Linux下dumpcap支持哪些协议

linux下dumpcap的协议支持概览

核心说明

• dumpcap 是 wireshark 的命令行抓包工具，工作在数据链路层之上，能够捕获链路层及其上层各类协议的数据包。其本身主要负责“捕获”，对数据包的解析与解码通常由 wireshark/tshark 完成。支持范围取决于编译时启用的 libpcap/网络协议解析器 与网卡驱动能力。

按层次划分的代表性协议

• 数据链路层
  • ethernet（以太网）、ieee 802.11（wi‑fi，取决于驱动与网卡）、ppp（点对点协议）。
• 网络层
  • ipv4、ipv6、icmp/icmpv6、arp、rarp。
• 传输层
  • tcp、udp。
• 常见应用层与加密流量
  • dns、dhcp、http、https（ssl/tls）、ftp、smtp、pop3、imap、ssh、telnet、voip（sip、rtp）。

补充说明

• 捕获范围与能力
  • 作为抓包前端，dumpcap可捕获经过网卡的任何帧；若需按协议深度解析与展示，建议使用 wireshark/tshark 打开捕获文件进行分析。
• 如何快速查看与过滤
  • 列出接口：dumpcap -d
  • 按协议/端口/主机过滤示例：
    • 仅捕获 tcp：dumpcap -i eth0 tcp
    • 仅捕获 udp：dumpcap -i eth0 udp
    • 捕获 443 端口（https）：dumpcap -i eth0 port 443
    • 捕获特定主机：dumpcap -i eth0 host 192.168.1.1
    • 组合条件：dumpcap -i eth0 “tcp and host 192.168.1.100 and port 443”。