Wireshark localhost capture du trafic

j'ai écrit une application Serveur simple en C qui tourne sur localhost. Comment capturer le trafic localhost en utilisant Wireshark?

99
demandé sur Levent Divilioglu 2011-05-01 11:40:07

8 réponses

si vous utilisez Windows ce n'est pas possible - lire ci-dessous. Vous pouvez utiliser l'adresse locale de votre machine à la place et ensuite vous serez en mesure de capturer des choses. Voir Captsetup/Loopback .

Résumé: vous pouvez capturer sur le interface de loopback sur Linux, on Divers BSD, y compris Mac OS X, et sur Digital / Tru64 UNIX, et vous pourriez être capable de le faire sur Irix et AIX, mais vous ne pouvez certainement pas le faire sur Solaris, HP-UX, ou Windows .


EDIT: 3 ans plus tard, cette réponse n'est plus tout à fait correcte. La page liée contient des instructions pour la capture sur l'interface de boucle .

60
répondu cnicutar 2015-01-25 23:01:06

sur la plate-forme Windows, il est également possible de capturer le trafic local avec Wireshark. Ce que vous devez faire est d'installer la "carte de bouclage Microsoft", puis renifler.

http://support.microsoft.com/kb/839013
46
répondu ciphor 2013-10-25 19:16:58

pour une raison quelconque, aucune des réponses précédentes n'a fonctionné dans mon cas, donc je vais poster quelque chose qui a fait l'affaire. Il ya un petit bijou appelé RawCap qui peut capturer le trafic localhost sur Windows. Avantages:

  • seulement 17 ko!
  • pas besoin de bibliothèques externes
  • extrêmement simple à utiliser (il suffit de le démarrer, choisir l'interface de loopback et le fichier de destination et c'est tout)

après que le trafic a été capturé, vous pouvez l'ouvrir et examiner en Wireshark normalement. Le seul inconvénient que j'ai trouvé est que vous ne pouvez pas définir des filtres, i.e. vous devez capturer tout le trafic localhost qui peut être lourd. Il y a aussi un bug concernant Windows XP SP 3.

quelques conseils de plus:

44
répondu Miljen Mikic 2017-05-23 12:26:15

Je n'ai pas vraiment essayé, mais cette réponse du web semble prometteuse:

Wireshark ne peut pas réellement capturer les paquets locaux sur windows XP en raison de la nature de la pile TCP de windows. Quand les paquets sont envoyés et reçu sur la même machine ils ne semblent pas traverser le réseau la limite des moniteurs wireshark.

cependant, il ya un moyen de contourner ce, vous pouvez acheminer le trafic local via votre réseau passerelle (routeur) par la mise en place d'un (temporaire) route statique sur votre machine windows XP.

dites que votre adresse IP XP est 192.168.0.2 et votre passerelle (routeur) l'adresse est 192.168.0.1 vous pouvez exécuter la commande suivante depuis ligne de commande windows XP pour forcer tout le trafic local à l'extérieur et en arrière à travers la limite du réseau, donc wireshark pourrait alors suivre les données (note que wireshark signalera les paquets deux fois dans ce scénario, une fois quand ils quittent votre pc et une fois quand ils reviennent).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087 , consulté tout à l'heure.

26
répondu feuGene 2012-03-08 12:55:07

please try Npcap: https://github.com/nmap/npcap , il est basé sur WinPcap et prend en charge la capture de trafic loopback sur Windows. Npcap est un sous-projet de Nmap ( http://nmap.org / ), veuillez signaler tout problème sur la liste de développement de Nmap ( http://seclists.org/nmap-dev / ).

10
répondu hsluoyz 2015-08-25 13:08:58

Pour Windows ,

vous ne pouvez pas capturer de paquets pour Loopback Local dans Wireshark cependant, vous pouvez utiliser un programme très petit mais utile appelé RawCap ;

RawCap

Exécuter RawCap sur invite de commande et sélectionnez le "151920920 de" Bouclage Pseudo-Interface (127.0.0.1) alors il suffit d'écrire le nom du fichier de capture de paquets ( ).pcap )

Une simple démo est comme ci-dessous;

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C
4
répondu Levent Divilioglu 2015-12-21 23:56:31

vous pouvez voir le trafic loopback en direct dans Wireshark en le faisant lire RawCap sortie de l 'instantanément. cmaynard décrit cette ingénieuse approche aux forums Wireshark . Je vais le citer ici:

[...] si vous voulez voir le trafic en direct dans Wireshark, vous pouvez toujours le faire en exécutant RawCap à partir d'une ligne de commande et Wireshark à partir d'une autre. En supposant que vous ayez la queue de cygwin disponible, cela pourrait être accompli en utilisant quelque chose comme cela:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

il nécessite la queue de cygwin, et je n'ai pas pu trouver un moyen de le faire avec Windows' out-of-the-box tools. Son approche fonctionne très bien pour moi et me permet d'utiliser toutes les capacités de filtrage Wiresharks sur le trafic loopback capturé en direct.

4
répondu Richard Kiefer 2017-05-07 18:54:25

vous ne pouvez pas capturer loopback sur Solaris, HP-UX, ou Windows, mais vous pouvez très facilement contourner cette limitation en utilisant un outil comme RawCap .

RawCap peut capturer des paquets bruts sur n'importe quelle ip incluant 127.0.0.1 (localhost/loopback). Rawcap peut également générer un fichier pcap . Vous pouvez ouvrir et analyser le fichier pcap avec Wireshark .

voir ici pour plus de détails sur la façon de surveiller localhost l'aide de RawCap et Wireshark.

3
répondu cmd 2014-03-14 20:50:40