[問答] Wireshark封包抓取問題

看板Network作者ysh523h (橘匠)時間10年前 (2015/08/19 23:45)推噓3(3推 0噓 2→)

留言5則, 4人參與討論串1/1

小弟最近碰到需要分析封包來診斷連線問題的案件，以釐清到底是我方還是對方程式的問題。我的操作環境是一台VM虛擬機(windows 2012)，為了分析這台虛擬機上的程式為何無法與對方正常建立連線，小弟在這台虛擬機上面安裝了wireshark並嘗試分析兩邊主機建立連線的過程。 filter:ip.addr == 對方主機IP 結果wireshark只擷取到對方回應給我的封包(input 封包) 這台虛擬機往對方主機送的封包都沒有被截取到。(Output 封包) 而且我很確定雙方主機有在做三方交握，對方跟我VM互動過程的封包都有抓到。但僅有對方回給我的而已，我這邊VM送出去的封包不知道去哪了。我原先以為我filter下錯，拿掉filter條件後我還是找不到我VM往對方送的封包。而且發現VM往其他主機送的output封包有被截取到，代表不是所有的output封包都抓不到。再來我為了確保我所抓的封包沒有遺漏，我把我這台VM上的兩張虛擬網卡都納入側錄了還是沒有看到output封包。想請教發生這種狀況是否wireshark要做什麼設定呢？先謝過了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.56.39 ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1439999108.A.08A.html