Ubuntu Dumpcap能捕获的数据包类型及说明
Dumpcap是Wireshark的命令行数据包捕获工具,支持捕获多种网络协议和层级的原始数据包。其捕获能力主要基于Berkeley Packet Filter (BPF) 语法,可通过过滤器灵活指定捕获条件。以下是常见的捕获类型及示例:
1. 链路层协议
- Ethernet(以太网):捕获以太网帧,包含源/目的MAC地址、以太网类型等信息,是网络层以下的基础数据链路层协议。
示例命令:sudo dumpcap -i eth0 -f "ether"
2. 网络层协议
- IP(Internet协议):捕获IPv4/IPv6数据包,包含源/目的IP地址、协议类型(如TCP/UDP)、TTL等字段,是互联网通信的核心网络层协议。
示例命令:sudo dumpcap -i eth0 -f "ip"
- ICMP(Internet控制消息协议):捕获ICMP数据包(如ping请求/回复、错误报告),用于网络诊断和错误通知。
示例命令:sudo dumpcap -i eth0 -f "icmp"
- ARP(地址解析协议):捕获ARP请求/回复数据包,用于将IP地址解析为MAC地址(仅适用于IPv4网络)。
示例命令:sudo dumpcap -i eth0 -f "arp"
- RARP(反向地址解析协议):捕获RARP数据包(较少使用),用于将MAC地址解析为IP地址(适用于无盘工作站)。
示例命令:sudo dumpcap -i eth0 -f "rarp"
3. 传输层协议
- TCP(传输控制协议):捕获面向连接的、可靠的TCP数据包,包含源/目的端口、序列号、确认号、标志位(如SYN/ACK)等信息,适用于Web、邮件等可靠传输场景。
示例命令:sudo dumpcap -i eth0 -f "tcp"
- UDP(用户数据报协议):捕获无连接的、不可靠的UDP数据包,包含源/目的端口、长度等信息,适用于DNS、视频流等实时传输场景。
示例命令:sudo dumpcap -i eth0 -f "udp"
4. 应用层协议
- HTTP/HTTPS(超文本传输协议/安全超文本传输协议):捕获HTTP请求/响应数据包(如网页访问)或加密的HTTPS流量(需解密配置)。
示例命令:sudo dumpcap -i eth0 -f "tcp port 80"(HTTP)、sudo dumpcap -i eth0 -f "tcp port 443"(HTTPS)
- FTP(文件传输协议):捕获FTP控制连接(端口21)或数据连接(端口20)的数据包,用于文件上传/下载。
示例命令:sudo dumpcap -i eth0 -f "tcp port 21"
- SMTP/POP3/IMAP(简单邮件传输协议/邮局协议第3版/Internet消息访问协议):捕获邮件发送(SMTP,端口25)、接收(POP3,端口110;IMAP,端口143)的数据包。
示例命令:sudo dumpcap -i eth0 -f "tcp port 25"(SMTP)、sudo dumpcap -i eth0 -f "tcp port 110"(POP3)
- SSL/TLS(安全套接层/传输层安全协议):捕获加密的SSL/TLS流量(如HTTPS、SSH),需配合解密工具(如Wireshark的SSL密钥日志)查看明文内容。
示例命令:sudo dumpcap -i eth0 -f "tcp port 443"(TLS)
5. 自定义协议
通过BPF语法的组合(如and、or、not),可以捕获满足特定条件的自定义数据包。例如:
- 捕获源IP为
192.168.1.100的TCP流量:sudo dumpcap -i eth0 -f "src host 192.168.1.100 and tcp"
- 捕获目标端口为
80或443的流量:sudo dumpcap -i eth0 -f "tcp port 80 or tcp port 443"
- 捕获以太网类型为
0x0800(IPv4)的流量:sudo dumpcap -i eth0 -f "ether proto 0x0800"
注意事项
- Dumpcap捕获的是原始数据包,不会自动解析或解码内容(如HTTP头部、HTTPS明文),需使用Wireshark等工具进行后续分析。
- 捕获特定协议或端口时,需使用正确的BPF语法,避免无效过滤(如
tcp port 80而非port 80,后者会捕获所有端口的流量)。
- 需要root权限才能捕获网络数据包(如
sudo dumpcap)。