Wireshark localhost 트래픽 캡처 [닫힘]

117

나는 localhost에서 실행되는 C로 간단한 서버 앱을 작성했습니다. Wireshark를 사용하여 로컬 호스트 트래픽을 캡처하는 방법은 무엇입니까?

networking  localhost  wireshark  packet-capture  packet-sniffers 
우 다라 SS 리야 나게
소스
3
오래되었지만 일관성을 위해 재 개설에 투표합니다. 이 유효한 질문이고, 이럴 (특정 문제가 "localhost"를 인) 충분히 좁힐
마르셀

답변:

69

Windows를 사용하는 경우 불가능 합니다. 아래를 읽어보세요. 대신 컴퓨터의 로컬 주소를 사용하면 물건을 캡처 할 수 있습니다. CaptureSetup / Loopback을 참조하십시오 .

요약 : Linux, Mac OS X 및 Digital / Tru64 UNIX를 포함한 다양한 BSD에서 루프백 인터페이스에서 캡처 할 수 있으며 Irix 및 AIX에서 수행 할 수 있지만 Solaris, HP에서는 수행 할 수 없습니다. -UX ... .

이 페이지에는 Wireshark 만 사용하는 Windows에서는 불가능하다고 언급되어 있지만 실제로는 다른 답변 에서 언급 한 해결 방법을 사용하여 기록 할 수 있습니다 .

편집 : 약 3 년 후,이 대답은 더 이상 완전히 정확하지 않습니다. 링크 된 페이지에는 루프백 인터페이스에서 캡처하기위한 지침이 포함되어 있습니다 .

냉소
소스
feuGene의 대답은 실제로 작동합니다.
GWLlosa
@GWLlosa 응. 컴퓨터의 로컬 주소를 사용할 수 있습니다 .
cnicutar
7
루프백 대신 wireshark에 자신의 IP를 넣는 것만으로는 충분하지 않습니다. 내 상황에서 작동하려면 경로를 추가해야했습니다.
GWLlosa
1
감사. OS X에서 루프백 인터페이스는 lo0입니다. en1 또는 기본값을 선택하면 작동하지 않는 것 같습니다.
sudo
루프백 어댑터를 설정하는 데이 YouTube 비디오가 유용하다는 것을 알았습니다. youtube.com/watch?v=KsWICPPO_N8
developer747
51

어떤 이유로 든 이전 답변 중 어느 것도 제 경우에는 효과가 없었으므로 트릭을 한 것을 게시하겠습니다. Windows에서 로컬 호스트 트래픽을 캡처 할 수있는 RawCap 이라는 작은 보석 이 있습니다. 장점 :

  • 단 17kB!
  • 외부 라이브러리가 필요하지 않습니다.
  • 사용이 매우 간단합니다 (시작하고 루프백 인터페이스와 대상 파일을 선택하기 만하면됩니다).

트래픽이 캡처 된 후이를 열고 Wireshark에서 정상적으로 검사 할 수 있습니다. 내가 찾은 유일한 단점은 필터를 설정할 수 없다는 것입니다. 즉, 과중 할 수있는 모든 로컬 호스트 트래픽을 캡처해야합니다. Windows XP SP 3과 관련된 버그 도 하나 있습니다 .

몇 가지 추가 조언 :

밀젠 미키 치
소스
1
설정이 필요하지 않으며 매우 간단했습니다.
vibhu
그리고 Wireshark가 RawCap의 출력을 즉시 읽도록하여 라이브 캡처를 제공 할 수 있습니다. 자세한 내용은 내 대답을 참조하십시오.
Richard Kiefer
48

Windows 플랫폼에서는 Wireshark를 사용하여 로컬 호스트 트래픽을 캡처 할 수도 있습니다. 해야 할 일은 Microsoft 루프백 어댑터 를 설치 한 다음 스니핑하는 것입니다.

시퍼
소스
ciphor, 성공적으로 완료 했습니까? 이것은 cnicutar의 대답과 직접 모순됩니다.
feuGene 2012 년
네, 성공적으로했습니다.
ciphor
그리고 어떻게? 작동하지 않았습니다.
schlamar
18
Win 7에서 모두 동일하게 작동하도록했습니다. 장치 관리자-> 레거시 하드웨어 추가-> 저는-> 네트워킹-> Microsoft-> ​​루프백 어댑터를 선택합니다. 설치가 완료되면 선택한 IP 주소로 구성하십시오. 그런 다음 : wireshark 를 다시 설치하여 새 인터페이스에 캡처 드라이버를 다시 설치합니다.이 작업은 Windows, 루프백 또는 실제에 새 인터페이스를 추가 할 때마다 수행해야합니다.
antiduh
4
Win 7에서 @antiduh 지침을 따랐고 일부 netbios 쿼리를 보았지만 localhost에서 HTTP 트래픽을 보지 못했습니다.
Carlos Rendon 2014
26

나는 실제로 이것을 시도하지 않았지만 웹 의이 대답은 유망하게 들립니다.

Wireshark는 Windows TCP 스택의 특성으로 인해 Windows XP에서 실제로 로컬 패킷을 캡처 할 수 없습니다. 패킷이 동일한 시스템에서 송수신 될 때 wireshark가 모니터링하는 네트워크 경계를 넘지 않는 것 같습니다.

