Sniffer zeigt im Netzwerkverkehr keine 802.1q-Tags an

Ein für Analysezwecke durchgeführter Netzwerkmitschnitt durch einen Sniffer offenbart fehlende 802.1q-Tags (VLAN) im mitgeschnittenen Netzwerkverkehr. Die Lösung liegt im Netzwerktreiber

Umgebung

Beispiel

Microsoft Betriebssystem

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10
  • Netzwerksniffer wie z. B. Wireshark.

Problem

Der mitgeschnittene Netzwerkverkehr lässt VLAN-Tags (IEEE 802.1q) vermissen obwohl sie da sein müssten.

Lösung

Am Beispiel einer Intel-Netzwerkkarten muss der zu Grunde liegende Treiber erst in den Monitoring-Modus versetzt werden. Auf Windows-Betriebssystemen geschieht dies mit einem Registry-Key und einem Neustart.

Je nach Netzwerktreiber muss der Monitoring-Modus hier am Beispiel eines e1d-Intel-Treibers aktiviert werden.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}\00XX

XX=Die Nummer der Netzwerkkarte im Betriebssystem. Man kann diese leicht durch einsehen des Wertes DriverDesc im gleichen Verzeichnis erkennen ob es sich um die richtige Netzwerkkarte handelt.

Folgender Wert muss hinzugefügt werden (am Beispiel e1d-Treiber):

"MonitorMode"=dword:00000001

Im Anschluss muss das Betriebssystem neu gestartet werden und ein erneuter Sniffing-Versuch unternommen werden. Wireshark zeigt dann gemäß folgendem Beispiel das korrekte 802.1q-Tag an:

Frame 15: 218 bytes on wire (1744 bits), 218 bytes captured (1744 bits) on interface 0
Ethernet II, Src: xx (xx:xx:xx:xx:xx:xx), Dst: xx (xx:xx:xx:xx:xx:xx)
Destination: xx (xx:xx:xx:xx:xx:xx)
Source: xx (xx:xx:xx:xx:xx:xx)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, DEI: 0, ID: 110
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = DEI: Ineligible
.... 0000 0110 1110 = ID: 123
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: XX.XX.XX.XX, Dst: XX.XX.XX.XX
User Datagram Protocol, Src Port: XXXXX, Dst Port: XXXXX
Data (172 bytes)

Referenz:

Intel.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.