Tsccai's Blog
在Wireshark中捕获带VLAN的报文
Tsccai Lv2
  2024-12-08 15:35:38   2025-02-16 00:07:52

中文互联网上一搜这个问题,全是CSDN的垃圾内容。基本都是针对Wireshark 2.x以前的了,已经过时了。还得是在Wireshark的官方论坛才找到答案。

Wireshark 4.x后VLAN抓包的变化

Wireshark 4.x后,在首选项的外观-列中再也无法添加一个类型叫802.1Q VLAN id的列了(如下图)。
wireshark-old-preference
取而代之的,则是添加一个类型为Custom(自定义)的列,并在Fields(字段)处填写vlan.id(填写过程中会有自动补全提示)。
wireshark-prefernce

正确的网卡抓包设置

需要捕获VLAN的网口需要设置为混杂模式

设备管理器中的网卡设置

网卡要开启VLAN和有优先级(不同网卡,这个配置项的名称不同)

修改注册表

前3项都完成了但还不能成功的,则需要修改注册表。通过设备管理器,在注册表里找到对应的网卡,然后做如下修改:

查看 MonitorModeEnabled的值是否为1,PreserveVlanInfoInRxPacket的值是否为1.
若不存在,则新建 DWORD(32位),文件名分别为MonitorModeEnabled 、PreserveVlanInfoInRxPacket,设置值为1。设置完后重启电脑。

在Wireshark中捕获带VLAN的报文
2024/12/08/capture-packet-with-vlan-in-wireshark/
作者
Tsccai
发布于
2024-12-08 15:35
许可
  1. Wireshark 4.x后VLAN抓包的变化
  2. 正确的网卡抓包设置
  3. 设备管理器中的网卡设置
  4. 修改注册表
© 2022 - 2025    Tsccai
由 Hexo 驱动 & 主题 Keep
本站由 提供部署服务
  1. Wireshark 4.x后VLAN抓包的变化
  2. 正确的网卡抓包设置
  3. 设备管理器中的网卡设置
  4. 修改注册表