Ipsec

Wireshark 和 IPSec

  • February 7, 2013

我正在嘗試對 IPSEC 對所有內容進行加密的 Windows 網路上的兩台伺服器之間的通信進行故障排除。我在源伺服器上安裝了wireshark,並在通信失敗時擷取了流量,但除了一些ARP和DNS數據包之外,擷取的其他所有內容都是ESP(封裝安全有效負載)加密數據包。

如果我正在進行中間人擷取,我會理解這一點,但我在源機器上。有沒有辦法指定 Wireshark 擷取更遠的堆棧(解密完成後)?如果重要的話,源機器是作為 Hyper-V VM 執行的 W2K8R2。

如果您想直接檢查和分析 ESP 流量,您的 Wireshark 版本需要與 libcrypt 連結。更多細節在這裡

為了回答我自己的問題(或至少提及我的解決方案),Netmon 能夠毫無問題地擷取和解析相同的流量。我保存了 Netmon 擷取並在 Wireshark 中打開它,所有內容仍然顯示為 ESP 數據包。顯然 Wireshark 不喜歡解密數據包。也許 Netmon 使用本地密鑰來這樣做?無論如何,答案是使用 Netmon。它在分析流量方面幾乎沒有那麼好,但如果您從端點擷取它們,它確實會打開 ESP 數據包。

引用自:https://serverfault.com/questions/105704