【手把手教】wireshark抓带vlan的报文

最新推荐文章于 2025-07-21 07:09:48 发布
最新推荐文章于 2025-07-21 07:09:48 发布
阅读量6.8k 收藏 65
点赞数 45
CC 4.0 BY-SA版权
分类专栏: 测试工具 文章标签: wireshark 网络 服务器 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lai_2020/article/details/144898256

引言

在测试过程中,经常需要抓取报文,查看报文的vlan值是否正确。由于Windows和wireshark默认不支持抓取和显示带vlan的报文,需要按以下步骤设置网卡、修改注册表及设置wirehark。

网卡信息查询及设置

1、选中桌面“网络”图标,右键选中属性

68c7ed8713db449d8a888fbbf107f943.png

2、在新窗口,点击“更改适配器设置”

d3947603d0c7484d84775d71dce226a5.png

3、选中要设置的网卡,右键选择属性(注:如果有多个网卡都要抓vlan报文,每个网卡要单独设置)

7badedf7637e4980a9d094680cb8cbc6.png

4、在网卡属性页面,点击“配置”

6ea91a32f1444b88bb50f5287ffda94b.png

5、切换到“详细信息”页,属性下拉框选择“类 Guid”,记录对应的值如下图的“{4d36e972-e325-11ce-bfc1-08002be10318}”,并记录网卡的描述如下图的“Intel(R) Ethernet Connection (13)1219-V”。

7fbcd8e500104043a089e99f15ed1ee2.png

6、切换到“高级”页,将“数据包优先级和VLAN”的值改成“已启用数据包优先级和VLAN”

e7d0011be07a40119a9643ab194baaf1.png

修改注册表

1、同时按下win+R键,输入regedit,回车打开注册表编辑器

d3897a52203544f890fcc73508bb3675.png

2、输入“计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class{4d36e972-e325-11ce-bfc1-08002be10318}\”,定位到节点,其中{4d36e972-e325-11ce-bfc1-08002be10318}替换成步骤5获取到的类Guid的值;然后依次点开0000~0017网卡,查看DriverDes与步骤5获取到的网卡描述一致的网卡,即是要设置的网卡。

b6328935b2754c39a295960bd382220f.png

3、查看该网卡下是否已经有以下三个键,没有则右键新建,并设为1,然后重启电脑

MonitorMode,类型是REG_DWORD,值设成1

MonitorModeEnable,类型是REG_DWORD,值设成1

SkDisableVlanStrip,类型是REG_DWORD,值设成1

右键选择“新建”-->"DWORD(32位值(D)"

99712a5bc70646339f82fb9a02122329.png

输入键名如“MonitorMode”,右键选择修改

4f3587b2876440fa948895ed5d70478d.png

选择十六进制,数值输入1,点击确定按钮完成修改

8d3fd41355ae48749b866025a4ac8d8c.png

5、添加完成后,结果如下,关闭注册表重启电脑后生效

cdd04396db3a4d399980f3e9a041661b.png

设置wireshark

1、打开wireshark,在主页面点击“捕获选项”按钮,在捕获选项窗口,勾选在所有接口上使用混杂模式

注:混杂模式指网卡会抓取所有网卡接收到报文,非混杂模式下网卡指抓取目标是网卡的报文,在工作中通常是要镜像抓取交换机某个端口的报文,所以需要启用混杂模式。

41f44468a8d44218bb51fd74a32a5f80.png

2、添加vlan列

默认情况下,wireshark显示结果并把vlan单独列出来,需要手动添加vlan列

在wireshark主页面,点击编辑菜单,选择“首选项”

e5d517dca15c46a3997d24e37f8be926.png

在首选项窗口,点开“外观”-->"列“,点击加号按钮,title输入”VLAN“,类型选择”Custom“,Fields输入”vlan.id||nstrace.vlan“,最后点击确认完成添加

8125d00035c04ac6b88c66abe16b3fc8.png

抓包显示效果

单独列出vlan,在报文可以看到vlan字段

588feba4931f4311a2c4e087c7cbe08f.png

 

