Linux cooked-mode capture (SLL) 使用 Wireshark 做数据包分析时，有时候分组详情中的数据链路层会显示 Linux cooked capture ，这是 Linux 上 libpcap 所使用的伪协议（pseudo-protocol），有两种可能的情形： 数据包从 “any” 设备进行捕获（即 tcpdump -i any，Pseudo-device）

tcpdump抓包时，如果-i选项指定为一个网卡地址，那么抓取的数据包数据链路层是以太网头部；如果指定any，则以太网头部将被替换为linux cooked capture头部 # tcpdump -i any -w linux_sll.pcaptcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture

用wireshark查看包内容时，有时候我们会发现包的数据链路层头名称为 linux cooked capture。如图： 我们正常的以太网头如下： 为何链路层名称为linux cooked capture？因为包是在linux中使用tcpdump，且指定参数-i any来捕获设备上所有网卡上的包。它会把所有包的以太网头都换成linux cooked capture，w

这里写自定义目录标题 欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants 创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入