C de localhost üzerinde çalışan basit bir sunucu uygulaması yazdım. Wireshark kullanarak localhost trafiğini nasıl yakalayabilirim?
C de localhost üzerinde çalışan basit bir sunucu uygulaması yazdım. Wireshark kullanarak localhost trafiğini nasıl yakalayabilirim?
Yanıtlar:
Windows kullanıyorsanız bu mümkün değildir - aşağıyı okuyun. Bunun yerine makinenizin yerel adresini kullanabilir ve ardından bir şeyler yakalayabilirsiniz. Bkz. CaptureSetup / Geri Döngü .
Özet: Linux'ta geridöngü arabiriminde, Mac OS X dahil çeşitli BSD'lerde ve Digital / Tru64 UNIX'de yakalama yapabilirsiniz ve bunu Irix ve AIX'de yapabilirsiniz, ancak bunu Solaris, HP'de kesinlikle yapamazsınız. -UX ... .
Sayfada bunun yalnızca Wireshark kullanarak Windows'ta mümkün olmadığından bahsedilmesine rağmen, aslında farklı bir yanıtta belirtildiği gibi bir geçici çözüm kullanarak bunu kaydedebilirsiniz .
DÜZENLEME: Yaklaşık 3 yıl sonra, bu cevap artık tamamen doğru değil. Bağlantılı sayfa , geri döngü arayüzünde yakalama talimatları içerir .
Nedense, benim durumumda önceki cevapların hiçbiri işe yaramadı, bu yüzden hile yapan bir şey göndereceğim. Windows'ta localhost trafiğini yakalayabilen RawCap adında küçük bir mücevher var . Avantajları:
Trafik yakalandıktan sonra, onu açıp normal şekilde Wireshark'ta inceleyebilirsiniz. Bulduğum tek dezavantaj, filtre ayarlayamamanız, yani ağır olabilecek tüm localhost trafiğini yakalamanız gerekiyor. Windows XP SP 3 ile ilgili bir de hata var .
Birkaç tavsiye daha:
Windows platformunda, Wireshark kullanarak localhost trafiğini yakalamak da mümkündür. Yapmanız gereken, Microsoft geridöngü bağdaştırıcısını yüklemek ve ardından onu koklamaktır.
Aslında bunu denemedim, ancak web'den gelen bu cevap umut verici görünüyor:
Wireshark, Windows TCP yığınının doğası nedeniyle Windows XP'de yerel paketleri yakalayamaz. Paketler aynı makineye gönderildiğinde ve alındığında, wireshark'ın izlediği ağ sınırını geçmiyor gibi görünüyorlar.
Bununla birlikte, bunun etrafında bir yol var, Windows XP makinenizde (geçici) bir statik yol ayarlayarak yerel trafiği ağ geçidiniz (yönlendirici) aracılığıyla yönlendirebilirsiniz.
XP IP adresinizin 192.168.0.2 ve ağ geçidi (yönlendirici) adresinizin 192.168.0.1 olduğunu varsayalım, tüm yerel trafiği ağ sınırı boyunca dışarı ve geri zorlamak için Windows XP komut satırından aşağıdaki komutu çalıştırabilirsiniz, böylece wireshark daha sonra data (wireshark'ın bu senaryoda paketleri iki kez rapor edeceğini unutmayın; bir kez bilgisayarınızdan ayrıldıklarında ve bir kez geri döndüklerinde).
route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1
http://forums.whirlpool.net.au/archive/1037087 , şimdi erişildi.
Lütfen Npcap'i deneyin: https://github.com/nmap/npcap , WinPcap tabanlıdır ve Windows'ta geri döngü trafiğini yakalamayı destekler. Npcap, Nmap'in ( http://nmap.org/ ) bir alt projesidir , bu nedenle lütfen Nmap'in geliştirme listesindeki sorunları bildirin ( http://seclists.org/nmap-dev/ ).
Starting from Windows Vista: Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
Geri döngü trafiğini, RawCap'in çıktısını anında okumasını sağlayarak Wireshark'ta canlı olarak görüntüleyebilirsiniz . cmaynard bu ustaca yaklaşımı Wireshark forumlarında anlatıyor . Burada alıntı yapacağım:
[...] Wireshark'ta canlı trafiği görüntülemek istiyorsanız, bunu bir komut satırından RawCap'i çalıştırıp diğerinden Wireshark'ı çalıştırarak yapabilirsiniz. Cygwin'in kuyruğuna sahip olduğunuzu varsayarsak, bu aşağıdaki gibi bir şey kullanılarak gerçekleştirilebilir:
cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap
cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -
Cygwin'in kuyruğunu gerektirir ve bunu Windows'un kullanıma hazır araçlarıyla yapmanın bir yolunu bulamadım. Yaklaşımı benim için çok iyi çalışıyor ve yakalanan geri döngü trafiğinde canlı olarak tüm Wiresharks filtre özelliklerini kullanmama izin veriyor.
stdout
. Bugün itibariyle, yukarıda sağlanan çözüm tail
gerekli olmaksızın aşağıdaki gibi basitleştirilebilir : RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k
RawCap Redux duyuru sayfasında yeni RawCap özellikleri hakkında daha fazla bilgiyi buradan okuyabilirsiniz: netresec.com/?page=Blog&month=2020-01&post=RawCap -Redux
İçin Windows'un ,
Şunlar için paketlerini yakalamak olamaz Yerel Loopback içinde Wireshark adlı bir çok küçük ama kullanışlı bir program kullanabilirsiniz, ancak RawCap ;
Çalıştır RawCap üzerinde komuta istemi basıp Geri Döngü Sahte Arabirimi (127.0.0.1) sonra sadece paket yakalama dosyasının adını yazın ( .pcap )
Basit bir demo aşağıdaki gibidir;
C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
0. 169.254.125.51 Local Area Connection* 12 Wireless80211
1. 192.168.2.254 Wi-Fi Wireless80211
2. 169.254.214.165 Ethernet Ethernet
3. 192.168.56.1 VirtualBox Host-Only Network Ethernet
4. 127.0.0.1 Loopback Pseudo-Interface 1 Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File : test.pcap
Packets : 48^C
Solaris, HP-UX veya Windows'ta geri dönüşü yakalayamazsınız , ancak RawCap gibi bir araç kullanarak bu sınırlamayı kolayca aşabilirsiniz .
RawCap, 127.0.0.1
(localhost / loopback) dahil olmak üzere herhangi bir ip üzerindeki ham paketleri yakalayabilir . Rawcap ayrıca bir pcap
dosya oluşturabilir . pcap
Dosyayı Wireshark ile açıp analiz edebilirsiniz .
RawCap ve Wireshark kullanarak localhost'u nasıl izleyeceğinizle ilgili tüm ayrıntılar için buraya bakın .