У меня есть машина под управлением Windows XP, на которой запущен wirehark, подключенный к порту зеркала в сети. Я захватываю без фильтрации, и он может видеть только половину некоторых двусторонних TCP-разговоров. Я думал, что это проблема зеркального порта на коммутаторе, но я могу взять тот же кабель Ethernet, подключить его к ноутбуку с той же версией wirehark и увидеть обе стороны разговора. Я также вижу гораздо больше случайной сетевой активности, такой как запросы NBNS, многоадресные рассылки LLDP и пакеты протокола динамической трансляции.
Это не похоже на проблему беспорядочного режима, потому что я вижу половину TCP-разговора из точки A в точку B, и я являюсь точкой C. Я попытался заменить сетевую карту, но это не так. Это не случайная потеря пакетов, потому что я вижу каждый пакет для одной стороны одного разговора (на основе порядковых номеров)
Я ищу любые конфигурации Windows или другие программы или подсказки, которые могут помешать Wireshark захватить все пакеты.
Проверьте конфигурацию порта span / mirror, чтобы убедиться, что он работает так, как вы ожидаете. Некоторые коммутаторы можно настроить для захвата только входящего или только исходящего трафика (третьим вариантом является оба направления).
Например, это должно проверить состояние на устройстве Cisco:
Switch# sh monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa1
Filter VLANs: None
(это показывает, что трафик на интерфейсе Fa0 реплицируется как в входящем, так и в исходящем направлениях и отправляет Fa1 для захвата)
Такое поведение было достигнуто с помощью следующей конфигурации:
monitor session 1 source interface Fa0
monitor session 1 destination interface Fa1
Переустановите новую версию winpcap и попробуйте еще раз захватить данные. Иногда проблема с winpcap может привести к таким проблемам.