Я пытаюсь устранить неполадки в коммуникации между двумя серверами в сети Windows, где IPSEC шифрует все. Я установил Wireshark на исходном сервере и захватил трафик в момент сбоя коммуникации, но за исключением нескольких пакетов ARP и DNS, все остальное, что захвачено, является зашифрованным пакетом ESP (Encapsultating Security Payload).
Я бы понял это, если бы делал захват man-in-the-middle, но я на исходной машине. Есть ли способ указать, что захват Wireshark происходит дальше по стеку (после завершения расшифровки)? Исходная машина — W2K8R2, запущенная как Hyper-V VM, если это имеет значение.
решение1
Если вы хотите напрямую проверять и анализировать трафик ESP, ваша версия Wireshark должна быть связана с libcrypt.Подробнее здесь.
решение2
Чтобы ответить на мой собственный вопрос (или хотя бы упомянуть мое решение), Netmon может захватывать и анализировать тот же трафик без проблем. Я сохранил захват Netmon и открыл его в Wireshark, и все по-прежнему отображается как пакеты ESP. Видимо, Wireshark не любит расшифровывать пакеты. Может быть, Netmon использует для этого локальный ключ? В любом случае, ответ был в использовании Netmon. Он не так хорош для анализа трафика, но он открывает пакеты ESP, если вы захватываете их с конечной точки.
решение3
Вероятно, вам просто нужно указать Wireshark захватывать на виртуальном интерфейсе, предоставляемом службой IPSec VPN, а не на реальном интерфейсе. Перейдите в capture->interfaces или в capture->options и выберите интерфейс из раскрывающегося списка.
решение4
В Wireshark перейдите в Edit/Preferences и разверните список Protocol. Найдите ESP в списке и введите ключевую информацию.