最近我发现自己在situations不止一次,虽然应用程序无法接收(多播UDP)数据包,但它们已经到达了NIC,并且wireshark已经捕获了传出的IGMP数据包,确认应用程序实际上是加入组播组。
但是即使在wireshark正在捕获时(即混杂模式可能让分组通过NIC本来会被过滤掉 - 无论出于何种原因),该应用程序没有收到数据包。换句话说,不是NIC,而是驱动程序似乎正在丢弃数据包。
我如何深入研究数据包误入歧途的位置?或许与WFP有关?
答案 0 :(得分:1)
如果您怀疑WFP已丢弃数据包,那么您应该在netsh trace会话输出中看到它们。
netsh trace start scenario=wfp-ipsec netsh trace stop 从跟踪中查看.cab文件中名为NetEvents.xml的文件。列为FWPM_NET_EVENT_TYPE_CLASSIFY_DROP的事件是WFP阻止数据包向上(或向下)传播网络堆栈的结果。