3.2.3 第三方工具兼容性（tcpdump, tshark, dumpcap）

文档摘要

3.2.3 第三方工具兼容性（tcpdump, tshark, dumpcap）在流量分析的世界里，pcap 文件从来不是某种“静态快照”，而是一条奔涌的数据河——它携带着时间戳、链路层封装、协议解析上下文、甚至设备驱动注入的元数据。当你用写入一个文件，或用解析它时，你真正依赖的，不是某个抽象的“pcap 格式规范”，而是一套精密咬合的二进制契约：libpcap 的 ABI 兼容性、文件头 magic number 的校验逻辑、时间戳精度字段的语义解释、以及最关键的一环——捕获截断长度（snaplen）与原始链路层帧长（wirelen）之间的隐式张力。这正是我们切入“3.2.