Wiresharklocalhost 流量捕获

我用 C 语言写了一个简单的服务器应用程序,它运行在本地主机上?

212657 次浏览
小开
最佳答案

如果你使用的是 Windows这不可能-请阅读以下内容。您可以使用机器的本地地址,然后就可以捕获内容了。见 回路设置(CaptureSetup/Loopback) = “ noReferrer”> CaptureSetup/Loopback

摘要: 您可以在 环回接口 各种 BSD,包括 Mac OS X,以及 在 Digital/Tru64 UNIX 上,您可能 可以在艾里克斯和 AIX 上做但是 你绝对 不能这样做 Solaris,HP-UX... .

尽管该页面提到,在 Windows 上单独使用 Wireshark 是不可能的,但是您实际上可以使用 不同的答案中提到的变通方法来记录它。

编辑: 大约3年后,这个答案不再完全正确。链接页面包含 捕获环回接口的说明

小开

在 Windows 平台上,还可以使用 Wireshark 捕获本地主机流量。 您需要做的是安装 微软环回适配器,然后嗅一嗅它。

小开

我还没有真正尝试过这个方法,但是这个来自网络的答案听起来很有希望:

由于以下原因,Wireshark 实际上无法在 WindowsXP 上捕获本地数据包 窗口 TCP 堆栈的性质。当数据包被发送和 在同一台机器上接收,他们似乎没有跨越网络 电线鲨监视的边界。

但是有一个方法可以绕过这个,你可以路由当地的交通 通过你的网关(路由器)设置一个(临时) Windows XP 机器上的静态路由。

假设您的 XP IP 地址是192.168.0.2和您的网关(路由器) 地址是192.168.0.1,您可以从中运行以下命令 WindowsXP 命令行强制所有本地通信进出 网络边界,这样 wireshark 就可以跟踪数据(请注意 在这种情况下,wireshark 会报告两次数据包,一次是在 他们离开你的电脑和一次,当他们回来)。

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

Http://forums.whirlpool.net.au/archive/1037087,刚刚进入。

小开

由于某种原因,以前的答案都不适用于我的情况,所以我将发布一些有效的东西。有一个小宝石称为 劳凯普,可以捕捉本地主机上的 Windows 流量。优点:

  • 只有17kB!
  • 不需要外部库
  • 非常容易使用(只要启动它,选择环回接口和目标文件,就可以了)

当流量被截获后,你可以正常地在 Wireshark 打开它进行检查。我发现的唯一缺点是不能设置过滤器,也就是说,必须捕获所有可能非常繁重的本地主机流量。还有一个关于 WindowsXPSP3的 臭虫

还有几条建议:

小开

您不能在 Solaris、 HP-UX 或 Windows 上捕获环回,但是您可以通过使用像 RawCap 公司的网站: http://www.netresec.com/? page = RawCap”rel = “ noReferrer”> RawCap 这样的工具非常容易地解决这个限制。

RawCap 可以在任何 ip 上捕获原始数据包,包括 127.0.0.1(localhost/loop back)。Rawcap 还可以生成一个 pcap文件。您可以使用 金线鲨打开和分析 pcap文件。

有关如何使用 RawCap 和 Wireshark监视本地主机的详细信息,请参阅 给你

小开

请尝试 Npcap: https://github.com/nmap/npcap,它基于 WinPcap,支持 Windows 环回流量捕获。Npcap 是 Nmap (http://nmap.org/)的子项目,因此请报告 Nmap 开发列表(http://seclists.org/nmap-dev/)中的任何问题。

小开

对于 窗户,

金线鲨中你不能捕获 本地回路的数据包,但是你可以使用一个很小但是很有用的程序 劳凯普;

劳凯普

命令提示符上运行 劳凯普并选择 环回伪接口(127.0.0.1) ,然后只写包捕获文件的名称(。 pcap)

一个简单的演示如下;

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
0.     169.254.125.51  Local Area Connection* 12       Wireless80211
1.     192.168.2.254   Wi-Fi   Wireless80211
2.     169.254.214.165 Ethernet        Ethernet
3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C
小开

你可以通过让它立即读取 劳凯普的输出来查看 Wireshark 的环回流量实况。Cmaynard描述了这个巧妙的 在威尔鲨论坛上接触。我在这里引用一下:

[ ... ]如果你想查看 Wireshark 的实时流量,你仍然可以通过从一个命令行运行 RawCap 和从另一个命令行运行 Wireshark 来实现。假设你有 Cygwin 的尾巴,这可以通过这样的方法来实现:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

它需要 Cygwin 的尾巴,而我无法找到一个方法来做到这一点与 Windows 的开箱即用的工具。他的方法非常适合我,并允许我使用所有的线鲨过滤功能捕获环回流量实时。

小开

是的,您可以使用 Npcap 循环适配器监视本地主机流量


提交答案