Wireshark 如何在vpn環境中抓包

Bomsori

各位專家，標題的小白問題確認一下，如果兩端都是vpn連線，那Wireshark如何辦到?

是這樣的，財務主管問，vpn傳檔案突然變得很慢，經理就問有誰會Wireshark? 來看一下...

我只能當做沒看見。拜託大家指導一下，感謝!!!

赵兄托你办点事

没太看懂问题，你是要用Wireshark在你的机器上如何抓财务主管的VPN 流量数据？

Bomsori

赵兄托你办点事 发表于 2020-10-31 10:57
没太看懂问题，你是要用Wireshark在你的机器上如何抓财务主管的VPN 流量数据？ ...

您好，我只是想確認一下經理所說的，用Wireshark真的能分析VPN裡的包嗎?

這理論上可能嗎? 我直覺是不可能，但經理都這麼說了，我也不好多說，只能假裝在忙，當做沒看到，哈哈。

赵兄托你办点事

Bomsori 发表于 2020-10-31 10:25
您好，我只是想確認一下經理所說的，用Wireshark真的能分析VPN裡的包嗎?

這理論上可能嗎? 我直覺是不可 ...

wireshark通过导入密钥，配置好加密算法，可以解密报文，让你看到被加密的数据。
你可以做个实验在你自己的机器上
连接公司VPN 之后
用wireshark抓这个VPN 网卡的所有流量
然后倒入密钥解密流量
我没做过，刚刚搜索的结果，参考官网手册
https://wiki.wireshark.org/ESP_Preferences

赵兄托你办点事

VPN 传输档案变慢个人经验来说九成不是VPN 的问题，大多是网络路由或者isp问题

Bomsori

好的謝謝，我再試試看

panterali

VPN tunnel内的traffic应该是无法解开的

tyler_kwok

赵兄托你办点事 发表于 2020-10-31 10:34
wireshark通过导入密钥，配置好加密算法，可以解密报文，让你看到被加密的数据。
你可以做个实验在你自己 ...

这密钥估计不容易弄到吧？而且弄到也有很大安全隐患。

能不能开/关VPN测试一下网速对比一下？

Bomsori

感謝大家熱心協助。

本案已交由網路組處理。不過是真的很奇怪，不開vpn網速都正常，開了之後會突然掉速，
其他user沒有這樣的狀況。在家上班環境都不同，很難排錯。

tyler_kwok

Bomsori 发表于 2020-11-1 08:41
感謝大家熱心協助。

本案已交由網路組處理。不過是真的很奇怪，不開vpn網速都正常，開了之後會突然掉速，

纯好奇，目前已知症状：
- 不开VPN网速正常，开了就慢。
- 此症状只出现于某个用户情况，其他用户使用同一VPN，网速正常。

不负责任猜测：这是该用户本身的IPS和VPN不对付，VPN开启后会这个ISP的BGP设置会route到一些特别慢的path。traceroute看看哪个hop出现问题也许会有帮助，Wireshark没有用。

woshidajiangyou

Bomsori 发表于 2020-11-1 08:11
感謝大家熱心協助。

本案已交由網路組處理。不過是真的很奇怪，不開vpn網速都正常，開了之後會突然掉速，

vpn server的问题？

开了vpn肯定会对网速有影响
有的vpn server带宽有限，导致网速很慢

赤脚绅士

难道不是应该在vpn设备上看log或者debug
wireshark对于网速的分析作用不大

archills

VPN慢这个很正常，毕竟路由已经改变了，加上加解密，加上ip头部的一些开销。

一般第一个要看的就是mtu 大小， 有没有ip报文被分片了。  可以尝试减少主机测的mtu来观察问题是否解决。

其它的就要从vpn server （或者防火墙） 角度去入手分析了。

如果mtu各项都正常，vpn server（防火墙也正常）那可以在vpn server后端架个iperf服务器来，用iperf来看看网络性能是不是ok。

wireshark在最终锁定问题时有用，比如是否有ip分片，是否ssl/ipsec handshake存在问题。

lihe1314

为啥慢，就没人问连到那个地方去了？要是连到北非，西亚，在绕一圈回来，包也丢不少了，肯定慢。

frank_au

Wireshark监听的是物理网络接口

gifox

这种情况有必要用wireshark么？

如果是一般传输速度慢有很多可以测试网路延迟工具可以用的把。

我主要用来抓SSL 问题而已，4楼的方法应该可行。但是解密在楼主你的这种应用场景里面有意义么？

Bomsori

感謝各位專家熱心參與本討論。

由於VPN問題屬於網路組的專業職責，雜工如我就沒機會碰，不過據說問題還沒解決，唉...

immphoenix

Bomsori 发表于 2020-10-31 11:25
您好，我只是想確認一下經理所說的，用Wireshark真的能分析VPN裡的包嗎?

這理論上可能嗎? 我直覺是不可 ...

简单的说不能。

VPN就是要保证公网上的信息安全，你能抓了还能看那VPN就没有意义了。

但是VPN terminiator上可以的，通常企业级用的是防火墙或者路由器，你可以抓解密以后的包用wireshark分析。

Bomsori

immphoenix 发表于 2020-12-2 14:01
简单的说不能。

VPN就是要保证公网上的信息安全，你能抓了还能看那VPN就没有意义了。

好的謝謝~~

immphoenix

另外这种网络性能问题多半通过分析tcp session能得出结论。想你主管这个问题你在内网抓一些包然后看TCP 两端的交互信息多半就知道什么问题。

要是很多 retransmission 多半是丢包，要是小包都行，大包不见了多半是MTU没调好。

chdsl007

可以先跑个traceroute或者mtr看看延迟在哪里
Wireshark感觉需要分析的东西有点儿多 window size什么的也可以反应网络情况

白白兔宝宝

除了技术以外，有对面公司或者你司换了ISP，签了个带宽低的plan，ISP卒，ISP连了AWS/NBN然后其中哪个route卒，VPN公司要filter你们traffic，VPN公司卒等等...

llee

这个只要选对网卡就行了吧，早上刚干过这事，MacOS 10.15 公司VPN环境，cntlm验证总出问题，下载安装了wireshark之后，看到两个网卡有流量，一个是en0，不选，另一个是utun2，抓这个上面的，不用配置任何东西。

gifox

不是很明白这种情况为什么要用wireshark.

有必要么?