1. 核心最佳实践：统一链路层类型 #

• 必须校验所有目标网卡的链路层类型是否一致。pcap格式的全局头仅存储一种链路层类型，不同类型报文混写会导致Wireshark等解析工具无法正确识别部分流量，直接引发解析错误。
• 若所有网卡均为以太网类型（EN10MB/1），任选其中一个网卡的pcap_t实例创建pcap_dumper_t，后续所有网卡的报文可直接写入。
• 若存在不同链路层类型的网卡（如同时包含以太网与WiFi），要么放弃单pcap合并，要么先统一所有报文的链路层格式（见下文）。

2. 转储前转换链路层格式的实现思路 #

完全可行，推荐两种统一方向：

• 转换为EN10MB格式：针对非以太网链路的报文（如Linux SLL、802.11 WiFi），需要剥离原始链路层头部，替换为标准以太网头部。带VLAN标签的报文需确保头部符合802.1Q规范，保留VLAN标识。
• 转换为LINUX_SLL格式：这是Linux下“any”接口的通用格式，每个报文头部会携带原始链路层类型标识，无需修改报文核心数据，仅需为每个报文添加SLL头部即可适配。
• 实现时需注意：创建pcap_dumper_t时，必须传入链路层类型与目标格式一致的pcap_t实例（比如转成LINUX_SLL就用链路层类型为113的pcap_t），否则写入的报文依然无法被正确解析。

3. pcapng格式的适配方案 #

pcapng天生适配多网卡场景，它支持为每个接口单独存储链路层类型、描述信息，还能区分不同接口捕获的报文，完美解决pcap格式的单链路层限制。

针对libpcap不支持写入pcapng的问题，可采用以下方案：

• 使用libpcapng专用库：该库专门用于pcapng格式的写入，支持多接口报文关联，可直接将不同网卡的流量写入同一个pcapng文件。
• 借助Wireshark工具链：先将每个网卡的流量捕获到独立pcap文件，再用mergecap工具合并为pcapng文件，工具会自动处理不同接口的链路层类型差异，生成符合规范的pcapng文件。
• 手动实现pcapng写入：pcapng格式公开且结构清晰，可根据官方规范构造文件头块、接口描述块、报文块等，适合需要定制元数据的场景。

内容的提问来源于stack exchange，提问作者Mika