Appearance
Skip to content
CaptureSetup/NetworkMedia
本页用于判断某种网络介质能不能被 Wireshark/TShark 捕获。它适合以下场景:
| 你关心的问题 | 先看什么 |
|---|---|
| 某个平台能否抓某种链路 | 看“平台与介质支持概览” |
| 不知道该去哪个捕获专题页 | 看“物理接口”和“虚拟接口”分类 |
| 想抓总线原始数据 | 看“不支持的介质”边界 |
| 抓 WLAN、USB、Loopback、VLAN 等特殊流量 | 先确认平台支持,再看对应专题 |
容易混淆的点:
- Wireshark 使用 libpcap/WinPcap/Npcap 等捕获机制;Wireshark 能解析某种协议,不代表底层系统能从该介质抓到原始数据。
- “能抓承载在某总线上的网络流量”不等于“能抓该总线本身的原始数据”。例如可抓 PCI Ethernet adapter 上的 Ethernet 数据,但不能因此抓原始 PCI 总线数据。
- WLAN、Loopback、USB、VLAN 等支持情况强依赖操作系统、驱动和捕获库版本。
- 表中的未知或限制项应按原文谨慎理解,不应推断为一定支持。
平台与介质支持概览
下表整理原文支持矩阵。符号含义:支持 表示原文列为支持;不支持 表示原文列为不支持;未知 表示原文未确认;有限制 表示原文脚注说明存在范围限制。
| 介质 / 接口 | AIX | FreeBSD | HP-UX | Irix | Linux | macOS | NetBSD | OpenBSD | Solaris | Tru64 UNIX | Windows |
|---|---|---|---|---|---|---|---|---|---|---|---|
| ATM | 未知 | 未知 | 未知 | 未知 | 支持 | 不支持 | 未知 | 未知 | 支持 | 未知 | 未知 |
| Bluetooth | 不支持 | 不支持 | 不支持 | 不支持 | 有限制 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| CiscoHDLC | 未知 | 支持 | 未知 | 未知 | 支持 | 未知 | 支持 | 支持 | 未知 | 未知 | 未知 |
| Ethernet | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 |
| FDDI | 未知 | 未知 | 未知 | 未知 | 支持 | 不支持 | 未知 | 未知 | 支持 | 未知 | 未知 |
| FrameRelay | 未知 | 未知 | 不支持 | 不支持 | 支持 | 不支持 | 未知 | 未知 | 不支持 | 不支持 | 不支持 |
| IrDA | 不支持 | 不支持 | 不支持 | 不支持 | 支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| PPP | 未知 | 未知 | 未知 | 未知 | 有限制 | 支持 | 未知 | 未知 | 不支持 | 未知 | 支持 |
| TokenRing | 支持 | 支持 | 未知 | 不支持 | 支持 | 不支持 | 支持 | 支持 | 支持 | 未知 | 支持 |
| USB | 不支持 | 不支持 | 不支持 | 不支持 | 有限制 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
| WLAN | 未知 | 支持 | 未知 | 未知 | 支持 | 支持 | 支持 | 支持 | 未知 | 未知 | 支持 |
| Loopback(虚拟) | 未知 | 支持 | 不支持 | 未知 | 支持 | 支持 | 支持 | 支持 | 有限制 | 支持 | 不适用 |
| VLAN Tags(虚拟) | 支持 | 支持 | 支持 | 未知 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 | 支持 |
原文脚注边界:
| 项目 | 限制说明 |
|---|---|
| Bluetooth / Linux | 仅 Linux Affix Bluetooth stack |
| PPP / Linux | 仅 PPP 非控制帧 |
| USB / Linux | 原文写明需要最新 libpcap CVS,并保留“具体哪个版本?”疑问 |
| WLAN / 部分平台 | 可能仅有 WLAN 非控制帧、带伪造 Ethernet 头,并且仅限执行捕获的机器收发的流量 |
| Loopback / Solaris | 仅 Solaris 11 |
| Loopback / Windows | Windows 没有 UNIX 风格的 loopback 接口 |
物理接口
| 介质 | 捕获主题边界 |
|---|---|
| ATM | 捕获 ATM 流量 |
| Bluetooth | 捕获 Bluetooth 流量;原文说明目前仅限 Linux 上的 Affix stack |
| CiscoHDLC links | 在使用 Cisco HDLC 封装的同步链路上捕获 |
| DOCSIS | 捕获转发到 Ethernet 的原始 Cisco DOCSIS cable modem 流量 |
| Ethernet | 在不同 Ethernet 拓扑上捕获,包括交换网络 |
| FrameRelay | 捕获 FrameRelay 流量 |
| IrDA | 捕获 IrDA 流量;原文说明目前仅限 Linux |
| PPP links | 在拨号线路、ISDN 连接和 PPP-over-Ethernet(PPPoE,例如 ADSL)上捕获 |
| SS7 | 在 TDM(T1/E1/J1/T3/E3/J3)链路上捕获 SS7 流量 |
| TokenRing | 在 TokenRing 适配器上捕获,包括 promiscuous mode 和交换网络 |
| USB | 捕获原始 USB 流量 |
| WLAN | 在 802.11(WLAN、Wi-Fi)接口上捕获,包括 monitor mode、原始 802.11 头和无线电信息 |
虚拟接口
| 虚拟接口 | 捕获主题边界 |
|---|---|
| Loopback | 捕获机器到自身的流量,包括 IP 地址 127.0.0.1 |
| Pipes | 使用 UNIX pipes 从其他应用程序捕获,也可以来自远程应用 |
| VLAN | 捕获 VLAN 流量,包括 VLAN tags |
| WinPcapRemote | WinPcap 远程捕获;原文说明 Win32 客户端、Win32 和 Linux 守护进程,但目前不可用 |
不支持的介质
有些网络或总线,Wireshark 无法从中捕获原始数据。不过,如果操作系统支持,Wireshark 通常可以捕获它所认识的、承载在该网络或总线之上的网络介质。
示例:Wireshark 通常可以从 PCI Ethernet adapter 捕获 Ethernet 数据,但无法捕获通过 PCI bus 传输的原始 PCI 数据。
原文列出的示例包括:
| 不支持捕获原始数据的对象 | 边界说明 |
|---|---|
| IEEE 1394 / FireWire | 不表示不能抓其上承载的、操作系统暴露出来的网络流量 |
| Fibre Channel | 不表示能直接抓 Fibre Channel 原始总线数据 |
| PCI、ISA、PCMCIA(Cardbus)及类似总线 | 可抓网卡暴露的网络流量,不等于可抓总线原始数据 |
Imported from https://wiki.wireshark.org/CaptureSetup/NetworkMedia on 2020-08-11 23:11:57 UTC
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- ATMATM · 全量归档
- CaptureSetup/ATMCaptureSetup/ATM · 抓包设置
- CaptureSetup/BluetoothCaptureSetup/Bluetooth · 抓包设置
- CaptureSetup/CiscoHDLCCaptureSetup/CiscoHDLC · 抓包设置
- CaptureSetup/DOCSISCaptureSetup/DOCSIS · 抓包设置
- CaptureSetup/EthernetCaptureSetup/Ethernet · 抓包设置
- CaptureSetup/FrameRelayCaptureSetup/FrameRelay · 抓包设置
- CaptureSetup/IrDACaptureSetup/IrDA · 抓包设置
- CaptureSetup/LoopbackCaptureSetup/Loopback · 抓包设置
- CaptureSetup/PPPCaptureSetup/PPP · 抓包设置
- CaptureSetup/PipesCaptureSetup/Pipes · 抓包设置