Debian Dumpcap支持哪些网络协议

debian dumpcap 协议支持概览

• 以太网（ethernet）、wi‑fi（ieee 802.11）、**ppp（点对点协议）**等数据链路层/接入层封装
• ipv4 / ipv6 网络层
• 传输层：tcp、udp、icmp（icmpv6）
• 链路层/arp 族：arp、rarp
• 常见应用层与加密流量：dns、dhcp、http、https（ssl/tls）、ftp、smtp、pop3、imap、ssh、telnet
• 其它常见协议：snmp
• 说明：dumpcap 作为抓包前端，依托 libpcap 捕获“原始帧”，可抓取链路层可见的任意协议流量；协议识别与解码通常由上层分析器（如 wireshark）完成，因此“支持”的范围取决于链路类型与上层 dissector 的覆盖度。

在 debian 上的快速验证与使用

• 安装与权限
  • 安装：sudo apt-get update & & sudo apt-get install wireshark-cli
  • 抓包通常需要管理员权限（sudo）
• 列出接口与抓包示例
  • 列出接口：dumpcap -d
  • 抓取所有接口到文件：sudo dumpcap -i any -w capture.pcap
  • 仅抓取 http（tcp 80）：sudo dumpcap -i eth0 -f “tcp port 80”
• 常用显示过滤器（用于显示/分析阶段）
  • 按协议：tcp、udp、icmp、dns、http、ssl/tls 等
  • 按地址与端口：src host 1.1.1.1、dst port 443、host 192.168.1.1 and port 22

影响“可见协议”的因素

• 捕获接口与链路类型：在 以太网、802.11、ppp 等不同链路上，可见的封装与上层协议集合会不同（例如 802.11 管理/控制帧在“仅管理帧”捕获模式下才可见）
• 权限与驱动能力：是否以足够权限运行、网卡/驱动是否支持混杂模式与所需抓包能力（如 802.11 监控模式）
• 编译时与运行时的 dissector 支持：wireshark/dumpcap 编译时启用的协议 dissector 越多，能识别的应用层协议越广；未启用的协议仍可被“原始字节”捕获，但无法被上层完整解析

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！