Есть ли способ получить wireshark для захвата пакетов, отправленных с / на локальный хост в Windows?

17

Есть ли способ получить wireshark для захвата пакетов, отправленных с / на localhost?

Когда я наблюдаю за трафиком, идущим с моего компьютера на другой или с другого компьютера на мой компьютер, он работает. Но с localhost на localhost ничего не регистрируется.

networking localhost network-monitoring wireshark Брайан Р. Бонди
источник
какая платформа? Окна? Mac? Linux?
Джефф Этвуд
1
Особенно на Windows
Брайан Р. Бонди
Пожалуйста, попробуйте Npcap: github.com/nmap/npcap , он основан на WinPcap и поддерживает захват трафика по шлейфу в Windows. Npcap является подпроектом Nmap ( nmap.org ), поэтому, пожалуйста, сообщайте о любых проблемах в списке разработки Nmap ( seclists.org/nmap-dev ).
Ян Ло

Ответы:

23

В WIKI есть статья именно об этой проблеме на домашней странице Wireshark.

Они также упоминают особенности интерфейса обратной связи, касающиеся Windows - вы можете просто столкнуться с этим.

Вы не можете перехватить локальный адрес обратной связи 127.0.0.1 с помощью драйвера перехвата пакетов Windows, такого как WinPcap.

serverhorror
источник
Хотите уточнить, почему за это проголосовали?
serverhorror
Я не проголосовал, но, вероятно, потому, что на этом сайте и stackoverflow.com поощряются даже базовые вопросы, на которые легко найти решение. Ответ хороший, но тон - нет. Рассмотрите возможность редактирования, и я думаю, что за него проголосуют.
Брайан Р. Бонди
Извините, я не являюсь носителем английского языка (думаю, я не единственный). Я постараюсь подумать об этом в будущем.
serverhorror
+1 за знание и добавление ссылки.
l0c0b0x
2
Возможно, стоит добавить быструю цитату «Вы не можете перехватить по локальному адресу обратной петли 127.0.0.1 с помощью драйвера перехвата пакетов Windows, такого как WinPcap». со связанной страницы, чтобы спасти нас неизвестность ...
andersoj
5

В Wireshark вам нужно выбрать интерфейс lo0 ... не En0 или En1.

Перейти к:

  • Показать параметры захвата
  • В разделе «Интерфейс» выберите: lo0
  • Захват и вы увидите кучу 127.0.0.1 связи
l0c0b0x
источник
в Windows, конечно, я не верю, что вы можете сделать это без какого-либо добавления петлевого интерфейса вручную.
Джангофан
да, в документе сказано:you can capture on the loopback interface on Linux, on various BSDs including Mac OS X, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Аллан Руин
На OSX Йосемити это сработало!
James111
4

вы можете использовать приложение RawCap для захвата петлевых пакетов и сохранения их в файле pcap ... а затем вы можете открыть его с помощью Wireshark

Амр Табет
источник
1

Вы хотите запустить wireshark на интерфейсе «lo» или на «любом».

С tshark или tcpdump вы можете использовать опцию -i:

# tcpdump -i любой порт http

(Это в основном применимо к Linux)

Дэвид Пашли
источник
1

Пожалуйста, попробуйте Npcap: https://github.com/nmap/npcap , он основан на WinPcap и поддерживает захват петлевого трафика в Windows. Npcap является подпроектом Nmap ( http://nmap.org/ ), поэтому, пожалуйста, сообщайте о любых проблемах в списке разработки Nmap ( http://seclists.org/nmap-dev/ ).

Ян Луо
источник