networking - rawcap - wireshark capture loopback
Captura de tráfico de Wireshark localhost (8)
Escribí una aplicación de servidor simple en C que se ejecuta en localhost. Cómo capturar el tráfico del localhost usando Wireshark?
En la plataforma de Windows, también es posible capturar el tráfico del localhost usando Wireshark. Lo que debe hacer es instalar el "adaptador de bucle invertido de Microsoft" y luego olerlo.
http://support.microsoft.com/kb/839013
No he intentado esto, pero esta respuesta de la web suena prometedora:
Wireshark no puede capturar paquetes locales en Windows XP debido a la naturaleza de la pila TCP de Windows. Cuando los paquetes se envían y reciben en la misma máquina, no parecen cruzar el límite de la red que los wireshark monitorean.
Sin embargo, hay una forma de evitar esto, puede enrutar el tráfico local a través de su puerta de enlace de red (enrutador) configurando una ruta estática (temporal) en su máquina con Windows XP.
Digamos que su dirección IP de XP es 192.168.0.2 y la dirección de su puerta de enlace (enrutador) es 192.168.0.1. Puede ejecutar el siguiente comando desde la línea de comandos de Windows XP para forzar todo el tráfico local y regresar a través del límite de la red, de modo que wireshark datos (tenga en cuenta que wireshark informará los paquetes dos veces en este escenario, una cuando salgan de su PC y una cuando vuelvan).
route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1
http://forums.whirlpool.net.au/archive/1037087 , al que se acaba de acceder.
No puede capturar loopback en Solaris, HP-UX o Windows, sin embargo, puede evitar esta limitación fácilmente usando una herramienta como RawCap .
RawCap puede capturar paquetes sin procesar en cualquier ip, incluyendo 127.0.0.1 (localhost / loopback). Rawcap también puede generar un archivo pcap . Puede abrir y analizar el archivo pcap con Wireshark .
Consulte here para obtener detalles completos sobre cómo monitorear el servidor local usando RawCap y Wireshark.
Para Windows ,
No puede capturar paquetes para Local Loopback en Wireshark; sin embargo, puede usar un programa muy pequeño pero útil llamado RawCap ;
Ejecute RawCap en el símbolo del sistema y seleccione la Pseudointerfaz de bucle invertido (127.0.0.1) y luego simplemente escriba el nombre del archivo de captura de paquetes ( .pcap )
Una demostración simple es la siguiente;
C:/Users/Levent/Desktop/rawcap>rawcap
Interfaces:
0. 169.254.125.51 Local Area Connection* 12 Wireless80211
1. 192.168.2.254 Wi-Fi Wireless80211
2. 169.254.214.165 Ethernet Ethernet
3. 192.168.56.1 VirtualBox Host-Only Network Ethernet
4. 127.0.0.1 Loopback Pseudo-Interface 1 Loopback
Select interface to sniff [default ''0'']: 4
Output path or filename [default ''dumpfile.pcap'']: test.pcap
Sniffing IP : 127.0.0.1
File : test.pcap
Packets : 48^C
Por alguna razón, ninguna de las respuestas anteriores funcionó en mi caso, así que publicaré algo que funcionó. Hay una pequeña joya llamada RawCap que puede capturar el tráfico del localhost en Windows. Ventajas:
- ¡solo 17 kB!
- no se necesitan bibliotecas externas
- extremadamente simple de usar (solo inícielo, elija la interfaz loopback y el archivo de destino y eso es todo)
Una vez capturado el tráfico, puede abrirlo y examinarlo normalmente en Wireshark. La única desventaja que encontré es que no puedes establecer filtros, es decir, tienes que capturar todo el tráfico del localhost que puede ser pesado. También hay un bug respecto a Windows XP SP 3.
Pocos consejos más:
Pruebe Npcap: https://github.com/nmap/npcap , está basado en WinPcap y admite la captura de tráfico de bucle invertido en Windows. Npcap es un subproyecto de Nmap ( http://nmap.org/ ), por lo que debe informar cualquier problema en la lista de desarrollo de Nmap ( http://seclists.org/nmap-dev/ ).
Puede ver el tráfico de bucle invertido en vivo en Wireshark haciendo que lea la salida de RawCap al instante. cmaynard describe este enfoque ingenioso en los foros de Wireshark . Lo citaré aquí:
[...] si desea ver el tráfico en vivo en Wireshark, puede hacerlo ejecutando RawCap desde una línea de comando y ejecutando Wireshark desde otro. Suponiendo que tengas la cola de cygwin disponible, esto podría lograrse usando algo como esto:
cmd1: RawCap.exe -f 127.0.0.1 dumpfile.pcap
cmd2: tail -c +0 -f dumpfile.pcap | Wireshark.exe -k -i -
Requiere la cola de cygwin, y no pude encontrar una manera de hacerlo con las herramientas listas para usar de Windows. Su enfoque funciona muy bien para mí y me permite usar todas las capacidades de filtro de Wiresharks en el tráfico de loopback capturado en vivo.
Si está utilizando Windows no es posible , lea a continuación. Puede usar la dirección local de su máquina y luego podrá capturar cosas. Ver CaptureSetup/Loopback .
Resumen: puede capturar en la interfaz loopback en Linux, en varios BSD, incluido Mac OS X, y en Digital / Tru64 UNIX, y es posible que pueda hacerlo en Irix y AIX, pero definitivamente no puede hacerlo en Solaris, HP -UX o Windows .
EDITAR: unos 3 años después, esta respuesta ya no es completamente correcta. La página vinculada contiene instrucciones para capturar en la interfaz loopback .