Wireshark localhost trafik yakalama [kapalı]


118

C de localhost üzerinde çalışan basit bir sunucu uygulaması yazdım. Wireshark kullanarak localhost trafiğini nasıl yakalayabilirim?


3
Eskiyken, tutarlılık nedenlerinden ötürü yeniden açmaya oy veriyorum. Bu geçerli bir soru ve IMHO yeterince dar (özel sorun "localhost")
Marcel

Yanıtlar:


69

Windows kullanıyorsanız bu mümkün değildir - aşağıyı okuyun. Bunun yerine makinenizin yerel adresini kullanabilir ve ardından bir şeyler yakalayabilirsiniz. Bkz. CaptureSetup / Geri Döngü .

Özet: Linux'ta geridöngü arabiriminde, Mac OS X dahil çeşitli BSD'lerde ve Digital / Tru64 UNIX'de yakalama yapabilirsiniz ve bunu Irix ve AIX'de yapabilirsiniz, ancak bunu Solaris, HP'de kesinlikle yapamazsınız. -UX ... .

Sayfada bunun yalnızca Wireshark kullanarak Windows'ta mümkün olmadığından bahsedilmesine rağmen, aslında farklı bir yanıtta belirtildiği gibi bir geçici çözüm kullanarak bunu kaydedebilirsiniz .


DÜZENLEME: Yaklaşık 3 yıl sonra, bu cevap artık tamamen doğru değil. Bağlantılı sayfa , geri döngü arayüzünde yakalama talimatları içerir .


feuGene'nin cevabı aslında işe yarıyor.
GWLlosa

@GWLlosa Yup. Makinenizin yerel adresini kullanabilirsiniz .
cnicutar

7
Geridöngü yerine kendi IP'nizi wireshark'a koymanın yeterli olmadığını anladım; Benim durumumda çalışması için rotayı eklemek gerekliydi.
GWLlosa

1
Teşekkürler. OS X'te geridöngü arabirimi lo0'dır. En1'i veya varsayılanınız neyse onu seçmek işe yaramayacak gibi görünüyor.
sudo

Geri döngü adaptörünü kurmak için bu youtube videosunu faydalı buldum. youtube.com/watch?v=KsWICPPO_N8
developer747

51

Nedense, benim durumumda önceki cevapların hiçbiri işe yaramadı, bu yüzden hile yapan bir şey göndereceğim. Windows'ta localhost trafiğini yakalayabilen RawCap adında küçük bir mücevher var . Avantajları:

  • sadece 17 kB!
  • harici kitaplığa gerek yok
  • kullanımı son derece basit (sadece başlatın, geri döngü arayüzünü ve hedef dosyayı seçin ve hepsi bu)

Trafik yakalandıktan sonra, onu açıp normal şekilde Wireshark'ta inceleyebilirsiniz. Bulduğum tek dezavantaj, filtre ayarlayamamanız, yani ağır olabilecek tüm localhost trafiğini yakalamanız gerekiyor. Windows XP SP 3 ile ilgili bir de hata var .

Birkaç tavsiye daha:


1
kurulum gerekmez ve oldukça basitti.
vibhu

Ve Wireshark'ın RawCap'in çıktısını anında okuyarak size canlı yakalama yapmasını sağlayabilirsiniz. Ayrıntılar için cevabıma bakın.
Richard Kiefer

48

Windows platformunda, Wireshark kullanarak localhost trafiğini yakalamak da mümkündür. Yapmanız gereken, Microsoft geridöngü bağdaştırıcısını yüklemek ve ardından onu koklamaktır.


ciphor, bunu başarıyla yaptın mı? bu, Cnicutar'ın cevabı ile doğrudan çelişmektedir.
feuGene

evet, başarıyla yaptım.
ciphor

Ve nasıl? İşe yaramadı.
schlamar

18
Bunu Win 7'de de aynı şekilde çalıştırdım. Aygıt Yöneticisi -> Eski Donanım Ekle -> Seçeceğim -> Ağ -> Microsoft -> Geri Döngü adaptörü. Kurulduktan sonra, seçtiğiniz bir IP adresiyle yapılandırın. Ardından: yakalama sürücüsünü yeni arabirime yeniden yükleyecek şekilde wireshark'ı yeniden yükleyin - bu, windows, geridöngü veya real'e yeni arabirimler eklediğinizde gerçekleştirilmelidir.
antiduh

4
Win 7'deki @antiduh talimatlarını takip ettim ve bazı netbios sorguları görmeme rağmen localhost'ta HTTP trafiğini görmedim.
Carlos Rendon

26

Aslında bunu denemedim, ancak web'den gelen bu cevap umut verici görünüyor:

Wireshark, Windows TCP yığınının doğası nedeniyle Windows XP'de yerel paketleri yakalayamaz. Paketler aynı makineye gönderildiğinde ve alındığında, wireshark'ın izlediği ağ sınırını geçmiyor gibi görünüyorlar.

