Я изучаю фрейм Ethernet в Wireshark. Согласно статье Википедии «Кадр Ethernet» и сопроводительным диаграммам, «кадр начинается с 7-октетной преамбулы и 1-октетного ограничителя начального кадра (SFD)».
В статье также подчеркивается, что «[] преамбула и ограничитель начального кадра не отображаются программным обеспечением для сниффинга пакетов, потому что эти биты удаляются на уровне 1 OSI контроллером сетевого интерфейса перед передачей на уровень 2 OSI, где анализируются пакеты. собирать их данные ".
Мой вопрос: есть ли способ захватить и отобразить весь кадр Ethernet с помощью Wireshark? Если нет, можно ли этого добиться без использования дополнительного оборудования?
// синхронизация
Мой вопрос: есть ли способ захватить и отобразить весь кадр Ethernet с помощью Wireshark?
Только если у вас есть сетевой адаптер, который захватывает весь кадр и передает его на хост, драйвер для этого адаптера, который настраивает адаптер для этого, и механизм захвата в ОС (или иным образом подключенный к libpcap / WinPcap), который позволяет это поставлять.
я знаю Нет Адаптеры Ethernet, обеспечивающие преамбулу и SFD.
Однако по крайней мере некоторые адаптеры могут поставлять CRC / FCS. (Адаптер на Mac, который я использовал много лет назад; я не думаю, что адаптеры на нынешних Mac есть.) Wireshark пытается угадать, есть ли в пакете Ethernet FCS, и, если он думает, что он есть, обрабатывает его как таковой. (Я добавил код для этого в Wireshark, когда использовал рассматриваемый Mac.)
Если нет, можно ли этого добиться без использования дополнительного оборудования?
Нет, как следует из предыдущей части ответа.
Hilscher Gesellschaft für Systemautomation mbH есть линия устройства netAnalyzer который можно перевести в «прозрачный режим»; в этом режиме, преамбула, SFD и FCS присутствуют, и Wireshark жестяная банка читать файлы pcap, созданные этими устройствами.
думаю Карты DAG Endace могут предоставить FCS, но они не могут предоставить преамбулу или SFD, насколько мне известно.
Обратите внимание, что это не так:
Я не знаю адаптеров Ethernet, которые обеспечивают преамбулу и SFD.
Если вы посмотрите на что-то вроде Freescale P2020 SoC(и, скорее всего, все другое сетевое оборудование), это позволяет вам видеть входящие преамбулы, изменять длину преамбулы и выдавать настраиваемые преамбулы.
Возможно, это не распространено на ПК, но для любого «серьезного» сетевого оборудования это кажется очень распространенным. Не уверен, что Wireshark, работающий на таком устройстве, может общаться с ОС таким образом, чтобы получать кадры, возможно, проще просто подключить сниффер необработанных пакетов к физической сети.
Согласно веб-сайту Wireshark, некоторые ОС имеют драйверы, которые позволяют видеть больше, чем другие. Это относится к FCS, но я не уверен, что это то же самое, что CRC, о котором вы спрашиваете.