..
windows 上 USB 网卡抓包
我用的是台式机,并且没有网线,使用的是一款 tp-link 的 USB 无线网卡。我在正常的使用 wireshark 抓包的时候无法显示 USB 网卡(没有找到原因),所以我曲线救国采用 WinDump.exe 来抓包。
第一步:下载安装 WinDump.exe
https://www.winpcap.org/windump/install/default.htm
加入到 windows 的 PATH 。
第二步:查看所有网卡信息
PS C:\Users\Administrator\Desktop> WinDump.exe -D
1.\Device\NPF_{A00C4DD6-3EBA-4906-98A3-E5E2D9EFEC4F} (Microsoft)
2.\Device\NPF_{1E6AADC2-D4A0-46F3-A74F-E1DD3C5AA083} (MS NDIS 6.0 LoopBack Driver)
3.\Device\NPF_{D1D269B7-514E-4965-8CFC-7ED9CABCD082} (Realtek Ethernet Controller)
4.\Device\NPF_{CBE29DC7-059D-4AA7-B637-C2133E93C983} (Oracle)
5.\Device\NPF_{31D51A9D-8223-49A4-B874-55BD96814DD1} (Microsoft)
6.\Device\NPF_{FDBF2140-0D98-4EF0-86D5-C97E5EBA9121} (Gateway VNIC)
7.\Device\NPF_{AC92470D-66CB-4BDB-BAD1-25E57253E922} (Microsoft)
第三步: 开始抓包
PS C:\Users\Administrator\Desktop> WinDump.exe -i 5 -w dump.pcap
-i 指定接口 -w 写入文件
但是我还是遇到了一个问题,我抓到的包只有接收流量,没有发出流量。一番搜索找到了原因:
https://www.winpcap.org/windump/misc/faq.htm
如果本地开启了 vpn 服务,或者 socks 代理,可能会导致抓包的结果只有接收到的包,而没有发送出去的包。解决这个问题的方式是关闭 vpn 服务(windows 服务),比如我开启了公司的 vpn 服务
PS C:\Users\Administrator\Desktop> net start |grep Ga
Gateway Session Service
Gateway Updater Service
关闭服务即可
net stop 'Gateway Session Service'
net stop 'Gateway Updater Service'