Mirror
wireshark 從同一埠擷取兩台電腦上的不同
我有一台執行 wireshark 的 Windows XP 機器,連接到網路上的鏡像埠。我在沒有過濾的情況下擷取,它只能看到一些雙向 TCP 對話的一半。我曾認為這是交換機上的鏡像埠問題,但我可以使用相同的乙太網電纜,將其插入執行相同版本的wireshark 的筆記型電腦,然後查看對話的雙方。我還看到更多隨機網路活動,例如 NBNS 查詢、LLDP 多播和動態調整協議數據包。
這似乎不是混雜模式問題,因為我確實看到了從 A 點到 B 點的 TCP 對話的一半,而我是 C 點。我嘗試更換網卡,但事實並非如此。它不是隨機丟包,因為我看到一個對話一側的每個數據包(基於序列號)
我正在尋找任何可能阻止 Wireshark 擷取所有數據包的 Windows 配置或其他程序或線索。
重新安裝新版本的 winpcap 並再次嘗試擷取數據。有時,winpcap的問題可能會導致這樣的問題。
檢查跨度/鏡像埠配置以確保它正在執行您期望的操作。某些交換機可以配置為僅擷取入站或僅出站流量(兩個方向都是第三種選擇)。
例如,這應該驗證 Cisco 設備上的狀態:
Switch# sh monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0 Source VLANs: RX Only: None TX Only: None Both: None Destination Ports: Fa1 Filter VLANs: None(這表明介面 Fa0 上的流量在入站和出站方向都被複製,並發出 Fa1 以被擷取)
此行為是通過以下配置實現的:
monitor session 1 source interface Fa0 monitor session 1 destination interface Fa1