dumpcap能捕获哪些类型数据包

dumpcap 是 Wireshark 套件中的一款轻量级命令行数据包捕获工具，主要用于抓取网络流量并保存为文件（如 .pcap 或 .pcapng 格式）。它可以捕获多种类型的数据包，具体取决于网络接口和配置参数。以下是其支持的主要数据类型和关键特性：

1. 支持的数据包类型

按协议分类

• 以太网帧（Ethernet）：最常见的二层数据包（如 eth0, en0 等接口）。
• IPv4/IPv6 数据包：包括 TCP、UDP、ICMP、IGMP 等三层/四层协议。
• 无线网络数据（802.11）：需无线网卡支持监听模式（如 mon0 接口）。
• ARP/RARP 数据包：地址解析协议相关流量。
• VPN/隧道协议：如 GRE、PPTP、L2TP（需接口支持，原始加密内容可能不可读）。
• 其他链路层协议：如 PPP、HDLC（需接口支持）。

特殊类型

• 广播/多播流量：如 DHCP、SSDP 等广播包。
• VLAN 标记流量（802.1Q）：支持捕获带 VLAN 标签的帧。
• 环回流量（Loopback）：如本地 lo 接口的通信（部分系统需特殊配置）。

2. 捕获过滤（Capture Filter）

通过 -f 参数可指定 BPF（Berkeley Packet Filter） 过滤规则，仅捕获特定流量。例如：

dumpcap -i eth0 -f "tcp port 80" -w http.pcap  # 只抓取 HTTP 流量
dumpcap -i wlan0 -f "wlan host AA:BB:CC:DD:EE:FF"  # 抓取特定 MAC 的无线流量

3. 输出文件格式

• .pcap：传统格式，兼容性强。
• .pcapng（默认）：新一代格式，支持更多元数据（如接口信息、注释等）。

4. 限制与注意事项

• 权限要求：需 root 或管理员权限（或赋予用户 cap_net_raw 权限）。
• 接口支持：部分虚拟接口（如 Docker 网桥）可能需要特殊配置。
• 加密内容：如 HTTPS、SSH 等加密流量可捕获但无法直接解密（需密钥或中间人代理）。
• 性能限制：高速网络下可能丢包，建议使用 -b 参数限制文件大小或持续时间。

5. 常用命令示例

# 捕获 eth0 接口的所有流量，保存为 pcapng 文件
dumpcap -i eth0 -w capture.pcapng

# 捕获特定 IP 的流量，限制文件大小为 100MB
dumpcap -i any -f "host 192.168.1.1" -b filesize:100000 -w output.pcap

# 捕获无线接口的 802.11 信标帧（需监听模式）
dumpcap -i wlan0 -f "type mgt subtype beacon" -w beacons.pcap

6. 高级功能

• 多文件轮转：通过 -b 参数按时间/大小分割文件。
• 统计输出：使用 -q 显示实时捕获统计信息。
• 混杂模式：默认启用（-p 禁用），可捕获非本机流量（需交换机支持）。

如需进一步分析捕获的数据包，可将文件导入 Wireshark 或使用 tshark 命令行工具解析。