Для захвата тэгированного трафика надо включать monitor mode, для некоторых карт в ключ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx (где 00xx - номер карты, смотреть можно по полю DriverDesc, вместо ControlSet001 лучше сразу открывать CurrentControlSet)
создаём ключи (DWORD)
MonitorMode=1
MonitorModeEnabled=1
и перезагружаемся. Может не помочь, например с картами atheros эти ключи не работают. А у броадкома скорее всего ключи будут
TxCoalescingTicks
PreserveVlanInfoInRxPacket
http://xgu.ru/wiki/VLAN_%D0%B2_Windows
https://wiki.wireshark.org/VLAN
https://wiki.wireshark.org/CaptureSetup/VLAN
Считаем, что подобрали карту, которая умеет прокидывать весь траф. Теперь в wireshark можно сделать фильтр "vlan" - будет показываться тэгированный траф.
"vlan 10" - будет только траф с 10 вланом
"vlan and host 1.2.3.4" - тэгированный траф с указанного хоста
итд
Для сниффинга нужно быть "посередине", или поставить хаб (который hub, да-да), или настроить зеркалирование портов.
Пример зеркалирования для циски
monitor session x source interface fa0/y
monitor session x destination interface fa0/z encapsulation dot1q
Комментариев нет:
Отправить комментарий