Wireshark 本地主机流量捕获

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题吗？通过编辑这篇文章来更新问题，使其仅关注一个问题。

5 年前已关闭。

Answer 1

在Windows平台上，还可以使用Wireshark捕获本地主机流量。
您需要做的是安装 Microsoft 环回适配器，然后嗅探它。

Answer 2

我实际上还没有尝试过这个，但是来自网络的这个答案听起来很有希望：

Wireshark实际上无法在Windows XP上捕获本地数据包，因为
Windows TCP 堆栈的性质。当数据包被发送并且
在同一台机器上收到的，它们似乎没有跨越网络
wireshark 监控的边界。

但是有一种方法可以解决这个问题，您可以路由本地流量
通过设置（临时）通过您的网关（路由器）
Windows XP 计算机上的静态路由。

假设您的 XP IP 地址是 192.168.0.2，您的网关（路由器）
地址是 192.168.0.1 你可以运行以下命令
Windows XP 命令行强制所有本地流量进出
网络边界，因此wireshark可以跟踪数据（注意
在这种情况下，wireshark 将报告数据包两次，一次是在
他们离开您的电脑并在返回时离开一次）。

路由添加 192.168.0.2 掩码 255.255.255.255 192.168.0.1 指标 1

http://forums.whirlpool.net.au/archive/1037087，刚刚访问。

Answer 3

您可以通过让 Wireshark 立即读取 RawCap 的输出来查看实时环回流量。 cmaynard 描述了这个巧妙的Wireshark 论坛上的方法。我在这里引用一下：

[...] 如果您想在 Wireshark 中查看实时流量，您仍然可以通过从一个命令行运行 RawCap 并从另一个命令行运行 Wireshark 来实现。假设你有 cygwin 的 tail 可用，这可以使用类似这样的东西来完成：

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

它需要 cygwin 的 tail，而我找不到使用 Windows 开箱即用工具来执行此操作的方法。他的方法对我来说非常有效，并允许我在捕获的实时环回流量上使用 Wiresharks 的所有过滤功能。

Answer 4

请尝试Npcap：https://github.com/nmap/npcap，它基于WinPcap并支持Windows 上的环回流量捕获。 Npcap 是 Nmap (http://nmap.org/) 的子项目，因此请报告 Nmap 开发列表中的任何问题（http://seclists.org/nmap-dev/）。

Answer 5

对于Windows，

您无法在Wireshark中捕获本地环回的数据包，但是，您可以使用一个非常小但有用的程序，称为RawCap< /强>;

RawCap

在命令提示符上运行RawCap并选择环回伪接口（127.0.0.1），然后只需写入数据包捕获文件的名称（.pcap）

一个简单的演示如下；

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C

Answer 6

您无法在 Solaris、HP-UX 或 Windows 上捕获环回，但是您可以使用 RawCap。

RawCap 可以捕获任何 IP 上的原始数据包，包括 127.0.0.1 (localhost/loopback)。 Rawcap 还可以生成 pcap 文件。您可以使用Wireshark打开并分析pcap文件。

请参阅此处了解有关如何使用 RawCap 和 Wireshark 监控本地主机的完整详细信息。

Answer 7

是的，您可以使用 Npcap 环回适配器监控本地主机流量

Answer 8

如果您使用的是 Windows 这是不可能的 - 请阅读下文。您可以使用计算机的本地地址，然后您就可以捕获内容。请参阅CaptureSetup/Loopback。

摘要：您可以在
Linux 上的环回接口
各种 BSD，包括 Mac OS X，以及
在 Digital/Tru64 UNIX 上，您可能
能够在 Irix 和 AIX 上执行此操作，但是
你绝对不能这样做
Solaris、HP-UX...。

尽管该页面提到在 Windows 上单独使用 Wireshark 是不可能的，但您实际上可以使用不同的答案<中提到的解决方法来记录它/a>.

---

编辑：大约三年后，这个答案不再完全正确。链接页面包含在环回接口上捕获的说明。

Answer 9

由于某种原因，以前的答案都不适用于我的情况，因此我将发布一些可以解决问题的内容。有一个名为 RawCap 的小工具，可以捕获 Windows 上的本地主机流量。优点：

• 只有 17 kB！
• 不需要外部库，
• 使用起来非常简单（只需启动它，选择环回接口和目标文件即可）

捕获流量后，您可以打开它并在 Wireshark 中正常检查。我发现的唯一缺点是您无法设置过滤器，即您必须捕获所有可能很重的本地主机流量。还有一个关于 Windows XP SP 3 的 bug。

更多建议：

• < a href="http://wiki.wireshark.org/CaptureSetup/Loopback" rel="noreferrer">Wireshark wiki