Захват трафика Wireshark localhost

Я написал простое серверное приложение на C, которое работает на localhost. Как захватить трафик localhost с помощью Wireshark?

8 ответов


Если вы используете Windows невозможно - читайте ниже. Вместо этого вы можете использовать локальный адрес своей машины, и тогда вы сможете захватить материал. См.CaptureSetup / Loopback.

резюме: вы можете захватить на интерфейс loopback на Linux, на различные BSDs включая Mac OS X, и на Digital / Tru64 UNIX, и вы можете быть в состоянии сделать это на Irix и AIX, но ты определенно не может сделать это на Solaris, HP-UX или Windows.


EDIT: спустя 3 года этот ответ уже не является полностью правильным. Связанная страница содержит инструкции по захвату на интерфейсе loopback.


на платформе Windows также можно захватить трафик localhost с помощью Wireshark. Что вам нужно сделать, это установить "Microsoft loopback adapter", а затем понюхать его.

http://support.microsoft.com/kb/839013

по какой-то причине ни один из предыдущих ответов не работал в моем случае, поэтому я опубликую что-то, что сделало трюк. Есть маленький драгоценный камень под названием RawCap который может захватывать трафик localhost в Windows. Преимущества:

  • всего 17 КБ!
  • не требуется внешних библиотек
  • чрезвычайно прост в использовании (просто запустите его, выберите интерфейс loopback и файл назначения, и все)

после того, как трафик был захвачен, вы можете открыть его и изучить в Wireshark нормально. Единственным недостатком, который я нашел, является то, что вы не можете установить фильтры, т. е. вы должны захватить весь трафик localhost, который может быть тяжелым. Существует также один ошибка относительно Windows XP SP 3.

несколько советов:


Я на самом деле не пробовал это, но этот ответ из Интернета звучит многообещающе:

Wireshark не может фактически захватывать локальные пакеты в windows XP из-за характер стека TCP windows. Когда пакеты отправляются и полученные на одной машине, они, похоже, не пересекают сеть граница, которую отслеживает wireshark.

однако есть способ обойти это, вы можете маршрутизировать локальный трафик выход через сетевой шлюз (маршрутизатор) путем настройки (временный) статический маршрут на вашем компьютере с windows XP.

скажите, что ваш IP-адрес XP-192.168.0.2 и ваш шлюз (маршрутизатор) адрес 192.168.0.1 вы можете запустить следующую команду из командная строка windows XP для принудительного вывода и возврата всего локального трафика граница сети, поэтому wireshark может отслеживать данные (Примечание что wireshark сообщит пакеты дважды в этом сценарии, один раз, когда они покидают ваш компьютер и один раз, когда они возвращаются).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087, доступ только что.


пожалуйста, попробуйте Npcap:https://github.com/nmap/npcap, он основан на WinPcap и поддерживает захват трафика обратной связи в Windows. Npcap является подпроектом Nmap (http://nmap.org/), поэтому, пожалуйста, сообщите о любых проблемах в списке разработки Nmap (http://seclists.org/nmap-dev/).


на окна,

вы не можете захватить пакеты для Местные Замыкания на Wireshark однако вы можете использовать очень крошечную, но полезную программу под названием RawCap;

RawCap

Run RawCap on командная строка и выберите Loopback Псевдо-Интерфейс (127.0.0.1) затем просто напишите имя файла захвата пакета (.на PCAP)

простая демонстрация, как показано ниже;

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C

вы можете просматривать трафик обратной связи в Wireshark, прочитав его RawCap's выход мгновенно. cmaynard описывает этот гениальный подход на форумах Wireshark. Процитирую здесь:--9-->

[...] если вы хотите просмотреть живой трафик в Wireshark, вы все равно можете сделать это, запустив RawCap из одной командной строки и запустив Wireshark из другой. Предполагая, что у вас есть хвост cygwin, это может быть достигнуто с помощью что-то вроде этого:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

для этого требуется хвост cygwin, и я не мог найти способ сделать это с помощью инструментов Windows "из коробки". Его подход работает очень хорошо для меня и позволяет мне использовать все возможности фильтра Wiresharks на захваченном loopback-трафике в прямом эфире.


вы не можете захватить петлю на Solaris, HP-UX или Windows, однако вы можете очень легко обойти это ограничение, используя такой инструмент, как RawCap.

RawCap может захватывать необработанные пакеты на любом ip, включая 127.0.0.1 (localhost / loopback). Rawcap также может генерировать . Вы можете открыть и проанализировать С помощью Wireshark.

посмотреть здесь для получения полной информации о том, как контролировать localhost с помощью RawCap и Wireshark.