我有一个Windows XP计算机运行wireshark,连接到networking上的镜像端口。 我捕捉没有过滤,它只能看到一些双向TCP对话的一半。 我以为这是交换机上的一个镜像端口问题,但是我可以把同一根以太网电缆连接到一台运行相同版本wireshark的笔记本电脑上,并查看对话的两边。 我还看到更多的随机networking活动,例如NBNS查询,LLDP多播和Dynamic Truning协议数据包。
这似乎不是一个混杂的模式问题,因为我看到从A点到B点的TCP会话的一半,而我是C点。我尝试过更换网卡,但事实并非如此。 它不是随机的数据包丢失,因为我看到每个数据包的一方会话(基于序列号)
我正在寻找任何Windowsconfiguration或其他程序或线索,可以防止Wireshark捕获所有数据包。
重新安装新版本的winpcap并重新尝试捕获数据。 有时候,winpcap的问题可能会导致这样的问题。
检查跨度/镜像端口configuration,以确保它正在做你期望的。 有些交换机可以configuration为仅捕获入站stream量或仅出站stream量(两个方向都是第三个选项)。
作为一个例子,这应该validation思科设备上的状态:
Switch# sh monitor session 1 Session 1 --------- Source Ports: RX Only: None TX Only: None Both: Fa0 Source VLANs: RX Only: None TX Only: None Both: None Destination Ports: Fa1 Filter VLANs: None (这显示接口Fa0上的stream量被复制到入站和出站方向并发出Fa1以被捕获)
这种行为是通过以下configuration实现的:
monitor session 1 source interface Fa0 monitor session 1 destination interface Fa1