wireshark linux cooked capture

用wireshark查看包内容时，有时候我们会发现包的数据链路层头名称为

linux cooked capture。如图：

我们正常的以太网头如下：

为何链路层名称为linux cooked capture？因为包是在linux中使用tcpdump，且指定参数-i any来捕获设备上所有网卡上的包。它会把所有包的以太网头都换成linux cooked capture，wireshark对此解释为虚假的协议。

 https://wiki.wireshark.org/SLL
 这个网址时官方解释,我简单翻译一下,应该是这个意思.


 在linux上抓ppp0的包和抓包选择 any时,即可抓到linux cooked capture


 这是一种伪协议, 原因是链路层报头不可用
    例如，PPP通常是没有头的，为了capture filters工作，弄了个伪头部