Wireshark localhost Verkehrserfassung

Schrieb ich eine einfache server-Anwendung in C, die läuft auf localhost. Gewusst wie: erfassen von localhost traffic mit Wireshark?

InformationsquelleAutor der Frage Udara S.S Liyanage | 2011-05-01

57

Wenn Sie Windows ~~es ist nicht möglich~~ - Lesen Sie unten. Sie können die lokale Adresse der eigenen Maschine statt, und dann werden Sie in der Lage zu erfassen Zeug. Sehen CaptureSetup/Loopback.

Zusammenfassung: Sie können erfassen, auf die
die loopback-Schnittstelle auf Linux, auf
verschiedene BSDs, einschließlich Mac OS X, und
auf Digital/Tru64 UNIX und man könnte sich
in der Lage sein, es zu tun auf Irix und AIX, aber
Sie definitiv nicht so auf
Solaris, HP-UX oder Windows.

EDIT: etwa 3 Jahre später, diese Antwort ist nicht mehr ganz korrekt. Die verlinkte Seite enthält Anweisungen für die Erfassung auf dem loopback-interface.

InformationsquelleAutor der Antwort cnicutar
45

Auf Windows-Plattform, es ist auch möglich, zu erfassen localhost traffic mit Wireshark.
Was Sie tun müssen, ist, installieren Sie "Microsoft loopback adapter" und dann schnuppern.
```
http://support.microsoft.com/kb/839013
```
InformationsquelleAutor der Antwort ciphor
44

Aus irgendeinem Grund, keiner der bisherigen Antworten gearbeitet, in meinem Fall, also werde ich etwas posten, das hat den trick. Es ist ein kleines Juwel namens RawCapdie Erfassung localhost-Datenverkehr auf Windows. Vorteile:
- nur 17 kB!
- keine externen Bibliotheken benötigt
- extrem einfach zu bedienen (einfach starten Sie es, wählen Sie die loopback-Schnittstelle, und die Ziel-Datei und das ist alles)
Nachdem der Verkehr aufgenommen wurde, können Sie es öffnen und untersuchen in Wireshark ganz normal. Der einzige Nachteil, den ich fand, ist, dass Sie keine Filter setzen, d.h. Sie erfassen alle localhost-Datenverkehr kann schwer sein. Es gibt auch eine bug zu Windows XP SP 3.

Paar mehr Hinweise:
- Wireshark wiki
InformationsquelleAutor der Antwort Miljen Mikic
26

Habe ich nicht wirklich ausprobiert, aber diese Antwort aus dem web klingt vielversprechend:

Wireshark kann nicht wirklich erfassen lokale Pakete auf windows XP durch
die Natur des windows-TCP-stack. Wenn Pakete gesendet werden und
empfangen auf der gleichen Maschine, die Sie scheinen nicht zu überqueren das Netzwerk
Grenze wireshark überwacht.

Aber es gibt einen Weg, um dieses, Sie können die Strecke der lokale Verkehr
aus über Ihr Netzwerk-gateway (router) durch die Einrichtung einer (temporären)
statische route auf Ihrem windows XP-Rechner.

Sagen Sie Ihre XP-IP-Adresse 192.168.0.2 und dem gateway (router)
Adresse 192.168.0.1, könnten Sie führen Sie den folgenden Befehl aus
windows XP Befehlszeile erzwingen, dass alle lokalen Verkehr hin und zurück über
der Netzwerk-Grenze, so dass wireshark konnte dann verfolgen, wie die Daten (Hinweis
wireshark meldet Pakete zweimal in diesem Szenario, einmal, wenn
verlassen Sie Ihren pc, und einmal, wenn Sie zurückkehren).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087auf die Sie zugreifen.

InformationsquelleAutor der Antwort feuGene
8

Bitte versuchen Npcap: https://github.com/nmap/npcapes basiert auf WinPcap und unterstützt loopback-Verkehr erfassen auf Windows. Npcap ist ein Teilprojekt von Nmap (http://nmap.org/), so melden Sie bitte alle Probleme, die auf Nmap Entwicklung Liste (http://seclists.org/nmap-dev/).

InformationsquelleAutor der Antwort hsluoyz

Für Windows,

Können Sie nicht erfassen Pakete für Lokale Loopback - in Wireshark Sie können jedoch, verwenden Sie einen sehr kleinen, aber nützlichen Programm namens RawCap;

RawCap

Laufen RawCap auf Eingabeaufforderung und wählen Sie die Loopback Pseudo-Interface (127.0.0.1), dann schreiben Sie einfach den Namen des packet-capture-Datei (.pcap)

Eine einfache demo ist als unten;

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C

InformationsquelleAutor der Antwort Levent Divilioglu

3

Können Sie anzeigen loopback-traffic live in Wireshark, indem er es Lesen RawCap's Ausgabe sofort. cmaynard beschreibt diese geniale Annäherung an die Wireshark-Foren. Ich zitiere es hier:

[...] wenn Sie wollen, um live-traffic in Wireshark, können Sie immer noch tun Sie es durch ausführen von RawCap von einer Befehl-Linie und läuft Wireshark von einem anderen. Vorausgesetzt, Sie haben cygwin ' s tail verfügbar ist, kann diese erreicht werden könnte, mit so etwas wie so:

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

Es erfordert cygwin 's Schwanz, und ich konnte nicht einen Weg finden, dies zu tun mit Windows" out-of-the-box-tools. Sein Ansatz funktioniert sehr gut für mich und erlaubt mir, auf alle Wiresharks filter-Funktionen erfasst loopback-Verkehr live.

InformationsquelleAutor der Antwort Richard Kiefer
2

Können Sie nicht erfassen loopback auf Solaris, HP-UX oder Windows, aber Sie können sehr einfach diese Beschränkung umgehen, indem Sie mit einem tool wie RawCap.

RawCap erfassen können raw-Pakete, die auf jede ip, einschließlich 127.0.0.1 (localhost/loopback). Rawcap kann auch erzeugen eine pcap - Datei. Sie können öffnen und analysieren die pcap - Datei mit Wireshark.

Sehen hier für vollständige details auf, wie monitor, localhost mit RawCap und Wireshark.

InformationsquelleAutor der Antwort cmd

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.