wireshark - 为什么 Wireshark 检测不到 Mozilla VPN 使用的 Wireguard 接口？

Question

以管理员身份在 Windows 10 上运行 Wireshark 3.2.5 64 位。

Mozilla VPN 创建这个接口，如 IPCONFIG 所示

Unknown adapter FirefoxPrivateNetworkVPN:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : WireGuard Tunnel
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : fc00:bbbb:bbbb:bb01::*:*(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.65.*.*(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 10.64.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Wireshark 不显示此界面，尽管所有其他界面（真实和虚拟）都可用。
我可以在主以太网接口上看到加密数据。我需要 Wireshark 来监控通过 Wireguard 隧道的流量。其他 VPN 接口在 Wireshark 中是可见的，为什么不是这个呢？

Answer 1

我还注意到 Windows Wireguard 实现目前不与其他标准网络工具合作。不仅 WG 接口对 Wireshark 不可见，Wireshark 连接也因某种原因无法被 Windows 防火墙阻止。我认为这是一个安全问题。

目前 Wireguard for Windows 使用 Wintun 界面。相比之下，OpenVPN 也可以选择使用 Wintun 界面已有一段时间了。当你使用它时，它的界面对 Wireshark 也是不可见的。但是您仍然可以在 Windows 防火墙中阻止 OpenVPN。

编辑：

解决方案 (2021-08-22) :将 npcap Windows 驱动程序更新到最新版本。然后将出现 Wireshark 的 Wintun 界面。

现在的问题是 Wireshark 目前错误地剖析了它在 Wintun 接口上捕获的内容 - 它看到“以太网 II”数据包在0xXXXX内部使用未知协议，而实际上它是 IPv4 数据包而不是“以太网 II”，并且0xXXXX只是 IP 的一部分地址。虽然数据没有加密，所以您可以通过数据内容识别数据包：例如，它是屏幕截图上的 ICMP 回显。