1. 首页
  2. 问答
  3. Wireshark本地主机流量捕获

Wireshark本地主机流量捕获

2011-05-01 370 views

回答

52

如果您使用Windows 这不可能 - 请在下面阅读。你可以使用你的机器的本地地址,然后你就可以捕捉东西。见CaptureSetup/Loopback

总结:你可以捕捉在Linux上 loopback接口上,对 各种BSD系统包括Mac OS X,以及 数字/ Tru64 UNIX的,你可能 能够做到这一点在IRIX和AIX,但是 您绝对是不能这样做 Solaris,HP-UX或Windows

编辑:一些3年后,这个答案已经不再完全正确的。链接页面包含指令,用于在回送接口上捕获。

来源

2011-05-01 07:45:37 cnicutar

+0

非常感谢你 – 2011-05-01 07:55:21

+0

feuGene的答案确实有效。 – GWLlosa 2012-08-23 12:28:21

+0

@GWLlosa Yup。 *您可以使用本机的本地地址*。 – cnicutar 2012-08-23 12:30:20

45

在Windows平台上,也可以使用Wireshark捕获本地主机流量。 您需要做的是安装“Microsoft回送适配器”,然后在其上嗅探它。

http://support.microsoft.com/kb/839013

来源

2012-01-14 02:25:28 ciphor

+0

ciphor,你有没有成功做到这一点?这与cnicutar的回答直接相矛盾。 – feuGene 2012-03-08 12:50:28

+0

是的,我已经成功完成了。 – ciphor 2012-03-08 13:19:03

+0

又如何?没有得到它的工作。 – schlamar 2012-10-25 06:21:16

25

我还没有真正尝试过这一点,但是从网络这个答案听起来前途:

的Wireshark实际上不能在Windows XP由于 捕捉本地的数据包的TCP窗口的性质叠加。当发送数据包并且在同一台机器上接收到数据包时,它们似乎不通过Wireshark监视的网络边界 。

但是有解决的办法,你可以路由当地交通 出通过由您的Windows XP机器上设置一个(临时) 静态路由网络网关(路由器)。

说你的XP的IP地址192.168.0.2是和你的网关(路由器) 地址为192.168.0.1,你可以运行从 Windows XP的命令行下面的命令来强制所有本地流量并重新跨越 网络边界,因此wireshark可以跟踪数据(注意 wireshark会在这种情况下报告两次数据包,一次当他们离开您的电脑时 ,当他们返回时一次)。

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087,刚才访问。

来源

2012-03-08 12:55:07 feuGene

+6

我试过了,发现它工作得很好。 – GWLlosa 2012-08-23 12:27:58

+0

无法赢得胜利7 32bit – 2013-10-31 06:07:36

41

出于某种原因,以前的答案没有在我的情况下工作,所以我会发布一些做到这一点。有一个叫做RawCap的小宝石可以捕获Windows上的localhost流量。优点:

  • 只有17 kB!
  • 没有外部库需要
  • 极其简单的使用(只需启动它,选择loopback接口和目标文件,这一切)

的流量被捕获后,您可以打开它,并检查Wireshark通常。我发现的唯一缺点是无法设置过滤器,即您必须捕获所有可能很重的本地主机流量。也有关于Windows XP中SP 3.

很少有更多的建议一个bug

来源

2013-01-25 15:59:34

+1

无需设置,非常简单。 – vibhu 2017-03-25 12:17:22

+0

您可以让Wireshark立即读取RawCap的输出,让您能够实时捕捉。详情请参阅我的回答。 – 2017-05-07 19:01:05

2

您不能捕获回送在Solaris,HP-UX或Windows,但是你可以很通过使用类似RawCap的工具轻松解决此限制。

RawCap可以捕获任何ip上的原始数据包,包括127.0.0.1(localhost/loopback)。 Rawcap也可以生成一个pcap文件。您可以使用Wireshark打开并分析pcap文件。

有关如何使用RawCap和Wireshark监视本地主机的完整详细信息,请参阅here

来源

2014-03-14 20:50:40 cmd

8

请尝试Npcap:https://github.com/nmap/npcap,它基于WinPcap并支持在Windows上进行环回流量捕获。 Npcap是Nmap的子项目(http://nmap.org/),所以请报告Nmap的开发列表(http://seclists.org/nmap-dev/)上的任何问题。

来源

2015-08-25 13:08:58 hsluoyz

+0

wireshark的文档中的选项#1从Windows Vista开始: Npcap是使用NDIS 6 Light-Weight Filter(LWF)的WinPcap更新,由Yang Luo在Google Summer of Code 2013和2015期间为Nmap项目完成。Npcap已经与传统的WinPcap相比,增加了许多功能。' – KCD 2016-08-29 09:23:33

+0

您可以从这里下载安装程序:https://nmap.org/npcap/ – 2018-02-07 11:18:19

3

对于的Windows

不能在Wireshark的捕获数据包的本地回环但是,你可以使用一个名为RawCap很微小的,但有用的程序;

RawCap

运行RawCap命令提示符并选择环回伪接口(127.0.0.1),那么只写抓包文件的名称(.pcap

一个简单的演示如下;

C:\Users\Levent\Desktop\rawcap>rawcap 
Interfaces: 
0.  169.254.125.51 Local Area Connection* 12  Wireless80211 
1.  192.168.2.254 Wi-Fi Wireless80211 
2.  169.254.214.165 Ethernet  Ethernet 
3.  192.168.56.1 VirtualBox Host-Only Network Ethernet 
4.  127.0.0.1  Loopback Pseudo-Interface 1  Loopback 
Select interface to sniff [default '0']: 4 
Output path or filename [default 'dumpfile.pcap']: test.pcap 
Sniffing IP : 127.0.0.1 
File  : test.pcap 
Packets  : 48^C

来源

2015-12-21 23:56:31

3

你可以拥有它读RawCap的输出即时查看环回流量住在Wireshark的。 cmaynard描述了这个巧妙的approach at the Wireshark forums。我会在这里引用它:

[...]如果你想查看Wireshark的实时流量,你仍然可以通过从一个命令行运行RawCap并从另一个命令行运行Wireshark来完成。假设你有Cygwin的尾巴可用的,这可能会使用的东西,像这样来完成:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

它需要Cygwin的尾巴,我能不能找到一种方法与Windows做到这一点开箱即用的工具。他的方法对我来说工作得很好,并允许我在捕获的环回流量上使用所有Wireshark过滤功能。

来源

2017-05-07 18:54:25

+1

对我来说,重要的部分是延迟启动第二个cmd命令,否则Wireshark无法阅读.pcap文件。据推测,因为它需要一些记录的流量开始。 – 2017-05-07 18:55:58

相关问题

 相关问题