我正在嘗試對 Windows 網路上兩台伺服器之間的通訊進行故障排除,其中 IPSEC 對所有內容進行加密。我在來源伺服器上安裝了wireshark,並在通訊失敗時捕獲了流量,但除了一些ARP和DNS資料包之外,捕獲的其他所有內容都是ESP(封裝安全負載)加密資料包。
如果我正在進行中間人捕獲,我會理解這一點,但我在來源電腦上。有沒有辦法指定 Wireshark 擷取堆疊的更上方(解密完成後)?如果重要的話,來源電腦是作為 Hyper-V VM 運行的 W2K8R2。
答案1
如果您想直接檢查和分析 ESP 流量,您的 Wireshark 版本需要與 libcrypt 連結。更多詳情請點這裡。
答案2
為了回答我自己的問題(或至少提到我的解決方案),Netmon 能夠毫無問題地捕捉和解析相同的流量。我保存了 Netmon 捕獲並在 Wireshark 中打開它,所有內容仍然顯示為 ESP 封包。顯然 Wireshark 不喜歡解密封包。也許 Netmon 使用本機金鑰來做到這一點?無論如何,答案是使用 Netmon。它不太適合分析流量,但如果您從端點捕獲 ESP 資料包,它會打開它們。
答案3
您可能只需要告訴 Wireshark 在 IPSec VPN 服務提供的虛擬介面上進行捕獲,而不是在實際介面上進行捕獲。前往 capture->interfaces 或 capture->options,然後從下拉清單中選擇介面。
答案4
在 Wireshark 中,前往編輯/首選項並展開協定清單。在清單中找到 ESP 並輸入您的關鍵資訊。