Reinstale a nova versão do winpcap e tente capturar os dados novamente. Às vezes, o problema do winpcap pode levar a esses problemas.
Eu tenho um Windows XP Machine Running wireshark, conectado a uma porta Mirror em uma rede. Estou capturando sem filtragem, e só consigo ver metade de algumas conversas TCP de duas vias. Eu tinha pensado que era um problema de porta de espelho no switch, mas posso pegar o mesmo cabo de ethernet, conectá-lo em um laptop executando a mesma versão do wireshark e ver os dois lados da conversa. Eu também vejo muito mais atividade de rede aleatória, como consultas NBNS, multicast LLDP e pacotes de protocolo Dynamic Truning.
Isso não parece ser um problema no modo promíscuo, porque eu vejo metade de uma conversa TCP do ponto A para o ponto B, e eu sou o ponto C. Eu tentei substituir a placa de rede, mas não é isso . Não é perda aleatória de pacotes, porque vejo cada pacote para um lado da conversa (baseado em números de sequência)
Eu estou procurando por quaisquer configurações do Windows ou outros programas ou dicas que possam estar impedindo o Wireshark de capturar todos os pacotes.
Verifique a configuração da porta span / mirror para se certificar de que está fazendo o que você espera. Alguns switches podem ser configurados para capturar somente tráfego de entrada ou de saída (com ambas as direções sendo uma terceira opção).
Como exemplo, isso deve verificar o estado em um dispositivo Cisco:
Switch# sh monitor session 1
Session 1
---------
Source Ports:
RX Only: None
TX Only: None
Both: Fa0
Source VLANs:
RX Only: None
TX Only: None
Both: None
Destination Ports: Fa1
Filter VLANs: None
(isso mostra que o tráfego na interface Fa0 é replicado nas direções de entrada e de saída e envia Fa1 para ser capturado)
Este comportamento foi conseguido com a seguinte configuração:
monitor session 1 source interface Fa0
monitor session 1 destination interface Fa1