协议树(如 http、tls、sip、rtp 等);用 tshark 可在命令行输出解析后的字段,例如:tshark -r capture.pcap -t ad -V | less。
- 若需按协议快速筛选,可在 wireshark 显示过滤器中使用协议名(如 http、tls、sip、rtp 等)。
