Linux下dumpcap支持哪些协议
小樊
32
2025-12-07 02:16:50
linux下dumpcap的协议支持概览
核心说明
- dumpcap 是 wireshark 的命令行抓包工具,工作在数据链路层之上,能够捕获链路层及其上层各类协议的数据包。其本身主要负责“捕获”,对数据包的解析与解码通常由 wireshark/tshark 完成。支持范围取决于编译时启用的 libpcap/网络协议解析器 与网卡驱动能力。
按层次划分的代表性协议
- 数据链路层
- ethernet(以太网)、ieee 802.11(wi‑fi,取决于驱动与网卡)、ppp(点对点协议)。
- 网络层
- ipv4、ipv6、icmp/icmpv6、arp、rarp。
- 传输层
- 常见应用层与加密流量
- dns、dhcp、http、https(ssl/tls)、ftp、smtp、pop3、imap、ssh、telnet、voip(sip、rtp)。
补充说明
- 捕获范围与能力
- 作为抓包前端,dumpcap可捕获经过网卡的任何帧;若需按协议深度解析与展示,建议使用 wireshark/tshark 打开捕获文件进行分析。
- 如何快速查看与过滤
- 列出接口:dumpcap -d
- 按协议/端口/主机过滤示例:
- 仅捕获 tcp:dumpcap -i eth0 tcp
- 仅捕获 udp:dumpcap -i eth0 udp
- 捕获 443 端口(https):dumpcap -i eth0 port 443
- 捕获特定主机:dumpcap -i eth0 host 192.168.1.1
- 组合条件:dumpcap -i eth0 “tcp and host 192.168.1.100 and port 443”。
