WireShark抓Intel网卡的802.1q包

在Wireshark网上找到如何让Intel网卡实现抓取Vlan(802.1q)包,在如下链接中可以找到,意思即是修改注册表中的MonitorModeEnabled或者MonitorMode(依网卡而定)

http://www.intel.com/support/network/sb/CS-005897.htm

问题是我没有找到这样的一个项,开始以为我的网卡不支持,使用同事的一个ACER的电脑,将网卡的VLAN功能禁用后,就可以抓包了。

后来在,一英文网站论坛上找到,可以通过手动添加该项来解决这个问题。


注册表的位置在:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00nn

nn是序号,一般会有很多项,从该位置中去查找DriverDesc的项与你网卡的描述项相同的一个目录。

笔者的网卡为:Intel(R) 82577LM Gigabit Network Connection

位置为:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0007


找到后,如果没有该项,可手动添加一项,类型为DWORD,并修改值为:1

重起系统后,即可在WireShark中实现对802.1Q的项进行解析。

我的尝试如下:连接的VLAN ID为:100

Ethernet II, Src: Dell_01:45:30 (00:26:b9:01:45:30), Dst: WistronI_0a:68:17 (f0:de:f1:0a:68:17)

802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 100

Internet Protocol Version 4, Src: 10.0.3.11 (10.0.3.11), Dst: 10.0.3.138 (10.0.3.138)


如果在注册表中有多个ControlSet,只设置ControlSet001,因为别人已经做过实验了,修改CurrentControlSet都没有效果。

版权声明:本文为博主原创文章,未经博主允许不得转载。

posted @ 2012-09-13 15:02  yin138  阅读(2562)  评论(0编辑  收藏  举报