Wireshark localhost流量捕获

我在Win 7上运行了同样的工作.设备管理器 - >添加旧硬件 - >我会选择 - >网络 - >微软 - >环回适配器.安装完成后,使用您选择的IP地址进行配置.然后:**重新安装wireshark**以便它将在新接口上重新安装捕获驱动程序 - 这必须在您向Windows,loopback或real添加新接口时执行. (17认同)
在Win 7上遵循了@antiduh说明,虽然我确实看到了一些netbios查询,但我没有在localhost上看到HTTP流量. (4认同)

Answer 4

feu*_*ene 26

我还没有尝试过这个,但网上的答案听起来很有希望:

由于Windows TCP堆栈的性质,Wireshark实际上无法在Windows XP上捕获本地数据包.当数据包在同一台机器上发送和接收时,它们似乎不会越过wireshark监视的网络边界.

但是有一种解决方法,您可以通过在Windows XP计算机上设置(临时)静态路由,通过网络网关(路由器)路由本地流量.

假设您的XP IP地址是192.168.0.2并且您的网关(路由器)地址是192.168.0.1您可以从Windows XP命令行运行以下命令以强制所有本地流量通过网络边界输出和返回,因此wireshark可以跟踪数据(请注意,wireshark将在此方案中报告两次数据包,一次在他们离开您的电脑时报告,一次在他们返回时报告).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087,刚刚访问过.

我试过这个,发现它运作得很好. (6认同)

Answer 5

Yan*_*Luo 10

请尝试Npcap:https://github.com/nmap/npcap,它基于WinPcap并支持Windows上的环回流量捕获.Npcap是Nmap的子项目(http://nmap.org/),因此请报告Nmap开发列表中的任何问题(http://seclists.org/nmap-dev/).

很高兴知道 NPcap 在商业环境中使用有一些许可限制。 (2认同)

Answer 6

Lev*_*glu 8

对于Windows，

您无法在Wireshark 中为本地环回捕获数据包，但是您可以使用一个非常小巧但有用的程序RawCap；

原始帽

在命令提示符下运行RawCap并选择Loopback Pseudo-Interface (127.0.0.1) 然后只写数据包捕获文件的名称 ( .pcap )

一个简单的演示如下；

C:\Users\Levent\Desktop\rawcap>rawcap Interfaces: 0. 169.254.125.51 Local Area Connection* 12 Wireless80211 1. 192.168.2.254 Wi-Fi Wireless80211 2. 169.254.214.165 Ethernet Ethernet 3. 192.168.56.1 VirtualBox Host-Only Network Ethernet 4. 127.0.0.1 Loopback Pseudo-Interface 1 Loopback Select interface to sniff [default '0']: 4 Output path or filename [default 'dumpfile.pcap']: test.pcap Sniffing IP : 127.0.0.1 File : test.pcap Packets : 48^C
Run Code Online (Sandbox Code Playgroud)

Answer 7

Ric*_*fer 8

您可以通过立即读取RawCap的输出来查看Wireshark中的环回流量.cmaynard 在Wireshark论坛上描述了这种巧妙的方法.我会在这里引用它:

[...]如果你想在Wireshark中查看实时流量,你仍然可以通过从一个命令行运行RawCap并从另一个命令行运行Wireshark来实现.假设你有cygwin的尾巴可用,这可以通过以下方式实现:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

它需要cygwin的尾巴,而我用Windows开箱即用的工具找不到办法.他的方法对我来说非常好,并允许我在捕获的环回流量实时使用所有Wiresharks过滤功能.

**更新**：Netresec 今天（2020 年 1 月 30 日）刚刚发布了新版本的 RawCap，现在支持写入管道或“stdout”。因此，从今天开始，上面提供的解决方案可以简化如下，不需要“tail”：“RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k` 您可以在 RawCap Redux 公告页面上阅读有关 RawCap 新功能的更多信息：https://www.netresec.com/?page=Blog&month=2020-01&post=RawCap-Redux (4认同)
对我来说,关键部分是启动第二个cmd命令有一些延迟,否则Wireshark无法读取.pcap文件.据推测,因为开始时需要记录一些流量. (3认同)

Answer 8

cmd*_*cmd 6

您无法在 Solaris、HP-UX 或 Windows 上捕获环回，但是您可以使用RawCap 之类的工具轻松解决此限制。

RawCap 可以捕获任何 ip 上的原始数据包，包括127.0.0.1（本地主机/环回）。Rawcap 也可以生成pcap文件。您可以pcap使用Wireshark打开和分析该文件。

有关如何使用 RawCap 和 Wireshark 监视 localhost 的完整详细信息，请参见此处。

归档时间：	14 年，4 月前
查看次数：	143021 次
最近记录：	6 年，1 月前