我有一台运行 wireshark 的 Windows XP 计算机,连接到网络上的镜像端口。我进行捕获时没有过滤,它只能看到一些双向 TCP 对话的一半。我原以为这是交换机上的镜像端口问题,但我可以使用相同的以太网电缆,将其插入运行相同版本 wireshark 的笔记本电脑,然后查看对话的双方。我还看到更多随机网络活动,例如 NBNS 查询、LLDP 多播和动态调整协议数据包。
这似乎不是混杂模式问题,因为我确实看到了从点 A 到点 B 的 TCP 对话的一半,而我是点 C。我试过更换网卡,但不是那样。这不是随机数据包丢失,因为我看到了一个对话一侧的每个数据包(基于序列号)
我正在寻找任何可能阻止 Wireshark 捕获所有数据包的 Windows 配置或其他程序或线索。
答案1
重新安装新版本的winpcap并再次尝试捕获数据。有时winpcap的问题可能会导致此类问题。
答案2
检查 span/mirror 端口配置,确保其按预期运行。某些交换机可以配置为仅捕获入站或出站流量(第三个选项是双向流量)。
举例来说,这应该验证 Cisco 设备上的状态:
Switch# sh monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa1
Filter VLANs: None
(这表明接口 Fa0 上的流量在入站和出站方向都被复制,并且发送出 Fa1 进行捕获)
此行为是通过以下配置实现的:
monitor session 1 source interface Fa0
monitor session 1 destination interface Fa1