O Wireshark pode capturar um quadro Ethernet inteiro, incluindo espaçamento de preâmbulo, CRC e Interframe?

Navegue suas respostas
1

Estou examinando um quadro Ethernet no Wireshark. De acordo com o artigo da "moldura Ethernet" da Wikipedia e os diagramas que o acompanham, "Um quadro começa com um preâmbulo de 7 octetos e um delimitador de quadro inicial de 1 octeto (SFD)."

O artigo também destaca que "[o] preâmbulo e delimitador de quadro inicial não são exibidos pelo software sniffing de pacotes porque esses bits são removidos na Camada 1 OSI pelo controlador de interface de rede antes de serem passados para a camada OSI 2 que é onde os sniffers de pacotes coletam seus dados. "

Minha pergunta é: existe uma maneira de capturar e exibir o quadro Ethernet inteiro usando o Wireshark? Se não, é possível conseguir isso sem o uso de hardware adicional?

// synack

    
por synack 07.07.2013 / 21:42

3 respostas

5

My question is: is there a way to capture and display the entire Ethernet frame using Wireshark?

Somente se você tiver um adaptador de rede que capture o quadro inteiro e o forneça ao host, um driver para aquele adaptador que configura o adaptador para fazer isso e um mecanismo de captura no SO (ou de outra forma conectado ao libpcap / WinPcap) que permite que seja fornecido.

Eu conheço adaptadores Ethernet NO que fornecem o preâmbulo e o SFD.

Pelo menos alguns adaptadores podem, no entanto, fornecer o CRC / FCS. (O adaptador em um Mac que eu usei há muitos anos fez; não acho que os adaptadores dos Macs atuais o façam.) O Wireshark tenta adivinhar se um pacote Ethernet tem um FCS e, se ele acha que o faz, manipula-o como tal. (Eu adicionei o código para fazer isso no Wireshark quando eu estava usando o Mac em questão.)

If not, is it possible to achieve this without the use of additional hardware?

Não, como a parte anterior da resposta sugere.

A Hilscher Gesellschaft für Systemautomation mbH tem uma linha de dispositivos netAnalyzer que podem ser colocados em" modo transparente "; nesse modo, o preâmbulo, o SFD e o FCS estão presentes , e o Wireshark pode ler arquivos pcap produzidos por esses dispositivos.

Acho que os cartões DAG da Endace podem fornecer o FCS, mas eles não podem fornecer o preâmbulo ou o SFD, até onde eu sei.

    
por 08.07.2013 / 02:16
0

De acordo com o site do Wireshark, certos sistemas operacionais têm drivers que permitem ver mais do que outros. Refere-se ao FCS, mas não tenho certeza se é o mesmo que o CRC que você está perguntando.

link

    
por 08.07.2013 / 01:32
0

Observe que isso não é verdade:

Eu não conheço nenhum adaptador Ethernet que forneça o preâmbulo e o SFD.

Se você olhar para algo como Freescale P2020 SoC (e mais provavelmente todo o outro hardware de rede existente), permite-lhe ver os preâmbulos de entrada, alterar o comprimento do preâmbulo e emitir os preâmbulos personalizados.

Pode não ser comum em PCs, mas para qualquer equipamento de rede "sério" parece muito comum. Não tenho certeza se o Wireshark rodando em tal dispositivo é capaz de falar com o sistema operacional de maneira a pegar os quadros, talvez seja mais fácil simplesmente conectar um sniffer de pacotes brutos à rede física.

    
por 18.11.2013 / 10:56

Tags

linux como saber o processo de um script? Restringindo UOs específicas de acessar a pasta do Active Directory