Debian에서 tshark를 사용하여 스니핑을 시도하고 있으며 모든 트래픽을 보고 싶지만 VLAN 트래픽이 없습니다.
eth0 인터페이스에 VLAN 10을 추가하도록 인터페이스를 수동으로 구성한 후 다음을 쿼리할 수 있습니다.
# tshark -i eth0 -w /home/debian/capture/testcapture8.pcap
[NO PACKETS]
# vconfig add eth0 10
# tshark -i eth0 -w /home/debian/capture/testcapture8.pcap
[ALL PACKETS on VLAN 10 and on eth0]
# vconfig rem eth0.10
# vconfig add eth0 20
# tshark -i eth0 -w /home/debian/capture/testcapture8.pcap
[NO PACKETS]
따라서 특정 VLAN ID와 함께 vconfig를 사용해야만 VLAN 태그가 지정된 패킷을 볼 수 있습니다. vconfig에 추가할 VLAN ID를 모르고 모든 패킷을 보려면 어떻게 해야 합니까?
답변1
tshark -i eth0.10 -w /home/debian/capture/testcapture8.pcapVLAN 10에서 패킷을 캡처해 보세요 .
에서:https://wiki.wireshark.org/CaptureSetup/VLAN
(굵은 강조는 제가 추가했습니다)
[...]
리눅스
VLAN 태그 지정을 활성화하려면 vlan rpm(예: vlan-1.8-23)과 8021q 커널 모듈이라는 두 가지가 필요합니다. 설치 후 vconfig 명령을 사용하여 기존 물리적 장치에 VLAN 인터페이스를 생성할 수 있습니다. 자세한 내용은 vconfig(8) 매뉴얼 페이지를 참조하십시오.
VLAN 인터페이스가 설정되고 트래픽 흐름이 시작되면 Wireshark를 실행하고 원하는 VLAN 인터페이스(예: VLAN 100의 경우 eth0.100) 또는 기본 물리적 인터페이스(예: eth0)에서 캡처할 수 있습니다. 전자를 선택하면 해당 VLAN으로 향하는 프레임만 표시되고, 전자를 선택하면 해당 VLAN으로 향하는 프레임만 표시됩니다.후자를 선택하면 모든 프레임이 표시되거나 태그가 지정되지 않은 프레임만 표시될 수 있습니다.(그렇다면).이는 NIC, NIC 펌웨어, 드라이버, 달과 행성의 정렬에 따라 다릅니다.(다양한 어댑터, 펌웨어 버전 및 드라이버 동작을 나열하는 표가 유용할 수 있습니다. -Guy Harris)
VLAN이 구성된 호스트 시스템에서 캡처하는 경우 물리적 장치에서 캡처하는 경우에도 캡처된 프레임에 VLAN 태그가 표시되지 않을 수 있습니다. 드라이버는 pcap 라이브러리가 태그를 보기 전에 태그를 제거합니다. 아래 Windows 섹션에 언급된 Intel 기술 노트를 참조하세요. (Linux 드라이버는 드라이버 구성 옵션이나 Intel Windows 드라이버와 유사한 기능을 사용하여 VLAN 태그 가져오기를 지원합니까? - Guy Harris) (e100 드라이버는 2.4.26에서 잘 작동합니다 - Jaap Keuter)
또한 읽어 볼 가치가 있는 내용:https://wiki.wireshark.org/VLAN