Wireshark unter Windows: Gibt es eine Möglichkeit, Pakete zu erfassen, bevor sie von speziellen Filtertreibern gelöscht werden?

tag-icon tag-icon ethernet udp wireshark pcap winpcap
Wireshark unter Windows: Gibt es eine Möglichkeit, Pakete zu erfassen, bevor sie von speziellen Filtertreibern gelöscht werden?

Ich habe einige GigabitEthernet Vision-Kameras, die Ethernet zur Kommunikation verwenden. Das Protokoll ist einfaches UDP, aber aus Leistungsgründen (hoher Paketdurchsatz verursacht CPU-Last) verwendet der Hersteller einen Filtertreiber, der verhindert, dass diese Pakete beim Aufzeichnen mit WinPCap/Wireshark angezeigt werden.

Die mit den Kameras mitgelieferte Software benötigt den Filtertreiber, um zu funktionieren (es gibt keinen einfachen UDP-Socket-Fallback) und ich möchte den Datenverkehr analysieren. Ich möchte die Notwendigkeit der Erfassung mit zusätzlicher Hardware vermeiden und bevorzuge eine reine Softwarelösung.

Frage: Gibt es eine Möglichkeit, WinPCap zu priorisieren, sodass es die Pakete vor dem Filtertreiber verarbeitet?

Systeminformationen:

  • Betriebssystem: Windows 10 (64-Bit)
  • Software: Wireshark 2.4.4[-0-g90a7ve11a4]
  • Aufnahmetreiber: WinPCap v4.1.3 (packet.dll Version 4.1.0.2980)
  • RealTek: USB-GbE-Adapter (Treiberversion 10.7.218.2016)

Screenshot der Adapterkonfiguration (auf Deutsch, sorry):

Bildbeschreibung hier eingeben

Dies ist ein Screenshot meiner Netzwerkschnittstelleneinstellungen (der markierte Treiber „Teledyne DALSA Sapera GigE Vision Filter Driver“ ist der relevante).

Antwort1

Wenn die Kameras an einen Hub angeschlossen sind, können Sie einen Laptop an den Hub anschließen und im Promiscuous-Modus aufnehmen.

Wenn die Kameras an einen Switch angeschlossen sind, können Sie einen gespiegelten Port konfigurieren (spiegeln Sie den Port, an den die Kamera angeschlossen ist, auf einen Port, an den Sie eine Maschine anschließen, die die Wireshark-Aufnahme durchführt).

Wenn die Kameras direkt an den Computer angeschlossen sind, auf dem Sie Wireshark ausführen, stellen Sie sicher, dass TCP Chiminey ausgeschaltet ist.

Hier sind einige Links, die offenbar dazu beitragen, genau dieses Problem zu lösen.

https://networkengineering.stackexchange.com/questions/34961/why-does-wireshark-not-show-all-traffic- Especially-gvsp-data

https://www.wireshark.org/docs/dfref/g/gvsp.html

https://wiki.wireshark.org/CaptureSetup/Offloading#TCP_Chimney

Es wäre auch hilfreich, wenn Sie weitere Informationen zur Kamera (d. h. um welches Kameramodell handelt es sich?) und zu Ihrer Netzwerktopologie (z. B. sind die Kameras mit dem Computer verbunden, auf dem Sie Wireshark ausführen, einem Hub oder einem Switch?) angeben würden.

Bearbeiten:Sie möchten eigentlich die Reihenfolge der Winsock-Katalogeinträge (Layered Service Provider) manuell ändern. Durch Ausführen netsh winsock set /?können Sie sehen, welche Optionen Sie haben, um Winsock direkt zu konfigurieren. Soweit ich weiß, gibt es keine Möglichkeit, die Reihenfolge der LSPs zu ändern.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753591(v=ws.10)

https://msdn.microsoft.com/en-us/library/windows/desktop/gg581810(v=vs.85).aspx

https://blog.malwarebytes.com/cybercrime/2014/10/changes-in-the-lsp-stack/

verwandte Informationen