Bununla birlikte, bunun etrafında bir yol var, Windows XP makinenizde (geçici) bir statik yol ayarlayarak yerel trafiği ağ geçidiniz (yönlendirici) aracılığıyla yönlendirebilirsiniz.

XP IP adresinizin 192.168.0.2 ve ağ geçidi (yönlendirici) adresinizin 192.168.0.1 olduğunu varsayalım, tüm yerel trafiği ağ sınırı boyunca dışarı ve geri zorlamak için Windows XP komut satırından aşağıdaki komutu çalıştırabilirsiniz, böylece wireshark daha sonra data (wireshark'ın bu senaryoda paketleri iki kez rapor edeceğini unutmayın; bir kez bilgisayarınızdan ayrıldıklarında ve bir kez geri döndüklerinde).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087 , şimdi erişildi.


6
Bunu denedim ve çok iyi çalıştığını gördüm.
GWLlosa

7 32bit kazanmak için çalışmıyor
vantrung -cuncon

11

Lütfen Npcap'i deneyin: https://github.com/nmap/npcap , WinPcap tabanlıdır ve Windows'ta geri döngü trafiğini yakalamayı destekler. Npcap, Nmap'in ( http://nmap.org/ ) bir alt projesidir , bu nedenle lütfen Nmap'in geliştirme listesindeki sorunları bildirin ( http://seclists.org/nmap-dev/ ).


Wireshark'ın belgelerinden 1. SeçenekStarting from Windows Vista: Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
KCD,

Yükleyiciyi buradan indirebilirsiniz: nmap.org/npcap
Wayne Phipps

2
NPcap'in iş ortamlarında kullanım için bazı lisans sınırlamaları olduğunu bilmek güzel.
Jan Smrčina

10

Geri döngü trafiğini, RawCap'in çıktısını anında okumasını sağlayarak Wireshark'ta canlı olarak görüntüleyebilirsiniz . cmaynard bu ustaca yaklaşımı Wireshark forumlarında anlatıyor . Burada alıntı yapacağım:

[...] Wireshark'ta canlı trafiği görüntülemek istiyorsanız, bunu bir komut satırından RawCap'i çalıştırıp diğerinden Wireshark'ı çalıştırarak yapabilirsiniz. Cygwin'in kuyruğuna sahip olduğunuzu varsayarsak, bu aşağıdaki gibi bir şey kullanılarak gerçekleştirilebilir:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

Cygwin'in kuyruğunu gerektirir ve bunu Windows'un kullanıma hazır araçlarıyla yapmanın bir yolunu bulamadım. Yaklaşımı benim için çok iyi çalışıyor ve yakalanan geri döngü trafiğinde canlı olarak tüm Wiresharks filtre özelliklerini kullanmama izin veriyor.


3
Benim için asıl önemli olan ikinci cmd komutunu biraz gecikmeli olarak başlatmaktı, aksi takdirde Wireshark .pcap dosyasını okuyamazdı. Muhtemelen, çünkü başlangıçta bir miktar kayıtlı trafik olması gerekiyor.
Richard Kiefer

Bu cevap kabul edilmelidir (cmd2'yi git bash'dan çalıştırmak yeterlidir)
2018

4
Güncelleme : Netresec bugün (30 Ocak 2020) yeni bir RawCap sürümünü duyurdu ve artık bir boruya veya bir boruya yazmayı destekliyor stdout. Bugün itibariyle, yukarıda sağlanan çözüm tailgerekli olmaksızın aşağıdaki gibi basitleştirilebilir : RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k RawCap Redux duyuru sayfasında yeni RawCap özellikleri hakkında daha fazla bilgiyi buradan okuyabilirsiniz: netresec.com/?page=Blog&month=2020-01&post=RawCap -Redux
Christopher Maynard

8

İçin Windows'un ,

Şunlar için paketlerini yakalamak olamaz Yerel Loopback içinde Wireshark adlı bir çok küçük ama kullanışlı bir program kullanabilirsiniz, ancak RawCap ;

RawCap

Çalıştır RawCap üzerinde komuta istemi basıp Geri Döngü Sahte Arabirimi (127.0.0.1) sonra sadece paket yakalama dosyasının adını yazın ( .pcap )

Basit bir demo aşağıdaki gibidir;

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C

6

Solaris, HP-UX veya Windows'ta geri dönüşü yakalayamazsınız , ancak RawCap gibi bir araç kullanarak bu sınırlamayı kolayca aşabilirsiniz .

RawCap, 127.0.0.1(localhost / loopback) dahil olmak üzere herhangi bir ip üzerindeki ham paketleri yakalayabilir . Rawcap ayrıca bir pcapdosya oluşturabilir . pcapDosyayı Wireshark ile açıp analiz edebilirsiniz .

RawCap ve Wireshark kullanarak localhost'u nasıl izleyeceğinizle ilgili tüm ayrıntılar için buraya bakın .


2

Evet, Npcap Loopback Adaptörünü kullanarak localhost trafiğini izleyebilirsiniz

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.