【手把手教】wireshark抓带vlan的报文

引言

在测试过程中,经常需要抓取报文,查看报文的vlan值是否正确。由于Windows和wireshark默认不支持抓取和显示带vlan的报文,需要按以下步骤设置网卡、修改注册表及设置wirehark。


网卡信息查询及设置

1、选中桌面“网络”图标,右键选中属性

68c7ed8713db449d8a888fbbf107f943.png

2、在新窗口,点击“更改适配器设置”

d3947603d0c7484d84775d71dce226a5.png

3、选中要设置的网卡,右键选择属性(注:如果有多个网卡都要抓vlan报文,每个网卡要单独设置)

7badedf7637e4980a9d094680cb8cbc6.png

4、在网卡属性页面,点击“配置”

6ea91a32f1444b88bb50f5287ffda94b.png

5、切换到“详细信息”页,属性下拉框选择“类 Guid”,记录对应的值如下图的“{4d36e972-e325-11ce-bfc1-08002be10318}”,并记录网卡的描述如下图的“Intel(R) Ethernet Connection (13)1219-V”。

7fbcd8e500104043a089e99f15ed1ee2.png

6、切换到“高级”页,将“数据包优先级和VLAN”的值改成“已启用数据包优先级和VLAN”

e7d0011be07a40119a9643ab194baaf1.png

修改注册表

1、同时按下win+R键,输入regedit,回车打开注册表编辑器

d3897a52203544f890fcc73508bb3675.png

2、输入“计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{4d36e972-e325-11ce-bfc1-08002be10318}\”,定位到节点,其中{4d36e972-e325-11ce-bfc1-08002be10318}替换成步骤5获取到的类Guid的值;然后依次点开0000~0017网卡,查看DriverDes与步骤5获取到的网卡描述一致的网卡,即是要设置的网卡。

b6328935b2754c39a295960bd382220f.png

3、查看该网卡下是否已经有以下三个键,没有则右键新建,并设为1,然后重启电脑

MonitorMode,类型是REG_DWORD,值设成1

MonitorModeEnable,类型是REG_DWORD,值设成1

SkDisableVlanStrip,类型是REG_DWORD,值设成1

右键选择“新建”-->"DWORD(32位值(D)"

99712a5bc70646339f82fb9a02122329.png

输入键名如“MonitorMode”,右键选择修改

4f3587b2876440fa948895ed5d70478d.png

选择十六进制,数值输入1,点击确定按钮完成修改

8d3fd41355ae48749b866025a4ac8d8c.png

5、添加完成后,结果如下,关闭注册表重启电脑后生效

cdd04396db3a4d399980f3e9a041661b.png

设置wireshark

1、打开wireshark,在主页面点击“捕获选项”按钮,在捕获选项窗口,勾选在所有接口上使用混杂模式

注:混杂模式指网卡会抓取所有网卡接收到报文,非混杂模式下网卡指抓取目标是网卡的报文,在工作中通常是要镜像抓取交换机某个端口的报文,所以需要启用混杂模式。

41f44468a8d44218bb51fd74a32a5f80.png

2、添加vlan列

默认情况下,wireshark显示结果并把vlan单独列出来,需要手动添加vlan列

在wireshark主页面,点击编辑菜单,选择“首选项”

e5d517dca15c46a3997d24e37f8be926.png

在首选项窗口,点开“外观”-->"列“,点击加号按钮,title输入”VLAN“,类型选择”Custom“,Fields输入”vlan.id||nstrace.vlan“,最后点击确认完成添加

8125d00035c04ac6b88c66abe16b3fc8.png

抓包显示效果

单独列出vlan,在报文可以看到vlan字段

588feba4931f4311a2c4e087c7cbe08f.png

 

### 解决Wireshark在本地机器上无法取IP数据的问题 #### 检查网络适配器设置 当遇到Wireshark无法捕获本机IP数据的情况时,首先要确认的是计算机上的网络适配器配置是否正常。确保所选的网卡处于工作状态并已启用,并且该设备确实连接到了活动的网络中[^1]。 对于Windows操作系统而言,可以通过控制面板中的“网络和共享中心”,点击左侧的更改适配器设置选项来查看当前系统的全部网络接口状况;而在Linux环境下,则可以利用`ifconfig`或`ip a`命令获取相似的信息。 如果发现目标网卡被禁用了或是存在异常情况(比如显示为未识别硬件),那么应当尝试重新安装驱动程序或者重启电脑解决问题。 #### 正确选择捕捉接口 启动Wireshark之后,在主界面上会列出所有可用的网络接口供用户挑选用于监听的数据流来源。需要注意的是,不同的物理端口可能对应着不同类型的流量——例如以太网、WiFi等——因此要依据实际需求做出合适的选择[^2]。 有时即使选择了看似正确的接口也依然看不到预期的数据报文流动,这可能是由于虚拟交换环境造成的误导。特别是当你在一个有多个逻辑网络层结构下的环境中操作时,务必仔细甄别每一个条目背后的含义,必要时可查阅官方文档了解更详细的说明。 另外值得注意的一点是在某些特殊情况下,如使用VMware Player/VirtualBox创建出来的客户操作系统里,默认状态下宿主机与来宾之间通信并不会经过真实的外部NIC而是通过内部模拟的方式实现互联,所以此时应该特别留意是否存在这样的特殊情况影响到正常的嗅探过程。 #### 排除防火墙和其他安全措施的影响 现代的安全防护机制可能会阻止应用程序访问底层协议栈从而妨碍了Wireshark的功能发挥。为了验证这一点,建议暂时关闭任何正在运行的企业级防病毒套装或者是个人防火墙组件后再做测试观察是否有改善迹象。 当然出于安全性考虑不推荐长期保持这种开放姿态,一旦确定问题是由此引起的话则可以在后续调整相应策略规则允许例外情形发生即可恢复保护模式而不至于完全丧失防御能力。 ```bash sudo iptables -L INPUT # 查看现有iptables规则链表项 sudo ufw status # 如果Ubuntu系统下启用了UFW服务也可以这样查询其开关状态 ``` 以上就是针对Wireshark无法成功截获来自同一台PC发出接收至自身的IPv4/v6分组现象的一些常见处理思路汇总[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

交换机路由器测试之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值