网卡支持取的报文VLAN 标识
05-03
笔记本网卡支持取的报文VLAN 标识
wireshark如何vlanid的报文
03-02
wireshark如何vlanid的报文
wiresharkVLAN,想添加VLAN列,但没802.1Q VLAN ID选项
qq_42968012的博客
06-26 4771
想要VLAN,查看VLAN ID选项。按照网上程,都是让1.添加wiresharkvlan id 列。2.打开vlan优先级功能 3.修改注册表。卸载了wireshark4.2.5,重装了4.0.15版本的Wireshark。但是在wireshark添加vlan列的时候,根本没有802.1Q这个选项。后续我再升级到wireshark4.2.5,仍然可以有802.1Q。我是在修改完注册表之后,安装了winPcap。这样就可以看到802.1Q了。在两台电脑上都成功了。
wiresharkVLAN的设置方法
freeze_cold的博客
03-17 1976
win+R打开运行,输入regedit打开注册表,进入如下路径,最后一级为刚才记录的驱动程序关键字的值。在网卡上右键-属性-配置-详细信息,将属性选为驱动程序关键字,记录下方的值。2.在网卡的高级属性中要使能(开启)优先级和VLAN。再次打开wireshark即可显示出VLAN。1.wireshark软件的版本需要小于4.0。在网卡上右键-属性-配置-高级。增加或修改图中4个值为1。3.查看驱动程序关键字。
不同网卡VLAN报文的设置方法总结
05-26
各种网卡VLAN的设置方法 FAE必备
Wireshark 如何Vlan ID的报文
u011029104的专栏
10-18 9065
2、选择 外观 --> 列(中文版),对应appearance–>columns,并点击下方 + 按钮,添加命名 “Vlan”(大小写皆可),选择802.1Q VLAN id,并确认保存。若不存在,则新建 DWORD(32位),文件名分别为MonitorModeEnabled 、PreserveVlanInfoInRxPacket,设置值为1。1、打开电脑 网络和Internet设置,点击 以太网–>更改适配器选项。选择详细信息,属性找到驱动程序关键字,记录值。选择的网口,右键 点击“属性”。
WiresharkVLAN
qq_49442278的博客
04-24 1万+
WiresharkVLAN 注:此方法亲测可用,但不一定适配所有类型网卡!!! 当前网卡:Intel® I350 Gigabit Network Connection 一、查看当前网卡信息并配置网卡 如图查看网卡,得到驱动程序关键字:{4d36e972-e325-11ce-bfc1-08002be10318}\0001 配置网卡启用VLAN 中文:数据优先级和 VLAN 选择 已启用数据优先级和 VLAN 英文:如图 二、配置注册表 使用组合键 Win + R 输入 reg
配置电脑使用Wireshark到有VLAN Tag标签的报文
weixin_49752138的博客
12-17 1万+
配置电脑使用Wireshark到有VLAN Tag标签的报文
配置电脑使Wireshark到有VLAN标签的报文
DIAN的博客
12-13 8649
配置电脑使Wireshark到有VLAN标签的报文
VLAN报文实例
10-23
VLAN报文实例,修改配置VLAN报文特别麻烦,
ubuntu安装wireshark空口报文
05-17
"ubuntu安装wireshark空口报文" 本文主要介绍了在ubuntu系统中安装wireshark取空口报文的过程。wireshark是一款功能强大的网络协议分析工具,可以捕获和显示网络数据,以便进行网络故障排除和安全检查。...
profinet报文wireshark
09-23
profinet协议以太网报文,可以用wireshark软件打开,适用于学习profinet报文解析,学习各种工业以太网协议可参考本人其他下载文件
Wireshark配置VLAN Tag,取过滤显示VLAN ID的数据
taxuebufeng的博客
08-15 5717
绝大多数的网卡驱动默认会在接收数据的时候剥掉vlan tag,使得用wireshark到的数据中不含vlan tag,此时需要通过修改注册表让驱动保留vlan tag。
Wireshark在Win10下Vlan标签
风云刀的优快云博客
11-24 10000
定位到注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\ 找到对应的网卡,看网卡的描述,我的网卡是Type-C的Realtak网卡。 新建两个值,如下图: 设置完成之后重启电脑。 在Wirsshark的首选项中设置Vlan列。 进行查看。 参考链接。 https://www.intel.com/content/www/us/en/support/art
