Wireshark и его инструменты командной строки захват компаньона tsharkи dumpcapпозволяют указать несколько интерфейсов, чтобы захватить на. Так, например, вместо того, чтобы указывать -i anyи получать готовый захват Linux, вы можете указать -i eth0 -i loзахват на обоих интерфейсах без потери информации для каждого интерфейса. В Wireshark просто нажмите Ctrl + клик на каждом интерфейсе, который вы хотите захватить, на главной странице или в меню Capture-> Options .
А поскольку вы захватываете более чем на один интерфейс, каждому интерфейсу назначается отдельный идентификатор интерфейса, который добавляется к данным кадра и может даже использоваться для фильтрации пакетов с использованием frame.interface_idфильтра отображения. Например, если вы хотите видеть только кадры для идентификатора интерфейса 0, используйте frame.interface_id == 0. Вы также можете добавить это поле в виде столбца, чтобы легче видеть, какой кадр связан с каким интерфейсом.