我刚刚在 Windows 机器上安装了 wireshark,当我运行捕获时,我确实看到了流量,但不是全部。我通过 VNC 连接到盒子,没有看到 VNC 流量,如果我从盒子 ping 某些东西,我可以看到它。这是常见的情况吗?
它说的是‘Broadcom L2 NDIS 客户端驱动程序’。
答案1
听起来您的卡可能启用了烟囱卸载。在具有此功能的系统上,已建立的 TCP 连接将交给 NIC 进行处理,并且流量会绕过任何 NDIS 中间驱动程序(包括 WinPcap)。有关更深入的讨论,请参阅温普卡和知识库 912222。您可以使用 禁用它netsh int ip set chimney disabled。
这个问题偶尔会出现在 Wireshark 和 WinPcap 邮件列表中。我认为,随着该功能在各种产品线中普及,以及人们升级到较新版本的 Windows,这个问题会更频繁地出现。烟囱、VM 环境和云计算正在为数据包捕获带来“新的”和“有趣的”挑战。
答案2
您是指捕获发往其他计算机的流量吗?
如果是的话,这并不像安装那么简单,您需要在网络上进行一定的设置。
这里有来自 wireshark wiki 的一些配置场景: http://wiki.wireshark.org/CaptureSetup/以太网
您还可以做的是,让一台配备 2 张网卡的计算机作为网关/路由器,所有流量都通过它。
以下是带有指南的快速链接: http://www.stanford.edu/~fenn/linux/