Ubuntu Dumpcap能捕获哪些类型的数据包

时间2025-10-13 16:57:03发布访客分类主机资讯浏览310

导读：Ubuntu Dumpcap能捕获的数据包类型及说明 Dumpcap是Wireshark的命令行数据包捕获工具，支持捕获多种网络协议和层级的原始数据包。其捕获能力主要基于Berkeley Packet Filter (BPF 语法，可通过...

Ubuntu Dumpcap能捕获的数据包类型及说明

Dumpcap是Wireshark的命令行数据包捕获工具，支持捕获多种网络协议和层级的原始数据包。其捕获能力主要基于Berkeley Packet Filter (BPF) 语法，可通过过滤器灵活指定捕获条件。以下是常见的捕获类型及示例：

Ethernet（以太网）：捕获以太网帧，包含源/目的MAC地址、以太网类型等信息，是网络层以下的基础数据链路层协议。
示例命令：sudo dumpcap -i eth0 -f "ether"

IP（Internet协议）：捕获IPv4/IPv6数据包，包含源/目的IP地址、协议类型（如TCP/UDP）、TTL等字段，是互联网通信的核心网络层协议。
示例命令：sudo dumpcap -i eth0 -f "ip"
ICMP（Internet控制消息协议）：捕获ICMP数据包（如ping请求/回复、错误报告），用于网络诊断和错误通知。
示例命令：sudo dumpcap -i eth0 -f "icmp"
ARP（地址解析协议）：捕获ARP请求/回复数据包，用于将IP地址解析为MAC地址（仅适用于IPv4网络）。
示例命令：sudo dumpcap -i eth0 -f "arp"
RARP（反向地址解析协议）：捕获RARP数据包（较少使用），用于将MAC地址解析为IP地址（适用于无盘工作站）。
示例命令：sudo dumpcap -i eth0 -f "rarp"

TCP（传输控制协议）：捕获面向连接的、可靠的TCP数据包，包含源/目的端口、序列号、确认号、标志位（如SYN/ACK）等信息，适用于Web、邮件等可靠传输场景。
示例命令：sudo dumpcap -i eth0 -f "tcp"
UDP（用户数据报协议）：捕获无连接的、不可靠的UDP数据包，包含源/目的端口、长度等信息，适用于DNS、视频流等实时传输场景。
示例命令：sudo dumpcap -i eth0 -f "udp"

HTTP/HTTPS（超文本传输协议/安全超文本传输协议）：捕获HTTP请求/响应数据包（如网页访问）或加密的HTTPS流量（需解密配置）。
示例命令：sudo dumpcap -i eth0 -f "tcp port 80"（HTTP）、sudo dumpcap -i eth0 -f "tcp port 443"（HTTPS）
FTP（文件传输协议）：捕获FTP控制连接（端口21）或数据连接（端口20）的数据包，用于文件上传/下载。
示例命令：sudo dumpcap -i eth0 -f "tcp port 21"
SMTP/POP3/IMAP（简单邮件传输协议/邮局协议第3版/Internet消息访问协议）：捕获邮件发送（SMTP，端口25）、接收（POP3，端口110；IMAP，端口143）的数据包。
示例命令：sudo dumpcap -i eth0 -f "tcp port 25"（SMTP）、sudo dumpcap -i eth0 -f "tcp port 110"（POP3）
SSL/TLS（安全套接层/传输层安全协议）：捕获加密的SSL/TLS流量（如HTTPS、SSH），需配合解密工具（如Wireshark的SSL密钥日志）查看明文内容。
示例命令：sudo dumpcap -i eth0 -f "tcp port 443"（TLS）

通过BPF语法的组合（如and、or、not），可以捕获满足特定条件的自定义数据包。例如：

捕获源IP为192.168.1.100的TCP流量：sudo dumpcap -i eth0 -f "src host 192.168.1.100 and tcp"
捕获目标端口为80或443的流量：sudo dumpcap -i eth0 -f "tcp port 80 or tcp port 443"
捕获以太网类型为0x0800（IPv4）的流量：sudo dumpcap -i eth0 -f "ether proto 0x0800"

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！