我有一台运行 wireshark 的 Windows XP 机器,连接到网络上的镜像端口。我在没有过滤的情况下捕获,它只能看到一些双向 TCP 对话的一半。我曾认为这是交换机上的镜像端口问题,但我可以使用相同的以太网电缆,将其插入运行相同版本的wireshark 的笔记本电脑,然后查看对话的双方。我还看到更多随机网络活动,例如 NBNS 查询、LLDP 多播和动态调整协议数据包。
这似乎不是混杂模式问题,因为我确实看到了从 A 点到 B 点的 TCP 对话的一半,而我是 C 点。我尝试更换网卡,但事实并非如此。它不是随机丢包,因为我看到一个对话一侧的每个数据包(基于序列号)
我正在寻找任何可能阻止 Wireshark 捕获所有数据包的 Windows 配置或其他程序或线索。
检查跨度/镜像端口配置以确保它正在执行您期望的操作。某些交换机可以配置为仅捕获入站或仅出站流量(两个方向都是第三种选择)。
例如,这应该验证 Cisco 设备上的状态:
(这表明接口 Fa0 上的流量在入站和出站方向都被复制,并发出 Fa1 以被捕获)
此行为是通过以下配置实现的:
重新安装新版本的 winpcap 并再次尝试捕获数据。有时,winpcap的问题可能会导致这样的问题。