그러나이 문제를 해결하는 방법이 있습니다. Windows XP 시스템에 (임시) 고정 경로를 설정하여 네트워크 게이트웨이 (라우터)를 통해 로컬 트래픽을 라우팅 할 수 있습니다.

XP IP 주소가 192.168.0.2이고 게이트웨이 (라우터) 주소가 192.168.0.1이라고 가정하면 Windows XP 명령 줄에서 다음 명령을 실행하여 네트워크 경계를 넘어 모든 로컬 트래픽을 강제로 내보내고 다시 되돌릴 수 있으므로 wireshark는 데이터 (wireshark는이 시나리오에서 패킷을 두 번보고합니다. 한 번은 PC를 떠날 때, 한 번은 돌아올 때).

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087 , 방금 액세스했습니다.

feuGene
소스
6
나는 이것을 시도했고 그것이 매우 잘 작동한다는 것을 알았습니다.
GWLlosa
작동하지에 승리 7 32 비트
vantrung -cuncon
11

Npcap : https://github.com/nmap/npcap을 사용해보십시오. WinPcap을 기반으로하며 Windows에서 루프백 트래픽 캡처를 지원합니다. Npcap은 Nmap ( http://nmap.org/ ) 의 하위 프로젝트 이므로 Nmap의 개발 목록 ( http://seclists.org/nmap-dev/ ) 에 문제가 있으면 신고 해주세요 .

양 루오
소스
wireshark 문서의 옵션 # 1Starting from Windows Vista: Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
KCD
여기에서 설치 프로그램을 다운로드 할 수 있습니다 : nmap.org/npcap
Wayne Phipps
2
NPcap에는 비즈니스 환경에서 사용하기위한 몇 가지 라이센스 제한이 있다는 것을 아는 것이 좋습니다.
Jan Smrčina 2018
10

RawCap 의 출력을 즉시 읽 도록 하여 Wireshark에서 루프백 트래픽을 실시간으로 볼 수 있습니다 . cmaynard 는 Wireshark 포럼 에서이 독창적 인 접근 방식을 설명합니다 . 여기에서 인용하겠습니다.

[...] Wireshark에서 실시간 트래픽을 보려면 한 명령 줄에서 RawCap을 실행하고 다른 명령 줄에서 Wireshark를 실행하면됩니다. cygwin의 꼬리를 사용할 수 있다고 가정하면 다음과 같이 수행 할 수 있습니다.

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

cygwin의 꼬리가 필요하며 Windows의 기본 도구로는이 작업을 수행하는 방법을 찾을 수 없습니다. 그의 접근 방식은 저에게 매우 잘 작동하며 캡처 된 루프백 트래픽에서 모든 Wiresharks 필터 기능을 실시간으로 사용할 수 있습니다.

리처드 키퍼
소스
3
나에게 필수적인 부분은 약간의 지연으로 두 번째 cmd 명령을 시작하는 것이 었습니다. 그렇지 않으면 Wireshark가 .pcap 파일을 읽을 수 없습니다. 아마도 시작하려면 기록 된 트래픽이 있어야하기 때문일 것입니다.
Richard Kiefer
이 대답은 받아 들여 져야합니다 (git bash에서 cmd2를 실행하는 것으로 충분합니다)
fider
4
업데이트 : Netresec은 오늘 (2020 년 1 월 30 일) 파이프 또는 .NET에 쓰기를 지원하는 새로운 버전의 RawCap을 발표했습니다 stdout. 따라서 오늘부터 위에 제공된 솔루션은 tail필요 없이 다음과 같이 단순화 할 수 있습니다 RawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k . 여기 RawCap Redux 발표 페이지에서 새로운 RawCap 기능에 대한 자세한 내용을 읽을 수 있습니다. netresec.com/?page=Blog&month=2020-01&post=RawCap -Redux
Christopher Maynard
8

들어 윈도우 ,

Wireshark 에서 로컬 루프백 에 대한 패킷을 캡처 할 수는 없지만 RawCap 이라는 매우 작지만 유용한 프로그램을 사용할 수 있습니다 .

RawCap

명령 프롬프트 에서 RawCap 을 실행 하고 Loopback Pseudo-Interface (127.0.0.1)를 선택한 다음 패킷 캡처 파일 ( .pcap ) 의 이름을 작성하십시오.

간단한 데모는 다음과 같습니다.

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C
레 벤트 디 빌리 오 글루
소스
6

Solaris, HP-UX 또는 Windows에서는 루프백을 캡처 할 수 없지만 RawCap 과 같은 도구를 사용하여이 제한을 매우 쉽게 해결할 수 있습니다.

RawCap은 127.0.0.1(localhost / loopback)을 포함한 모든 IP에서 원시 패킷을 캡처 할 수 있습니다 . Rawcap은 pcap파일을 생성 할 수도 있습니다. Wireshark를 사용하여 pcap파일을 열고 분석 할 수 있습니다 .

여기를 참조 하십시오RawCap 및 Wireshark를 사용하여 localhost를 모니터링하는 방법에 대한 를 .

cmd
소스
2

예, Npcap 루프백 어댑터를 사용하여 로컬 호스트 트래픽을 모니터링 할 수 있습니다.

Melwinalm
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.