Wireshark Wiki 中文翻译整理专题首页原始页面

CaptureSetup/网络接口

本页用于回答“抓包时应该选哪个接口”。它适合以下场景：

你要做什么	优先看什么
第一次在本机抓包	先看 Wireshark 的捕获接口列表，选择有包计数变化的接口
多网卡主机抓某个目标的流量	结合本机接口 IP、默认路由或到目标的第一跳判断出口接口
需要抓 loopback、PPP、WLAN、USB 等特殊链路	先识别接口名称，再转到对应捕获主题
接口列表为空或目标接口缺失	先排查捕获权限、驱动、WinPcap/Npcap 或接口是否被隐藏

容易混淆的点：

“接口名称像 Ethernet/Wi-Fi”不等于一定能抓到目标流量；是否经过该接口才是关键。
Linux 的 any 是虚拟聚合接口，方便快速观察，但不等同于某个真实网卡。
WLAN 抓到“像 Ethernet 的包”并不代表无线层信息存在；802.11 头和无线电信息通常需要 monitor mode。
接口未列出通常不是 Wireshark 显示问题，而是权限、驱动、捕获库或首选项隐藏导致。

从捕获接口列表开始

Wireshark 的捕获接口列表可以概览当前可用于捕获的接口，并显示每个接口当前进入的数据包数量。如果不确定选哪个接口，先观察哪个接口的包计数会随你的测试动作变化。

在 Wireshark 首选项中可以为接口添加描述性名称，也可以隐藏接口。如果某个接口不见了，先确认它没有在捕获首选项里被隐藏。

常见接口名称

不同操作系统使用不同的接口命名习惯。下表用于快速识别接口类型，不能替代实际路由判断。

平台	常见名称	含义与注意
Windows	由网卡制造商提供的名称	名称通常能帮助识别有线、无线或拨号接口
Windows / WinPcap	`Generic dialup adapter`	拨号接口，通常用于电话调制解调器
Windows / WinPcap	`Generic NdisWan adapter`	`Generic dialup adapter` 的旧名称；原文建议更新 Wireshark/WinPcap
Windows / WLAN	名称含 `Wireless`、`WLAN`、`Wi-Fi`、`802.11`	通常是无线接口；无线捕获限制见 CaptureSetup/WLAN
通用 UNIX/Linux	`ifconfig` 或 `ifconfig -a` 输出	可用于查看接口列表
BSD	`lo0`	loopback 接口
BSD	`ppp0`、`ppp1` 等	PPP 接口
Linux	`any`	虚拟接口，可一次性从所有可用接口捕获
Linux	`lo`	loopback 接口
Linux	`eth0`、`eth1` 等	Ethernet 接口
Linux	`ppp0`、`ppp1` 等	PPP 接口
Linux	`wlan0`、`wlan1` 等	WLAN 接口
Linux	`team0`、`bond0`	NIC teaming 或 bonding 组合接口
Linux	`br0`、`br1` 等	Bridged Ethernet 接口
Linux	`tunl0`、`tunl1`	IP in IP tunneling
Linux	`gre0`、`gre1`	GRE tunneling
Linux	`ipsec0`、`ipsec1`	IPsec / VPN
Linux	`nas0`、`nas1`	RFC 2684 ATM bridging，例如 xDSL 连接
Linux	`usb0`、`usb1` 等	USB 接口
macOS	`lo0`	loopback 接口
macOS	`ppp0`、`ppp1` 等	PPP 接口
macOS	`en0`、`en1` 等	Ethernet 或 AirPort 接口
macOS	`fw0`、`fw1` 等	IP-over-FireWire 接口
Solaris	`beN`、`bgeN`、`ceN`、`e1000gN`、`hmeN`、`qfeN` 等	Ethernet 接口；原文说明列表不一定完整
Solaris	`sxpN`	FDDI 接口
Solaris	`trN`	Token Ring 接口
Solaris	`fcipN`	IP-over-Fibre Channel 接口
Solaris	`ibdN`	IP-over-Infiniband；原文说明 libpcap 当前不支持，因此 Wireshark 当前也不支持
Solaris	`idnN`	域间虚拟接口
Solaris	`baN`	raw ATM 接口
HP-UX	`lanN`	Ethernet、FDDI 或 Token Ring 接口
AIX	`lo0`	loopback 接口
AIX	`enN`、`etN`	Ethernet 接口
AIX	`fiN`	FDDI 接口
AIX	`trN`	Token Ring 接口
Digital/Tru64 UNIX	`lo0`	loopback 接口
Digital/Tru64 UNIX	`pppN`	PPP 接口
Digital/Tru64 UNIX	`tuN`	Ethernet 接口
IRIX	`lo0`	loopback 接口
IRIX	`pppN`	PPP 接口
IRIX	`ecN`、`efN`、`egN`、`epN`、`etN`、`fxpN`、`gfeN`、`vfeN`、`tgN`、`xgN`	Ethernet 接口；原文说明列表不一定完整
IRIX	`elN`	ATM LANE emulated Ethernet 接口
IRIX	`qaaN`	ATM classical IP 接口
IRIX	`faN`	FORE ATM 接口
IRIX	`cipN`	原文标注为未知
IRIX	`ipgN`、`rnsN`、`xpiN`	FDDI 接口
IRIX	`mtrN`	Token Ring 接口
IRIX	`qfaN`	IP-over-Fibre Channel 接口

故障排除

目标接口未列出

可能原因	检查方向
捕获权限不足	检查捕获权限相关设置；没有权限时接口可能不可见或无法打开
捕获支持缺失	检查系统、捕获库和驱动是否支持该接口类型
Windows 捕获驱动问题	检查 WinPcap/Npcap 版本及其已知限制，尤其是旧系统、64 位系统和 Vista 相关限制
接口被隐藏	检查 Wireshark 的捕获首选项中是否隐藏了该接口
WLAN 特殊限制	无线接口可能能列出但无法提供 monitor mode、802.11 头或非数据帧

不确定应该选择哪个接口

方法	适用场景	注意
看捕获接口列表的包计数	快速判断活跃接口	只能说明接口有流量，不保证是目标流量
逐个接口短时间试抓	不确定路由和接口关系	注意不要把无关接口的噪声误判为目标流量
根据接口 IP 和路由判断	多网卡主机抓某个 IP 目标	对 IP 流量尤其有效
Windows 上根据接口名称判断	名称含厂商、无线、有线等信息时	名称只是线索，不是最终依据

如果要抓本机与另一台机器之间的 IP 流量，并且本机有多个网络接口，可以先确认每个接口的 IP 地址，再确认到目标机器的路由第一跳。UNIX 类系统可使用 traceroute，Windows 可使用 tracert。

text

traceroute example-host
tracert example-host

Imported from https://wiki.wireshark.org/CaptureSetup/NetworkInterfaces on 2020-08-11 23:11:57 UTC

CaptureSetup/网络接口 ​

从捕获接口列表开始 ​

常见接口名称 ​

故障排除 ​

目标接口未列出 ​

不确定应该选择哪个接口 ​

相关 Wireshark Wiki 页面 ​