本文为《Mac使用Wireshark抓包入门指南》的扩展文章,罗列常见的Wireshark接口以及使用方法。
Wireshark接口列表
例如 Wi-Fi: en0 / Loopback: lo0 / en3 / bridge0 / awdl0 / utunX 等,每一行是一个可以抓包的接口,括号里是系统名(macOS 常见 en0、en1):
1、en0 / en1 / en3:以太网或 Wi-Fi 的网络接口(通常 en0 是内置 Wi-Fi)。
使用电脑通过Wi-Fi/有线访问外网或局域网的真实流量时,选择对应的enX(通常是en0)。
2、lo0:回环接口(本机 localhost 流量)。抓本机进程间通信用它。
抓取本机进程之间或本地服务(本机运行的API、数据库)的通信时,选择lo0,浏览器访问http://localhost的流量可以在这里看到。
3、utun0 … utun9:VPN 隧道接口(比如你连了 VPN,这些是虚拟网卡)。
当使用VPN并查看VPN隧道的流量时,选择对应的utunX。如果看到很多utunX,可能是历史/未清理的隧道或多个客户端同时存在。
4、ap1:可能是macOS为特定无线/桥接或服务Wi-Fi功能创建的虚拟接口。
5、awdl0:Apple Wireless Direct Link(AirDrop / AirPlay 的点对点无线)。
分析AirDrop/局部点对点传输或Apple的直连协议时选择。
6、llw0:WLAN low-latency接口,用于低延迟/并行无线工作。
高级无线诊断或调试Apple的低延迟无线功能时可能相关;常规网络抓包一般不用。
7、anpi0 / anpi1:可能是某个虚拟网络设备的接口。
8、Ethernet Adapter (en3): en3 / Ethernet Adapter (en4): en4:额外的以太网接口。常见来源:外接的 USB-以太网适配器(USB-C → RJ45、USB-Ethernet dongle)、Thunderbolt 转以太网的接口(通过扩展坞)、虚拟机或某些开发工具创建的虚拟以太网端口(少见)。
当网络通过外接网线或扩展坞时,可以选择对应的en3或en4并分析对应流量。
9、Thunderbolt 1: en1 / Thunderbolt 2: en2:Thunderbolt(雷电)端口映射到系统的网络接口。
通过Thunderbolt接口(比如接入有线网线到Thunderbolt转接器),选择对应的en1/en2。
10、Thunderbolt Bridge: bridge0:桥接接口(Bridge),两台Mac使用Thunderbolt线直连并做网络桥接/共享,或者多个物理接口桥接到同一逻辑网络时(rare for typical users)。
两台Mac直连或者系统设置桥接(比如网络共享桥)时,抓取两台Mac之间的流量,选择bridge0。
11、gif0 / stf0:跟隧道/IPv6 over IPv4 等虚拟隧道有关,普通用户用得少。
12、ciscodump(Cisco remote capture):Wireshark 支持的远程捕获目标入口之一,表示可以从 Cisco 设备导入远程捕获(或使用 Cisco 的远程捕获协议)。
从远端 Cisco 交换机/路由器抓包时使用(企业网络管理场景)。
13、randpkt(Random packet generator):Wireshark/系统提供的“随机包生成器”接口,用于测试。不会是实际网络。
用来测试 Wireshark 的显示/过滤/统计功能,或用于教学演示。
14、sshdump(SSH remote capture):远程捕获方式Wireshark 可以通过 SSH 从远程主机抓包并接收数据流到本地显示。
需要在远端主机抓包但在本地分析时使用(需要 SSH 权限)。
15、udpdump(UDP Listener remote capture):Wireshark 可以监听 UDP 端口接收远程转发过来的 pcap 数据。
远程设备把抓到的数据通过 UDP 发来分析时使用。
16、wifidump(Wi-Fi remote capture):用于接收来自远程 Wi-Fi 抓包源(或特殊采集器)发送过来的抓包数据的入口。
在需要把远端无线网卡抓到的数据集中到本机 Wireshark 时使用。
使用方法
1、抓取Wi-Fi或以太网接口时,选择en0;
2、抓取本机进程或者localhost时,选择lo0(回环);
3、抓取VPN流量时,选择utunX,这里需要找到对应的接口;
4、抓取AirDrop或点对点流量时,选择awdl0;
5、其他像gif0、stf0、llw0、anpiX、ap1多为虚拟或特殊用途接口,平时可以忽略,只在特定硬件或功能下才需要抓取;
6、远程/测试入口(ciscodump、sshdump、udpdump、randpkt)不是本地网卡,而是 Wireshark 的“接收源”选项,用于特殊/企业场景或测试。
终端命令
ifconfig -a # 列出所有接口及状态
networksetup -listallhardwareports # 映射 en0/en1 到人类可读的硬件名在Mac终端中,运行对应命令,可以确认每个接口的当前状态,并查看对应接口对应的Wi-Fi、有线或Thunderbolt。
扩展文章
Mac使用Wireshark抓包入门指南:
