Napisałem prostą aplikację serwerową w C, która działa na hoście lokalnym. Jak przechwycić ruch lokalnego hosta za pomocą Wireshark?
networking
localhost
wireshark
packet-capture
packet-sniffers
Udara SS Liyanage
źródło
źródło
Odpowiedzi:
Jeśli używasz systemu Windows,
nie jest to możliwe- przeczytaj poniżej. Zamiast tego możesz użyć lokalnego adresu swojej maszyny, a wtedy będziesz mógł przechwytywać rzeczy. Zobacz CaptureSetup / Loopback .Chociaż na stronie wspomniano, że nie jest to możliwe w systemie Windows przy użyciu samego programu Wireshark, w rzeczywistości można to nagrać, stosując obejście, jak wspomniano w innej odpowiedzi .
EDYCJA: Jakieś 3 lata później ta odpowiedź nie jest już całkowicie poprawna. Strona, do której prowadzi łącze, zawiera instrukcje dotyczące przechwytywania w interfejsie sprzężenia zwrotnego .
źródło
Z jakiegoś powodu żadna z poprzednich odpowiedzi nie zadziałała w moim przypadku, więc opublikuję coś, co załatwiło sprawę. Jest mały klejnot o nazwie RawCap, który może przechwytywać ruch lokalnego hosta w systemie Windows. Zalety:
Po przechwyceniu ruchu możesz go otworzyć i normalnie sprawdzić w Wireshark. Jedyną wadą, którą znalazłem, jest to, że nie możesz ustawić filtrów, tj. Musisz przechwytywać cały ruch localhost, który może być ciężki. Istnieje również jeden błąd dotyczący systemu Windows XP SP 3.
Jeszcze kilka porad:
źródło
Na platformie Windows możliwe jest również przechwytywanie ruchu lokalnego hosta za pomocą Wireshark. Musisz zainstalować adapter sprzężenia zwrotnego firmy Microsoft , a następnie go podsłuchać.
źródło
Właściwie tego nie próbowałem, ale ta odpowiedź z sieci brzmi obiecująco:
http://forums.whirlpool.net.au/archive/1037087 , dostęp właśnie teraz.
źródło
Wypróbuj Npcap: https://github.com/nmap/npcap , jest oparty na WinPcap i obsługuje przechwytywanie ruchu zwrotnego w systemie Windows. Npcap jest podprojektem Nmapa ( http://nmap.org/ ), więc prosimy o zgłaszanie wszelkich problemów na liście rozwoju Nmapa ( http://seclists.org/nmap-dev/ ).
źródło
Starting from Windows Vista: Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
Możesz przeglądać ruch sprzężenia zwrotnego na żywo w Wireshark, odczytując natychmiast wyjście RawCap . cmaynard opisuje to genialne podejście na forach Wireshark . Zacytuję to tutaj:
Wymaga ogona cygwina i nie mogłem znaleźć sposobu, aby to zrobić za pomocą gotowych do użycia narzędzi systemu Windows. Jego podejście działa dla mnie bardzo dobrze i pozwala mi wykorzystać wszystkie możliwości filtrów Wiresharksa na przechwyconym ruchu zwrotnym na żywo.
źródło
stdout
. Dlatego na dzień dzisiejszy powyższe rozwiązanie można uprościć w następujący sposób, beztail
konieczności:RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k
Możesz przeczytać więcej o nowych funkcjach RawCap na stronie z ogłoszeniami RawCap Redux tutaj: netresec.com/?page=Blog&month=2020-01&post=RawCap -ReduxDla systemu Windows ,
Nie można przechwytywać pakiety dla lokalnego sprzężenia zwrotnego w Wireshark można jednak stosować bardzo małe, ale przydatny program o nazwie RawCap ;
RawCap
Uruchom RawCap w wierszu poleceń i wybierz Loopback Pseudo-Interface (127.0.0.1), a następnie po prostu wpisz nazwę pliku przechwytywania pakietów ( .pcap )
Proste demo jest jak poniżej;
źródło
Nie można przechwytywać sprzężenia zwrotnego w systemie Solaris, HP-UX lub Windows, jednak można bardzo łatwo obejść to ograniczenie, używając narzędzia takiego jak RawCap .
RawCap może przechwytywać surowe pakiety na dowolnym adresie IP, w tym
127.0.0.1
(localhost / loopback). Rawcap może również wygenerowaćpcap
plik. Możesz otworzyć i przeanalizowaćpcap
plik za pomocą Wireshark .Zobacz tutaj, aby uzyskać szczegółowe informacje na temat monitorowania hosta lokalnego za pomocą RawCap i Wireshark.
źródło
Tak, możesz monitorować ruch lokalnego hosta za pomocą adaptera Npcap Loopback
źródło