Existe uma maneira de obter o wireshark para capturar pacotes enviados de / para localhost no Windows?

17

Existe uma maneira de obter o wireshark para capturar pacotes enviados de / para o host local?

Quando monitoro o tráfego que vai do meu computador para outro ou de outro computador para o meu computador, ele funciona. Mas de localhost para localhost não registra nada.

networking localhost network-monitoring wireshark Brian R. Bondy
fonte
qual plataforma? Janelas? Mac? Linux?
9119 Jeff Atwood
1
Particularmente no Windows
Brian R. Bondy
Tente o Npcap: github.com/nmap/npcap , ele é baseado no WinPcap e suporta captura de tráfego de loopback no Windows. Npcap é um subprojeto do Nmap ( nmap.org ), portanto, relate quaisquer problemas na lista de desenvolvimento do Nmap ( seclists.org/nmap-dev ).
Yang Luo

Respostas:

23

Há uma entrada WIKI sobre exatamente esse problema na página inicial do wireshark.

Eles também mencionam detalhes sobre a interface de loopback em relação ao Windows - você pode estar executando exatamente isso.

Você não pode capturar no endereço de loopback local 127.0.0.1 com um driver de captura de pacote do Windows como o WinPcap.

serverhorror
fonte
Gostaria de esclarecer por que isso está sendo rejeitado?
3911
Não votei negativamente, mas provavelmente porque até as perguntas básicas que têm soluções facilmente localizáveis ​​são incentivadas neste site e no stackoverflow.com. A resposta é boa, mas o tom não é. Considere editá-lo e acho que será votado.
Brian R. Bondy
Me desculpe, eu não sou um falante nativo de inglês (acho que não sou o único). Vou tentar pensar sobre isso no futuro.
3911
+1 por conhecer e adicionar o link.
L0c0b0x
2
Talvez queira adicionar a citação rápida "Você não pode capturar no endereço de loopback local 127.0.0.1 com um driver de captura de pacotes do Windows, como o WinPcap." da página vinculada para nos salvar o suspense ...
andersoj
5

No Wireshark, você precisa escolher a interface lo0 ... não En0 ou En1.

Vamos para:

  • Mostrar as opções de captura
  • Em "Interface", escolha: lo0
  • Capture e você verá várias comunicações 127.0.0.1
l0c0b0x
fonte
no Windows, é claro, não acredito que você possa fazer isso sem adicionar uma interface de loopback manualmente.
djangofan
sim, o documento dizia:you can capture on the loopback interface on Linux, on various BSDs including Mac OS X, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Allan Ruin
No OSX yosemite, isso funcionou!
James111
4

você pode usar o aplicativo RawCap para capturar pacotes de loopback e salvá-los em um arquivo pcap ... e depois pode abri-lo usando o Wireshark

Amr Thabet
fonte
1

Você deseja executar o wireshark na interface "lo" ou em "any".

Com tshark ou tcpdump, você pode usar a opção -i:

# tcpdump -i qualquer porta http

(Isso é aplicável principalmente ao Linux)

David Pashley
fonte