Я только что установил wirehark на машину с Windows, когда я запускаю захват, я вижу трафик, но не весь. Я нахожусь в коробке с помощью VNC и не вижу трафика VNC. Если я пингую что-то из коробки, я могу это увидеть. Обычное?
Там написано «Драйвер клиента Broadcom L2 NDIS».
Похоже, на вашей карте включена разгрузка дымохода. В системах с этой функцией установленные TCP-соединения передаются на NIC для обработки, и трафик обходит любые промежуточные драйверы NDIS (включая WinPcap). Более подробные обсуждения можно найти на winpcap.org и КБ 912222. Вы можете отключить его, используя netsh int ip set chimney disabled.
Эта проблема время от времени появляется в списках рассылки Wireshark и WinPcap. Я предполагаю, что это будет происходить чаще, так как эта функция будет использоваться в различных линейках продуктов, и люди будут переходить на более новые версии Windows. Chimney, среды виртуальных машин и облачные вычисления создают «новые» и «интересные» проблемы для захвата пакетов.
Вы имеете в виду захват трафика, предназначенного для других компьютеров?
Если это так, это не так просто, как просто установить его, вам нужна определенная настройка в вашей сети.
Здесь есть несколько сценариев настройки из вики-сайта WireShark: http://wiki.wireshark.org/CaptureSetup/Ethernet
что вы также можете сделать, это иметь компьютер с 2 картами nic, служащими шлюзом / маршрутизатором, весь трафик проходит через него.
вот быстрая ссылка с руководством по этому поводу: http://www.stanford.edu/~fenn/linux/