Wireshark如何Vlan ID的报文
热门推荐
小骆
09-11 4万+
Wireshark如何Vlan ID的报文 ![在这里插入图片描述]设置好后标签Vlan ID 先设置Wireshark 1、打开Wireshark,点击 编辑–>首选项 2、选择 外观 --> 列(中文版),对应appearance–>**columns,**并点击下方 + 按钮。 3、添加命名 “Vlan”(大小写皆可),选择802.1Q VLAN id,并确认保存。 修改电脑注册表 1、打开电脑 网络和Internet设置,点击 以太网–>更改适
window_wireshark收集vlan报文
weixin_49262792的博客
07-18 674
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class{4d36e972-e325-11ce-bfc1-08002be10318}\0022。计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class前面的地址大概就是这个样子。2、编辑->查找, F3下一个。这三个参数设置成1,如果参数不存在,右键新增即可;1、网卡->属性->详细信息。##重启windows。
为何Wireshark无法识别WLAN接口?
最新发布
安德洛夫
07-21 68
摘要:本文系统分析了Wireshark便携版无法识别WLAN接口的技术根源,指出60%问题源于NPF驱动服务未激活,并给出分步解决方案。从基础驱动安装(推荐Npcap)、服务启动命令,到随身WiFi的特殊处理(外置监听网卡方案),再到高级内核调试方法。文章含权限配置、系统服务修正等实用技巧,并附有速查表帮助快速定位问题。最终指出数据捕获本质是系统权限博弈,成功需要对底层架构的精确掌控。
wireshark无法捕获本机ip数据
01-21
### 解决Wireshark在本地机器上无法取IP数据的问题 #### 检查网络适配器设置 当遇到Wireshark无法捕获本机IP数据的情况时,首先要确认的是计算机上的网络适配器配置是否正常。确保所选的网卡处于工作状态并已启用,并且该设备确实连接到了活动的网络中[^1]。 对于Windows操作系统而言,可以通过控制面板中的“网络和共享中心”,点击左侧的更改适配器设置选项来查看当前系统的全部网络接口状况;而在Linux环境下,则可以利用`ifconfig`或`ip a`命令获取相似的信息。 如果发现目标网卡被禁用了或是存在异常情况(比如显示为未识别硬件),那么应当尝试重新安装驱动程序或者重启电脑解决问题。 #### 正确选择捕捉接口 启动Wireshark之后,在主界面上会列出所有可用的网络接口供用户挑选用于监听的数据流来源。需要注意的是,不同的物理端口可能对应着不同类型的流量——例如以太网、WiFi等——因此要依据实际需求做出合适的选择[^2]。 有时即使选择了看似正确的接口也依然看不到预期的数据报文流动,这可能是由于虚拟交换环境造成的误导。特别是当你在一个有多个逻辑网络层结构下的环境中操作时,务必仔细甄别每一个条目背后的含义,必要时可查阅官方文档了解更详细的说明。 另外值得注意的一点是在某些特殊情况下,如使用VMware Player/VirtualBox创建出来的客户操作系统里,默认状态下宿主机与来宾之间通信并不会经过真实的外部NIC而是通过内部模拟的方式实现互联,所以此时应该特别留意是否存在这样的特殊情况影响到正常的嗅探过程。 #### 排除防火墙和其他安全措施的影响 现代的安全防护机制可能会阻止应用程序访问底层协议栈从而妨碍了Wireshark的功能发挥。为了验证这一点,建议暂时关闭任何正在运行的企业级防病毒套装或者是个人防火墙组件后再做测试观察是否有改善迹象。 当然出于安全性考虑不推荐长期保持这种开放姿态,一旦确定问题是由此引起的话则可以在后续调整相应策略规则允许例外情形发生即可恢复保护模式而不至于完全丧失防御能力。 ```bash sudo iptables -L INPUT # 查看现有iptables规则链表项 sudo ufw status # 如果Ubuntu系统下启用了UFW服务也可以这样查询其开关状态 ``` 以上就是针对Wireshark无法成功截获来自同一台PC发出接收至自身的IPv4/v6分组现象的一些常见处理思路汇总[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

交换机路由器测试之路

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值