我正在尝试解决IPSECencryption所有内容的Windowsnetworking上两台服务器之间的通信问题。 我在源服务器上安装了wireshark,并且在通信失败的时候捕获了通信量,但除了一些ARP和DNS数据包以外,捕获的所有内容都是ESP(Encapsultating Security Payload,encryption数据包)encryption数据包。
如果我正在做一个中间人捕捉,我会理解,但是我在源机器上。 有没有一种方法可以指定Wireshark进一步捕获堆栈(解密完成后)? 源机器是W2K8R2作为Hyper-V虚拟机运行。
如果你想直接检查和分析ESPstream量,你的Wireshark版本需要与libcrypt链接。 更多细节在这里 。
为了回答我自己的问题(或者至less提到我的解决scheme),Netmon能够捕获和parsing相同的stream量,而不会出现任何问题。 我保存了Netmon捕获,并在Wireshark中打开它,所有东西仍然显示为ESP数据包。 显然Wireshark不喜欢解密数据包。 也许Netmon使用本地密钥来做到这一点? 无论如何,答案都是使用Netmon。 这对于分析stream量来说并不是那么好,但是如果您从端点捕获ESP数据包,则会打开ESP数据包。
您可能只需告诉Wireshark在IPSec VPN服务提供的虚拟接口上捕获,而不是在实际的接口上捕获。 转到capture-> interfaces或capture-> options并从下拉菜单中select界面。
在Wireshark中,转到编辑/首选项并展开协议列表。 在列表中findESP并input您的关键信息。