1. 首頁
  2. 問答
  3. Wireshark本地主機流量捕獲

Wireshark本地主機流量捕獲

2011-05-01 176 views

回答

52

如果您使用Windows 這不可能 - 請在下面閱讀。你可以使用你的機器的本地地址,然後你就可以捕捉東西。見CaptureSetup/Loopback

總結:你可以捕捉在Linux上 loopback接口上,對 各種BSD系統包括Mac OS X,以及 數字/ Tru64 UNIX的,你可能 能夠做到這一點在IRIX和AIX,但是 您絕對是不能這樣做 Solaris,HP-UX或Windows

編輯:一些3年後,這個答案已經不再完全正確的。鏈接頁面包含指令,用於在回送接口上捕獲。

來源

2011-05-01 07:45:37 cnicutar

+0

非常感謝你 – 2011-05-01 07:55:21

+0

feuGene的答案確實有效。 – GWLlosa 2012-08-23 12:28:21

+0

@GWLlosa Yup。 *您可以使用本機的本地地址*。 – cnicutar 2012-08-23 12:30:20

45

在Windows平臺上,也可以使用Wireshark捕獲本地主機流量。 您需要做的是安裝「Microsoft回送適配器」,然後在其上嗅探它。

http://support.microsoft.com/kb/839013

來源

2012-01-14 02:25:28 ciphor

+0

ciphor,你有沒有成功做到這一點?這與cnicutar的回答直接相矛盾。 – feuGene 2012-03-08 12:50:28

+0

是的,我已經成功完成了。 – ciphor 2012-03-08 13:19:03

+0

又如何?沒有得到它的工作。 – schlamar 2012-10-25 06:21:16

25

我還沒有真正嘗試過這一點,但是從網絡這個答案聽起來前途:

的Wireshark實際上不能在Windows XP由於 捕捉本地的數據包的TCP窗口的性質疊加。當發送數據包並且在同一臺機器上接收到數據包時,它們似乎不通過Wireshark監視的網絡邊界 。

但是有解決的辦法,你可以路由當地交通 出通過由您的Windows XP機器上設置一個(臨時) 靜態路由網絡網關(路由器)。

說你的XP的IP地址192.168.0.2是和你的網關(路由器) 地址爲192.168.0.1,你可以運行從 Windows XP的命令行下面的命令來強制所有本地流量並重新跨越 網絡邊界,因此wireshark可以跟蹤數據(注意 wireshark會在這種情況下報告兩次數據包,一次當他們離開您的電腦時 ,當他們返回時一次)。

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087,剛纔訪問。

來源

2012-03-08 12:55:07 feuGene

+6

我試過了,發現它工作得很好。 – GWLlosa 2012-08-23 12:27:58

+0

無法贏得勝利7 32bit – 2013-10-31 06:07:36

41

出於某種原因,以前的答案沒有在我的情況下工作,所以我會發布一些做到這一點。有一個叫做RawCap的小寶石可以捕獲Windows上的localhost流量。優點:

  • 只有17 kB!
  • 沒有外部庫需要
  • 極其簡單的使用(只需啓動它,選擇loopback接口和目標文件,這一切)

的流量被捕獲後,您可以打開它,並檢查Wireshark通常。我發現的唯一缺點是無法設置過濾器,即您必須捕獲所有可能很重的本地主機流量。也有關於Windows XP中SP 3.

很少有更多的建議一個bug

來源

2013-01-25 15:59:34

+1

無需設置,非常簡單。 – vibhu 2017-03-25 12:17:22

+0

您可以讓Wireshark立即讀取RawCap的輸出,讓您能夠實時捕捉。詳情請參閱我的回答。 – 2017-05-07 19:01:05

2

您不能捕獲回送在Solaris,HP-UX或Windows,但是你可以很通過使用類似RawCap的工具輕鬆解決此限制。

RawCap可以捕獲任何ip上的原始數據包,包括127.0.0.1(localhost/loopback)。 Rawcap也可以生成一個pcap文件。您可以使用Wireshark打開並分析pcap文件。

有關如何使用RawCap和Wireshark監視本地主機的完整詳細信息,請參閱here

來源

2014-03-14 20:50:40 cmd

8

請嘗試Npcap:https://github.com/nmap/npcap,它基於WinPcap並支持在Windows上進行環迴流量捕獲。 Npcap是Nmap的子項目(http://nmap.org/),所以請報告Nmap的開發列表(http://seclists.org/nmap-dev/)上的任何問題。

來源

2015-08-25 13:08:58 hsluoyz

+0

wireshark的文檔中的選項#1從Windows Vista開始: Npcap是使用NDIS 6 Light-Weight Filter(LWF)的WinPcap更新,由Yang Luo在Google Summer of Code 2013和2015期間爲Nmap項目完成。Npcap已經與傳統的WinPcap相比,增加了許多功能。' – KCD 2016-08-29 09:23:33

+0

您可以從這裏下載安裝程序:https://nmap.org/npcap/ – 2018-02-07 11:18:19

3

對於的Windows

不能在Wireshark的捕獲數據包的本地迴環但是,你可以使用一個名爲RawCap很微小的,但有用的程序;

RawCap

運行RawCap命令提示符並選擇環回僞接口(127.0.0.1),那麼只寫抓包文件的名稱(.pcap

一個簡單的演示如下;

C:\Users\Levent\Desktop\rawcap>rawcap 
Interfaces: 
0.  169.254.125.51 Local Area Connection* 12  Wireless80211 
1.  192.168.2.254 Wi-Fi Wireless80211 
2.  169.254.214.165 Ethernet  Ethernet 
3.  192.168.56.1 VirtualBox Host-Only Network Ethernet 
4.  127.0.0.1  Loopback Pseudo-Interface 1  Loopback 
Select interface to sniff [default '0']: 4 
Output path or filename [default 'dumpfile.pcap']: test.pcap 
Sniffing IP : 127.0.0.1 
File  : test.pcap 
Packets  : 48^C

來源

2015-12-21 23:56:31

3

你可以擁有它讀RawCap的輸出即時查看環迴流量住在Wireshark的。 cmaynard描述了這個巧妙的approach at the Wireshark forums。我會在這裏引用它:

[...]如果你想查看Wireshark的實時流量,你仍然可以通過從一個命令行運行RawCap並從另一個命令行運行Wireshark來完成。假設你有Cygwin的尾巴可用的,這可能會使用的東西,像這樣來完成:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

它需要Cygwin的尾巴,我能不能找到一種方法與Windows做到這一點開箱即用的工具。他的方法對我來說工作得很好,並允許我在捕獲的環迴流量上使用所有Wireshark過濾功能。

來源

2017-05-07 18:54:25

+1

對我來說,重要的部分是延遲啓動第二個cmd命令,否則Wireshark無法閱讀.pcap文件。據推測,因爲它需要一些記錄的流量開始。 – 2017-05-07 18:55:58

相關問題

 相關問題