Sean Earp Asked: 2010-01-24 13:17:31 +0800 CST2010-01-24 13:17:31 +0800 CST 2010-01-24 13:17:31 +0800 CST Wireshark 和 IPSec 772 我正在尝试对 IPSEC 对所有内容进行加密的 Windows 网络上的两台服务器之间的通信进行故障排除。我在源服务器上安装了wireshark,并在通信失败时捕获了流量,但除了一些ARP和DNS数据包之外,捕获的其他所有内容都是ESP(封装安全有效负载)加密数据包。 如果我正在进行中间人捕获,我会理解这一点,但我在源机器上。有没有办法指定 Wireshark 捕获更远的堆栈(解密完成后)?如果重要的话,源机器是作为 Hyper-V VM 运行的 W2K8R2。 ipsec wireshark 4 个回答 Voted Best Answer Helvick 2010-01-24T17:43:57+08:002010-01-24T17:43:57+08:00 如果您想直接检查和分析 ESP 流量,您的 Wireshark 版本需要与 libcrypt 链接。更多细节在这里。 Sean Earp 2010-01-24T15:26:48+08:002010-01-24T15:26:48+08:00 为了回答我自己的问题(或至少提及我的解决方案),Netmon 能够毫无问题地捕获和解析相同的流量。我保存了 Netmon 捕获并在 Wireshark 中打开它,所有内容仍然显示为 ESP 数据包。显然 Wireshark 不喜欢解密数据包。也许 Netmon 使用本地密钥来这样做?无论如何,答案是使用 Netmon。它在分析流量方面几乎没有那么好,但如果您从端点捕获它们,它确实会打开 ESP 数据包。 jdizzle 2010-01-24T17:14:03+08:002010-01-24T17:14:03+08:00 您可能只需要告诉 Wireshark 在 IPSec VPN 服务提供的虚拟接口上进行捕获,而不是在实际接口上进行捕获。转到捕获->接口或捕获->选项,然后从下拉列表中选择接口。 T Scherer 2013-02-08T10:30:18+08:002013-02-08T10:30:18+08:00 在 Wireshark 中,转到 Edit/Preferences 并展开 Protocol 列表。在列表中找到 ESP 并输入您的密钥信息。
如果您想直接检查和分析 ESP 流量,您的 Wireshark 版本需要与 libcrypt 链接。更多细节在这里。
为了回答我自己的问题(或至少提及我的解决方案),Netmon 能够毫无问题地捕获和解析相同的流量。我保存了 Netmon 捕获并在 Wireshark 中打开它,所有内容仍然显示为 ESP 数据包。显然 Wireshark 不喜欢解密数据包。也许 Netmon 使用本地密钥来这样做?无论如何,答案是使用 Netmon。它在分析流量方面几乎没有那么好,但如果您从端点捕获它们,它确实会打开 ESP 数据包。
您可能只需要告诉 Wireshark 在 IPSec VPN 服务提供的虚拟接口上进行捕获,而不是在实际接口上进行捕获。转到捕获->接口或捕获->选项,然后从下拉列表中选择接口。
在 Wireshark 中,转到 Edit/Preferences 并展开 Protocol 列表。在列表中找到 ESP 并输入您的密钥信息。