Wireshark抓包配置说明
Wireshark抓取携带VLAN的报文
1、 控制面板->网络和Internet->网络连接,找到要抓包的网卡,右键属性,记录下网卡名称,如”Intel(R) Ethernet Connection (2) I219-LM”
2、 打开“运行”,输入regedit,打开注册表,HKEY_LOCAL_MACHINE->SYSTEM->CurrentControlSet->Control->Class
3、编辑->查找,搜索网卡名称(关键字搜索也可以)
4、查找到的表项就是网卡驱动所在的Class
5、在该以太网卡注册表Class下查找是否有MonitorModeEnabled键值,如果没有,新建DWORD类型键值,设置值为1
6、继续在该以太网卡注册表Class下查找是否有PreserveVlanInfoInRxPacket键值,如果没有,新建字符串类型键值,设置值为1
7、设置完毕,禁用网卡,然后重新启用网卡。打开Wireshark抓包,就可以抓取携带VLAN的报文了。
Wireshark抓取超过1518字节的报文
默认情况下,电脑网卡只能抓取64~1518字节的报文,如果需要抓取超过1518字节报文,需要配置网卡属性。
配置->高级->巨帧数据包,默认为禁用,修改为4088字节或者9014字节即可。
解决端口无法Link Up的问题
如果网卡没有Link Up,首先排查网线是否正常连接、网线有无质量问题;其次,关闭防火墙和网卡的身份验证;最后,调整网卡的工作模式,适应对端。
配置->高级->速度和双工,可以调整网卡的工作模式。
Wireshark分包抓取报文
有时候,可能需要抓长时间段的报文,此时,就需要分包抓取了。
捕获(Capture)->选项(Option),Input选择网卡
Output配置分包抓取,然后点击开始(Start)抓包