笔记本电脑设置抓?/p>
Vlan
包标签的方法
一?/p>
?/p>
题的提出
VLAN tag
是在
802.1Q
中定义的标签,带
VLAN tag
的报文头格式如下?/p>
01 0c cd 01 00 01 00 01 7a 01 00 52 81 00 00 00
?/p>
其中
81 00
?/p>
TPID
,即表明此数据包为带
802.1Q/802.1P
标签的数据包?/p>
?/p>
接下去的
00 00
?/p>
TCI
(标签控制信息字段),表示为二进制共?/p>
16
位,其中?/p>
3
位为优先级,?/p>
4
位为
CFI
,通常?/p>
0
,第
5-16
位为
VLAN ID
?/p>
VLAN ID
?/p>
0
用于识别帧优先级?/p>
某一些网卡驱动默认会在接收数据包的时候过?/p>
vlan tag
?/p>
使得?/p>
MMS-ethereal
或?/p>
wireshark
抓到?/p>
数据包中不含
vlan tag
,此时需要通过修改注册表让驱动保留
vlan tag
?/p>
二、解决办?/p>
笔记本电脑的网卡一般为
Intel PRO/1000
?/p>
PRO/100
网卡,对于此类网卡需要将注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE103
18}\00xx
?/p>
如果该目录下有多个子项,
需要找到自己的网卡对应的子?/p>
(其?/p>
DriverDesc
是设备类型)
?/p>
对于
Intel
系列网卡,如果是
PCI
或?/p>
PCI-X
的网卡新建名字为?/p>
MonitorModeEnabled
;如果是
PCI-E
的网卡新建名字为
: MonitorMode
?/p>
MonitorMode
或?/p>
MonitorModeEnabled
的设置值的区别?/p>
设为
0
?/p>
表示剥离
tag
?/p>
设为
1
?/p>
表示保留
tag
?/p>
一般情况下使用
MonitorMode=1
或?/p>
MonitorModeEnabled=1
就行?/p>
电脑重启后,抓到的包中就?/p>
VLAN
标签了。如果原配的网卡驱动版本比较低,如果有抓包需要的?/p>
议先升级网卡驱动程序?/p>
对于
Broadcom
(博通)千兆网卡,需要在注册表里增加一?/p>
PreserveVlanInfoInRxPacket=1
,类?/p>
?/p>
string
。位置与
TxCoalescingTicks
相同,后者可以在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
下搜索到。修改后需要重启机器让它生效?/p>
操作示例?/p>
我的电脑网卡?/p>
Intel(R)
Ethernet
Connection
I217-V
,需要找到这块网卡所在的位置,如下图?/p>
路径?/p>
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE1
0318}\0014