咱们一个问题一个问题来解答：

先给你明确说：普通情况下，你在自己PC上用Wireshark只能抓到这台PC和路由器之间的数据包。原因很简单——路由器（或者它集成的交换机模块）的LAN端口默认是隔离的，每个端口只会转发对应设备的流量，其他设备和路由器的交互数据包，根本不会被发到你的PC网卡上。

如果想要捕获所有设备和路由器之间的数据包，有几种可行的方案：

• 开启路由器的端口镜像功能：把路由器所有LAN口的流量镜像到你PC连接的那个LAN口，这样你的PC就能收到所有LAN设备和路由器的交互数据包，再用Wireshark捕获即可。不过要注意，不是所有家用路由器都支持这个功能，得先查下你的路由器说明书或后台设置。
• 用无线网卡的监听模式（仅针对WiFi连接）：部分支持监听模式的无线网卡，可以捕获同一WiFi网络下所有设备和路由器的无线数据包，但如果WiFi是加密的（比如WPA2/WPA3），你得先获取握手包才能解密数据内容。
• 直接在路由器上抓包：很多路由器（尤其是OpenWRT这类开源固件，或者高端商用路由）自带抓包功能，你可以直接在路由器后台抓取所有端口的数据包，然后导出到PC上用Wireshark分析。

直接在Windows PC上用Wireshark没法捕获发往你WAN IP的所有数据包。核心原因是你的路由器做了NAT（网络地址转换）：发往WAN IP的数据包首先会到达路由器的WAN口，只有当这些数据包需要转发到你的PC时（比如你对外开了服务，或者是你发起的网络请求的回包），路由器才会把它们转到你的LAN口，你的PC才能抓到。那些发往WAN IP但和你PC无关的流量，会被路由器直接处理或丢弃，根本不会到你的网卡上。

针对你怀疑的DoS攻击导致断网问题，给你几个实用的诊断步骤：

• 先查路由器的监控和日志：这是最直接的入手点。几乎所有家用路由器都有流量统计、当前连接数、攻击防护这类功能。登录路由器后台，重点看这几个地方：
  • WAN口的实时流量是不是突然飙升，远高于你平时的正常使用量；
  • 当前网络连接数是不是快到路由器的上限了（很多家用路由器的连接数上限在几千到几万，DoS攻击会快速把这些连接数占满）；
  • 攻击日志里有没有大量来自同一IP或IP段的异常请求（比如没完没了的SYN包、ICMP Ping包）。
• 在路由器上抓WAN口数据包：如果你的路由器支持抓包功能，直接抓取WAN口的所有数据包，这样就能看到所有发往你WAN IP的流量。分析这些包时，重点看有没有大量重复的、来自同一源IP的请求，或者异常的数据包类型。
• 尝试端口镜像WAN口流量：如果路由器支持端口镜像，把WAN口的流量镜像到你PC连接的LAN口，然后在Windows上用Wireshark捕获这个镜像端口的数据包，就能直接分析WAN侧的所有流量了。
• 临时换个WAN IP试试：联系你的运营商，申请更换一个新的WAN IP，看看断网问题是不是消失了。如果换IP后网络恢复正常，基本就能确定是针对你原有WAN IP的DoS攻击。
• 排查LAN内的设备：有时候断网不一定是外部攻击，可能是LAN内的某个设备感染了病毒或恶意软件，发起了对内或对外的攻击，把路由器的资源耗尽了。你可以逐个断开LAN内的设备，每次断开后观察网络是否恢复，找到可能的问题设备。
• 联系运营商求助：如果确定是外部DoS攻击，家用路由器的防护能力有限，这时候直接找你的运营商，他们有专门的DDoS防护设备，能帮你过滤掉攻击流量，恢复正常网络。

内容的提问来源于stack exchange，提问作者Asad Moeen