dumpcap能抓取哪些类型的数据包

dumpcap可捕获的数据包类型与范围

核心说明

• dumpcap 是 Wireshark 的命令行抓包引擎，负责从网卡“按位”接收并写入链路层帧到文件（如 pcap/pcapng）。它不负责协议解析，解析由 Wireshark/TShark 完成，因此只要操作系统驱动能把对应介质/封装交付给抓包接口，dumpcap就能捕获其帧。支持的具体协议类型取决于你的操作系统、网卡驱动、抓包接口类型以及安装的Wireshark 组件版本。

按网络层次归纳的可捕获类型

• 链路层
  • 以太网 Ethernet（802.3）、Wi‑Fi/IEEE 802.11（取决于网卡与驱动是否支持监控/混杂模式）、PPP、Loopback（部分系统/接口）、虚拟接口（如 VMware VMnet1/VMnet8）等。
• 网络层
  • IPv4、IPv6，以及常见的 ARP/RARP、ICMP/ICMPv6 等。
• 传输层
  • TCP、UDP 等。
• 常见应用层（通过捕获过滤器按端口/特征选择）
  • 例如：HTTP（80/tcp）、HTTPS/TLS（443/tcp）、DNS（53/udp 或 53/tcp）、SSH（22/tcp）、FTP（21/tcp） 等。提示：dumpcap 用 BPF 捕获过滤器在入站时筛选，若需按应用层内容深度识别，可在保存后用 Wireshark/TShark 的显示过滤器进一步分析。

常见捕获过滤器示例（BPF 语法）

• 捕获所有流量：-f "any"
• 按 IP：-f "ip.addr == 192.168.1.1"
• 按端口：-f "tcp port 80"（HTTP）
• 按协议族：-f "tcp"、-f "udp"、-f "icmp"
• 按 MAC：-f "ether host 00:11:22:33:44:55"
• 组合条件：-f "tcp port 80 and host example.com"

能力与限制要点

• 能力
  • 多接口与条件捕获：可用 -i < 接口> 指定来源；配合 -c < 数量> 、-a filesize:< KB> |duration:< 秒> 、-b < ringbuffer> 等实现定量、按大小/时间切分、环形缓冲等长期抓包策略。
• 限制
  • 不解析协议，仅写入原始帧；如需按应用层内容筛选与分析，请使用 显示过滤器（Wireshark/TShark）或先用 BPF 在捕获端粗筛。
  • 是否能抓到某种介质/封装，取决于系统与驱动支持。例如 Windows 回环（127.0.0.1） 的 TCP 在部分旧系统上难以用常规方式捕获，可借助专用工具（如 RawCap）辅助；而在 Linux/现代 Windows 上，常见以太/无线/虚拟接口通常可直接抓取。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！