Wireshark localhostトラフィックキャプチャ[終了]


117

localhostで実行される単純なサーバーアプリをCで記述しました。Wiresharkを使用してlocalhostトラフィックをキャプチャする方法は?


3
私は歳をとっていますが、一貫性の理由から再開に投票します。これは有効な質問であり、IMHOは十分に狭い(特定の問題は「localhost」である)
Marcel

回答:


69

Windowsを使用している場合 は不可能です。以下をお読みください。代わりにあなたのマシンのローカルアドレスを使うことができれば、ものをキャプチャすることができます。CaptureSetup / Loopbackを参照してください。

概要:Linux、Mac OS Xを含むさまざまなBSD、Digital / Tru64 UNIXのループバックインターフェイスでキャプチャできます。IrixとAIXではそれができるかもしれませんが、Solaris、HPではできません。 -UX ...

このページでは、Wiresharkだけを使用するWindowsではこれは不可能であると述べていますが、実際には別の回答で述べられている回避策を使用して記録できます


編集:約3年後、この答えは完全に正しくなくなりました。リンク先のページには、ループバックインターフェイスでキャプチャするための手順が含まれています


feuGeneの答えは実際に機能します。
GWLlosa 2012

@GWLlosaうん。マシンのローカルアドレスを使用できます
cnicutar 2012

7
ループバックの代わりに自分のIPをWiresharkに置くだけでは不十分であることがわかりました。私の状況で機能するには、ルートを追加する必要がありました。
GWLlosa 2012

1
ありがとう。OS Xでは、ループバックインターフェイスはlo0です。en1を選択しても、デフォルトでは何も機能しないようです。
sudo 14

ループバックアダプターを設定するために、このYouTubeビデオが役に立ったと思いました。youtube.com/watch?v=KsWICPPO_N8
developer747

51

なんらかの理由で、私のケースでは以前の答えはどれもうまくいかなかったので、トリックをしたものを投稿します。WindowsでlocalhostトラフィックをキャプチャできるRawCapと呼ばれる小さな宝石があります。利点:

  • わずか17 kB!
  • 外部ライブラリは不要
  • 非常に簡単に使用できます(開始して、ループバックインターフェイスと宛先ファイルを選択するだけです)。

トラフィックがキャプチャされた後、それを開いてWiresharkで通常どおり検査できます。私が見つけた唯一の欠点は、フィルターを設定できないことです。つまり、重い可能性があるすべてのlocalhostトラフィックをキャプチャする必要があります。Windows XP SP 3に関するバグも1つあります。

その他のアドバイス:


1
セットアップは必要なく、非常に簡単でした。
vibhu

また、WiresharkでRawCapの出力を瞬時に読み取って、ライブキャプチャを行うことができます。詳細については私の回答を参照してください。
リチャードキーファー2017年

48

Windowsプラットフォームでは、Wiresharkを使用してlocalhostトラフィックをキャプチャすることもできます。必要なのは、Microsoftループバックアダプターをインストールして、それを嗅ぐことです。


明けまして、あなたはこれを成功させましたか?これはcnicutarの答えに直接矛盾します。
feuGene

はい、成功しました。
ciphor

そしてどうやって?動作しませんでした。
schlamar 2012年

18
私はこれをWin 7でも同じように機能させました。デバイスマネージャー->レガシーハードウェアの追加->選択します->ネットワーク-> Microsoft->ループバックアダプター。インストールしたら、選択したIPアドレスで構成します。次に、wiresharkを再インストールして、新しいインターフェイスにキャプチャドライバーを再インストールします。これは、Windows、ループバック、またはリアルに新しいインターフェイスを追加するときに実行する必要があります。
antiduh 2013

4
Win 7で@antiduhの指示に従いました。一部のnetbiosクエリは表示されましたが、localhostでHTTPトラフィックが表示されませんでした。
カルロスレンドン2014

26

私は実際にこれを試していませんが、ウェブからのこの答えは有望に聞こえます:

Wiresharkは、Windows TCPスタックの性質により、実際にはWindows XPでローカルパケットをキャプチャできません。パケットが同じマシンで送受信されるとき、wiresharkが監視するネットワーク境界を越えていないようです。

ただし、これを回避する方法はあります。WindowsXPマシンで(一時的な)静的ルートを設定することにより、ローカルトラフィックをネットワークゲートウェイ(ルーター)経由でルーティングできます。

