小弟最近碰到需要分析封包來診斷連線問題的案件,
以釐清到底是我方還是對方程式的問題。
我的操作環境是一台VM虛擬機(windows 2012),
為了分析這台虛擬機上的程式為何無法與對方正常建立連線,
小弟在這台虛擬機上面安裝了wireshark並嘗試分析兩邊主機建立連線的過程。
filter:ip.addr == 對方主機IP
結果wireshark只擷取到對方回應給我的封包(input 封包)
這台虛擬機往對方主機送的封包都沒有被截取到。(Output 封包)
而且我很確定雙方主機有在做三方交握,對方跟我VM互動過程的封包都有抓到。
但僅有對方回給我的而已,我這邊VM送出去的封包不知道去哪了。
我原先以為我filter下錯,拿掉filter條件後我還是找不到我VM往對方送的封包。
而且發現VM往其他主機送的output封包有被截取到,
代表不是所有的output封包都抓不到。
再來我為了確保我所抓的封包沒有遺漏,
我把我這台VM上的兩張虛擬網卡都納入側錄了還是沒有看到output封包。
想請教發生這種狀況是否wireshark要做什麼設定呢?
先謝過了。