windows之家1.如何设置能让电脑抓到带VLAN的包
解决方法:1.修改网卡的注册表2.设置允许PC抓取的vlan注意事项:vlan数据包有802.1Q封装的,还有ISL(思科私有)封装的。
在此能抓的都指的是802.1Q封装的vlan数据包。一、在PC上设置允许抓取的vlan先介绍PC设置允许接入的vlan方法,但网卡的注册表没有改特定的参数值的话,还是无法抓取vlan的tag的。
由于不同网卡有不同的注册表修改方法,比较棘手,最后介绍,所以先介绍简单的:1.首先,选择需要修改的网卡(以Intel网卡为例,其他的类似),右击进入“属性”2.在网卡的属性中的“常规”栏下,选择“配置”3.然后选择“VLAN”那一栏4.在“VLAN”栏下选择“新建”5.在弹出的“新VLAN”中,选择你需要虚拟的VLAN网卡,以便抓取该VLAN。6.“新VLAN”中可以新建“未标记的VLAN”,就是抓取取出tag的报文,跟普通网卡一样7.在新建过程中,电脑处理会比较慢,因为在虚拟此特定VLAN的网卡。
如弹出这个对话框,点”仍然继续“8.这就是电脑虚拟出来的专门的VLAN网卡,最多可以建64个(不同网卡可能不同)9.在上图中,建立了一大堆VLAN虚拟网卡,很乱!所以,不用的VLAN虚拟网卡就请删掉:右击主网卡的“属性”——“配置”——“VLAN”——选择vlan点击删除二、修改网卡的注册表项不同网卡需要修改不同的注册表项,先以Intel网卡为例:在windows系统下,通过修改注册表的方式,就可以让驱动保留 tag 。具体如下:Intel PRO/1000或PRO/100网卡对于Intel PRO/1000或PRO/100网卡, 需要将注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx下的MonitorModeEnabled 改为1,如果不存在则新建这么一个d word键。
(上述ControlSet001也可能是或者后接002~00x等其他数值)具体步骤:1.打开“运行”,输入regedit,进入注册表2.找到注册表中的 HKEY_LOCAL_MACHINE3.在注册表 HKEY_LOCAL_MACHINE下找到SYSTEM4.在注册表HKEY_LOCAL_MACHINE——SYSTEM下找到ControlSet001(可能还有ControlSet002、0ControlSet03、ControlSet004、ControlSet005……有多个的话,接下的步骤就要回到此重复即可)5.在ControlSet001下找到Control(ControlSet002、ControlSet003……也如此)6.在Control下找到Class7.在Class下搜索 {4D36E972-E325-11CE-BFC1-08002BE10318}8.在{4D36E972-E325-11CE-BFC1-08002BE10318}下的0000等目录下找到要修改的以太网卡9.在该以太网卡下新建字符串值:10.添加 MonitorModeEnabled 值为 111.在{4D36E972-E325-11CE-BFC1-08002BE10318}下的0000——0022寻找需要抓vlan的网卡,重复新建字符串值MonitorModeEnabled = 112.在ControlSet002、ControlSet003……下重复此步骤对于千兆网卡,需要在注册表里增加一项=1,类型为string(字符串值)。位置与相同,后者可以在HKEY_LOCAL_MACHINE\SYSTEM\下搜索到,各个电脑不同,例如我的电脑就是在HKEY_LOCAL_MACHINE\SYSTEM\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0009下。
修改后需要重启机器让它生效。然后抓包就可以看到802.1Q VLAN标记了。
该方法在 UserManual中可以搜到,较新的网卡驱动里都支持这个设置。注意事项:这样修改的一个后遗症就是,原来这些网卡接某些交换机的tag口是直接能通的(前提是端口 =相应),这样改了以后,tag标记底层不过滤,交给上层软件处理,windows本身不会去识别,于是就不通了。
2.怎么样在PC上抓取vlan信息的数据包
在linux下比较方便:先添加一个vlan接口#vconfig add eth0 10再抓包# tcpdump -i eth0 -n -etcpdump: verbose output suppressed, use -v or -vv for full protocol decodelistening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes13:44:45.069868 3c:97:0e:57:8c:e1 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 46: vlan 10, p 0, ethertype ARP, Request who-has 192.168.10.2 tell 192.168.10.1, length 28显示 802.1q ,vlan号是20。
3.怎么样在PC上抓取vlan信息的数据包
在linux下比较方便:
先添加一个vlan接口
#vconfig add eth0 10
再抓包
# tcpdump -i eth0 -n -e
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:44:45.069868 3c:97:0e:57:8c:e1 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 46: vlan 10, p 0, ethertype ARP, Request who-has 192.168.10.2 tell 192.168.10.1, length 28
显示 802.1q ,vlan号是20
4.抓vlan包,如何改注册表
如果嫌麻烦你直接找一张普通的8139网卡就能抓到了
-----------------------------------------------------------------
如果是Marvell的,下载10.60.xx版本号的驱动,网卡高级属性里面有一项"Priority&VLAN"选项, 设置成Disable
-----------------------------------------------------------------
如果是intel的,
在下面注册表位置新建一个键值(dword)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx
XX在众多XX目录下找到你的网卡名字,慢慢找吧
如果是PCI或者PCI-X的网卡新建名字为: MonitorModeEnabled
设置值
0 - 剥离tag
1 - 保留tag
如果是PCI-E的网卡新建名字为: MonitorMode
0 - 剥离tag
1 - 保留tag
一般情况下使用 MonitorMode=1 或者 MonitorModeEnabled=1就行了
-----------------------------------------------------------------
要是其他芯片的网卡我没试过,你可以参照一下上面两种方法或者自行在网上查找吧
5.thinkpad T420 如何抓VLAN TAG的包
做这种事,还是在linux上面方便:
modprobe 8021q
vconfig add eth0 10
ifconfig eth0.10 192.168.1.2 up
ping 192.168.1.1 -I eth0.10
抓包就可以了:
# tcpdump -i eth0 -e -n arp or icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
11:15:48.189723 3c:97:0e:57:8c:e1 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 46: vlan 10, p 0, ethertype ARP, Request who-has 192.168.1.1 tell 192.168.1.2, length 28
6.电脑是win10的,ie11,该用哪个抓包工具
谷歌浏览器chrome自带的work log,可以记录下整个访问过程中所有抓包结果,否则只记录当前页面的抓包结果,用于记录存在跳转页面的抓包时该项非常有用。清除抓包结果可以点击红点右边的小圆圈clear。
点击右上方的Dock to main window可以以独立窗口的方式显示界面。
任一点击一条http请求,在工具右边会列出该请求的详细信息,包括请求头,请求方式,提交的内容,cookie等内容。
下面介绍下火狐浏览器,打开的方式和谷歌浏览器差不多。先点击右上角的菜单,选择开发者。
火狐的工具比较丰富,这里我们选择网络。
之后的使用方式都大同小异,火狐抓包工具界面是中文的,而且有预览图片的功能,把鼠标放在抓取的图片请求上面就会显示出该图片来,是一款非常优秀的抓包工具。
8
我们常用的360浏览器也内置了http抓包工具,打开方式:工具-->;开发人员工具。
转载请注明出处windows之家 » win10电脑抓vlan包