XPのIPアドレスが192.168.0.2で、ゲートウェイ(ルーター)アドレスが192.168.0.1であるとすると、Windows XPのコマンドラインから次のコマンドを実行して、すべてのローカルトラフィックを強制的にネットワークの境界に行き来させ、wiresharkがデータ(wiresharkはこのシナリオで2回パケットを報告することに注意してください。1回はPCを離れるとき、もう1回は戻るときです)。

route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1

http://forums.whirlpool.net.au/archive/1037087、今すぐアクセス。


6
私はこれを試してみましたが、非常にうまく機能していることがわかりました。
GWLlosa 2012

勝利7 32ビットでは動作しません
vantrung -cuncon '31年

11

Npcap:https : //github.com/nmap/npcapを試してください。これはWinPcapに基づいており、Windowsでのループバックトラフィックキャプチャをサポートしています。NpcapはNmap(http://nmap.org/)のサブプロジェクトであるため、Nmapの開発リスト(http://seclists.org/nmap-dev/)で問題を報告してください。


Wiresharkのドキュメントのオプション#1Starting from Windows Vista: Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
KCD

ここからインストーラをダウンロードすることができますnmap.org/npcap
ウェイン・フィップス

2
NPcapにはビジネス環境で使用するためのいくつかのライセンス制限があることを知っておくのは良いことです。
JanSmrčina18年

10

RawCapの出力を即座に読み取ることで、Wiresharkでループバックトラフィックをライブで表示できます。cmaynard、Wiresharkフォーラムでこの独創的なアプローチについて説明しています。ここで引用します:

[...] Wiresharkでライブトラフィックを表示する場合でも、1つのコマンドラインからRawCapを実行し、別のコマンドラインからWiresharkを実行することで、これを行うことができます。cygwinの尾が利用可能であると仮定すると、これは次のようなものを使用して実現できます。

cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap

cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -

これにはcygwinのテールが必要であり、Windowsの標準ツールでこれを行う方法を見つけることができませんでした。彼のアプローチは私にとって非常にうまく機能し、キャプチャされたループバックトラフィックのライブですべてのWiresharksフィルター機能を使用することができます。


3
私にとって重要な部分は、2番目のcmdコマンドを少し遅れて開始することでした。そうしないと、Wiresharkが.pcapファイルを読み取ることができませんでした。おそらく、最初にそこにいくつかの記録されたトラフィックが必要なためです。
リチャードキーファー

これは受け入れられるべき答えです(git bashからcmd2を実行するのに十分です)
fider

4
更新:本日(2020年1月30日)に発表されたNetresecは、パイプまたはへの書き込みをサポートするRawCapの新しいバージョンですstdout。したがって、今日の時点で、上記のソリューションは次のように簡略化でき、tail必要 はありませんRawCap.exe -q 127.0.0.1 - | Wireshark.exe -i - -k 。RawCapReduxの発表ページの新しいRawCap機能について詳しくは、こちらをご覧ください。netresec.com
クリストファーメイナード

8

以下のためのWindowsの

パケットをキャプチャできません ローカルループバックの中にWiresharkを使用すると、呼ばれる非常に小さなしかし有用なプログラムを使用することができ、しかしRawCapを

RawCap

コマンドプロンプトでRawCapを実行し、ループバック擬似インターフェース(127.0.0.1)を選択して、パケットキャプチャファイル(.pcap)の名前を書き込みます。

簡単なデモは次のとおりです。

C:\Users\Levent\Desktop\rawcap>rawcap
Interfaces:
 0.     169.254.125.51  Local Area Connection* 12       Wireless80211
 1.     192.168.2.254   Wi-Fi   Wireless80211
 2.     169.254.214.165 Ethernet        Ethernet
 3.     192.168.56.1    VirtualBox Host-Only Network    Ethernet
 4.     127.0.0.1       Loopback Pseudo-Interface 1     Loopback
Select interface to sniff [default '0']: 4
Output path or filename [default 'dumpfile.pcap']: test.pcap
Sniffing IP : 127.0.0.1
File        : test.pcap
Packets     : 48^C

6

Solaris、HP-UX、またはWindowsではループバックをキャプチャできませんが、RawCapなどのツールを使用すると、この制限を非常に簡単に回避できます。

RawCapは、127.0.0.1(localhost / loopback)を含む任意のIPで生パケットをキャプチャできます。Rawcapはpcapファイルを生成することもできます。Wiresharkでpcapファイルを開いて分析できます。

RawCapとWiresharkを使用してローカルホストを監視する方法の詳細については、こちらをご覧ください。


2

はい、Npcap Loopback Adapterを使用してlocalhostトラフィックを監視できます

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.