Czy istnieje sposób, aby uzyskać Wireshark do przechwytywania pakietów wysyłanych z / do hosta lokalnego w systemie Windows?

17

Czy istnieje sposób, aby uzyskać Wireshark do przechwytywania pakietów wysyłanych z / do localhost?

Gdy monitoruję ruch przechodzący z mojego komputera na inny lub z innego komputera na mój komputer, to działa. Ale od localhost do localhost niczego nie rejestruje.

Brian R. Bondy
źródło
jaka platforma? Windows? Prochowiec? Linux?
Jeff Atwood
1
Szczególnie w systemie Windows
Brian R. Bondy,
Spróbuj Npcap: github.com/nmap/npcap , jest on oparty na WinPcap i obsługuje przechwytywanie ruchu zwrotnego w systemie Windows. Npcap jest podprojektem Nmap ( nmap.org ), więc proszę zgłaszać wszelkie problemy na liście deweloperów Nmap ( seclists.org/nmap-dev ).
Yang Luo,

Odpowiedzi:

23

Na stronie głównej wireshark znajduje się wpis WIKI dotyczący dokładnie tego problemu.

Wspominają także o szczegółach dotyczących interfejsu sprzężenia zwrotnego w systemie Windows - możesz być właśnie w to uruchomiony.

Nie można przechwytywać adresu lokalnego sprzężenia zwrotnego 127.0.0.1 za pomocą sterownika przechwytywania pakietów systemu Windows, takiego jak WinPcap.

Serverhorror
źródło
Chcesz wyjaśnić, dlaczego głosowanie to jest odrzucane?
serverhorror
Nie głosowałem za odrzuceniem, ale prawdopodobnie dlatego, że na tej stronie i stackoverflow.com zachęcane są nawet podstawowe pytania, które mają łatwo dostępne rozwiązania. Odpowiedź jest dobra, ale ton nie. Zastanów się nad jego edycją i myślę, że zostanie poddana pod głosowanie.
Brian R. Bondy,
Przepraszam, że nie jestem rodzimym językiem angielskim (chyba nie jestem jedynym). Spróbuję o tym pomyśleć w przyszłości.
serverhorror
+1 za poznanie i dodanie linku.
l0c0b0x
2
Może warto dodać szybki cytat „Nie można przechwytywać adresu lokalnego sprzężenia zwrotnego 127.0.0.1 za pomocą sterownika przechwytywania pakietów systemu Windows, takiego jak WinPcap”. z połączonej strony, aby zaoszczędzić nam napięcia ...
andersoj
5

W Wireshark musisz wybrać interfejs lo0 ... nie En0 lub En1.

Iść do:

  • Pokaż opcje przechwytywania
  • W „Interfejsie” wybierz: lo0
  • Przechwyć, a zobaczysz kilka komunikacji 127.0.0.1
l0c0b0x
źródło
w systemie Windows oczywiście nie sądzę, że można to zrobić bez ręcznego dodawania interfejsu sprzężenia zwrotnego.
djangofan
tak, dokument powiedział:you can capture on the loopback interface on Linux, on various BSDs including Mac OS X, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Allan Ruin
Na OSX yosemite to działało!
James111
4

możesz użyć aplikacji RawCap do przechwytywania pakietów sprzężenia zwrotnego i zapisywania ich w pliku pcap ... a następnie możesz go otworzyć za pomocą Wireshark

Amr Thabet
źródło
1

Chcesz uruchomić wireshark na interfejsie „lo” lub „any”.

Z tshark lub tcpdump możesz użyć opcji -i:

# tcpdump -i dowolny port http

(Dotyczy to głównie Linuksa)

David Pashley
źródło