Wireshark no Windows: alguma maneira de capturar pacotes antes de serem descartados por drivers de filtro especiais?

tag-icon tag-icon ethernet udp wireshark pcap winpcap
Wireshark no Windows: alguma maneira de capturar pacotes antes de serem descartados por drivers de filtro especiais?

Tenho algumas câmeras GigabitEthernet Vision, que usam Ethernet para se comunicar. O protocolo é UDP simples, mas por motivos de desempenho (alta taxa de transferência de pacotes causando carga na CPU) o fabricante usa um driver de filtro que impede que esses pacotes apareçam durante a captura com WinPCap/Wireshark.

O software que vem com as câmeras precisa do driver de filtro para funcionar (não há substituto simples para UDP-Socket) e eu gostaria de analisar seu tráfego. Gostaria de evitar a necessidade de captura usando hardware adicional e prefiro uma solução somente de software para isso.

Descrição: Existe alguma maneira de priorizar o WinPCap, para que ele manipule os pacotes antes do driver de filtro?

Informação do sistema:

  • SO: Windows 10 (64 bits)
  • Programas: Wireshark 2.4.4[-0-g90a7ve11a4]
  • Driver de captura: WinPCap v4.1.3 (packet.dll versão 4.1.0.2980)
  • RealTek: Adaptador USB-GbE (versão do driver 10.7.218.2016)

Captura de tela da configuração do adaptador (em alemão, desculpe):

insira a descrição da imagem aqui

Esta é uma captura de tela das configurações da minha interface de rede (o driver marcado 'Teledyne DALSA Sapera GigE Vision Filter Driver' é o relevante).

Responder1

Se as câmeras estiverem conectadas a um hub, você poderá conectar um laptop ao hub e capturar no modo promíscuo.

Se as câmeras estiverem conectadas a um switch, você poderá configurar uma porta espelhada (espelhe a porta na qual a câmera está conectada em uma porta na qual você conecta uma máquina que está fazendo a captura do wireshark).

Se as câmeras estiverem conectadas diretamente ao computador em que você está executando o Wireshark, certifique-se de que o TCP Chiminey esteja desligado.

Aqui estão alguns links que parecem estar relacionados à tentativa de resolver esse problema exato.

https://networkengineering.stackexchange.com/questions/34961/why-does-wireshark-not-show-all-traffic-especialmente-gvsp-data

https://www.wireshark.org/docs/dfref/g/gvsp.html

https://wiki.wireshark.org/CaptureSetup/Offloading#TCP_Chimney

Também seria útil se você fornecesse mais informações sobre a câmera (ou seja, quais são os modelos da câmera?) e sua topologia de rede (por exemplo, as câmeras estão conectadas ao computador no qual você está executando o Wireshark, um hub ou uma troca?).

Editar:O que você está realmente pedindo é alterar manualmente a ordem das entradas do catálogo Winsock (Provedor de serviços em camadas). Ao executar netsh winsock set /?você pode ver quais são suas opções para configurar o Winsock diretamente. Pelo que vejo, não, não há como você alterar a ordem dos LSPs.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc753591(v=ws.10)

https://msdn.microsoft.com/en-us/library/windows/desktop/gg581810(v=vs.85).aspx

https://blog.malwarebytes.com/cybercrime/2014/10/changes-in-the-lsp-stack/

informação relacionada