WireShark抓Intel网卡的802.1q包
在Wireshark网上找到如何让Intel网卡实现抓取Vlan(802.1q)包,在如下链接中可以找到,意思即是修改注册表中的MonitorModeEnabled或者MonitorMode(依网卡而定)
http://www.intel.com/support/network/sb/CS-005897.htm
问题是我没有找到这样的一个项,开始以为我的网卡不支持,使用同事的一个ACER的电脑,将网卡的VLAN功能禁用后,就可以抓包了。
后来在,一英文网站论坛上找到,可以通过手动添加该项来解决这个问题。
注册表的位置在:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00nn
nn是序号,一般会有很多项,从该位置中去查找DriverDesc的项与你网卡的描述项相同的一个目录。
笔者的网卡为:Intel(R) 82577LM Gigabit Network Connection
位置为:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0007
找到后,如果没有该项,可手动添加一项,类型为DWORD,并修改值为:1
重起系统后,即可在WireShark中实现对802.1Q的项进行解析。
我的尝试如下:连接的VLAN ID为:100
Ethernet II, Src: Dell_01:45:30 (00:26:b9:01:45:30), Dst: WistronI_0a:68:17 (f0:de:f1:0a:68:17)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 100
Internet Protocol Version 4, Src: 10.0.3.11 (10.0.3.11), Dst: 10.0.3.138 (10.0.3.138)
如果在注册表中有多个ControlSet,只设置ControlSet001,因为别人已经做过实验了,修改CurrentControlSet都没有效果。
版权声明:本文为博主原创文章,未经博主允许不得转载。