Может ли Wireshark захватить весь кадр Ethernet, включая преамбулу, CRC и межкадровый интервал?
Я изучаю кадр Ethernet в Wireshark. Согласно статье Википедии "Ethernet frame" и прилагаемым диаграммам, "кадр начинается с преамбулы из 7 октетов и разделителя начального кадра из 1 октета (SFD)".
В статье также подчеркивается, что "преамбула преамбулы и начальный кадр не отображаются программным обеспечением для отслеживания пакетов, поскольку эти биты удаляются на уровне 1 OSI контроллером сетевого интерфейса перед передачей на уровень 2 OSI, где происходит анализ пакетов. собирать свои данные."
Мой вопрос: есть ли способ захватить и отобразить весь кадр Ethernet с помощью Wireshark? Если нет, возможно ли достичь этого без использования дополнительного оборудования?
// SYNACK
3 ответа
Мой вопрос: есть ли способ захватить и отобразить весь кадр Ethernet с помощью Wireshark?
Только если у вас есть сетевой адаптер, который захватывает весь кадр и передает его на хост, драйвер для этого адаптера, который настраивает адаптер для этого, и механизм захвата в ОС (или иным образом подключенный к libpcap/WinPcap), который позволяет это быть поставленным.
Я не знаю ни одного адаптера Ethernet, который поставляет преамбулу и SFD.
Однако, по крайней мере, некоторые адаптеры могут поставлять CRC/FCS. (Адаптер на Mac, который я использовал много лет назад, сделал; я не думаю, что адаптеры на нынешних Mac это делают.) Wireshark пытается угадать, есть ли в пакете Ethernet FCS, и, если он считает, что это так, обрабатывает его как таковой. (Я добавил код, чтобы сделать это в Wireshark, когда использовал данный Mac.)
Если нет, возможно ли достичь этого без использования дополнительного оборудования?
Нет, как предполагает предыдущая часть ответа.
Hilscher Gesellschaft für Systemautomation mbH имеет линейку устройств netAnalyzer, которые можно переводить в "прозрачный режим"; в этом режиме присутствуют преамбула, SFD и FCS, и Wireshark может читать файлы pcap, созданные этими устройствами.
Я думаю, что карты DAG Endace могут предоставлять FCS, но они не могут предоставить преамбулу или SFD, насколько я знаю.
Обратите внимание, что это не так:
Я не знаю ни одного адаптера Ethernet, который поставляет преамбулу и SFD.
Если вы посмотрите на что-то вроде SoC Freescale P2020(и, скорее всего, на все другое сетевое оборудование), оно позволяет вам видеть входящие преамбулы, изменять длину преамбулы и выдавать пользовательские преамбулы.
Это может быть не распространено в ПК, но для любого "серьезного" сетевого оборудования это кажется очень распространенным. Не уверен, что Wireshark, работающий на таком устройстве, может взаимодействовать с ОС таким образом, чтобы собирать кадры, может быть, проще подключить необработанный анализатор пакетов к физической сети.
Согласно веб-сайту Wireshark, некоторые ОС имеют драйверы, которые позволяют видеть больше, чем другие. Это относится к FCS, но я не уверен, что это тот же самый CRC, о котором вы спрашиваете.