Как я могу увидеть трафик 127.0.0.1 в Windows, используя Wireshark?
Каждый раз, когда я пытаюсь отфильтровать, чтобы показать конкретный IP-адрес, я получаю сообщение об ошибке, указывающее, что это "не интерфейс или поле". Я понятия не имею, что это значит. Кроме того, я все равно не вижу трафика локального хоста в журналах.
Как я могу показать TCP локальный трафик?
Платформа: Windows 7
5 ответов
Если вы пытаетесь сделать это на компьютере с Windows, к сожалению, это невозможно из коробки. Вам нужно будет установить дополнительное программное обеспечение, которое будет собирать данные в интерфейсе обратной связи.
На компьютере с Linux вам нужно будет захватить интерфейс loopback, который lo большую часть времени. Большинство других операционных систем Unix используют lo0.
Чтобы сохранить это, как сказал hsluoyz, установите npcap
http://wiki.wireshark.org/CaptureSetup/Loopback
При установке в Windows Vista или более поздней версии (включая Win7, Win8 и Win10) с выбранной опцией "Поддерживать петлевой трафик (будет создан"Npcap Loopback Adapter")", он создаст Npcap Loopback Adapter, который можно выбрать в Wireshark, чтобы захватывать петлевой трафик IPv4/IPv6.
Хотя вы нашли ответ раньше, чем я смог ответить, вы также можете использовать Socket Sniffer, который просматривает вызовы Winsock и отслеживает сетевые сокеты; ссылка на скачивание находится внизу страницы.
Для Windows Nccap, установленный по умолчанию сейчас,
https://wiki.wireshark.org/CaptureSetup/Loopback,
Начиная с Wireshark 3.0.0, установщик Windows включает и устанавливает последнюю версию Npcap.
Используйте RawCap для захвата трафика localhost (127.0.0.1). Вам просто нужно скачать Rawcap.exe и запустить его. Он откроет интерфейс командной строки со списком. Теперь выберите один из интерфейсов, который имеет адрес обратной связи 127.0.0.1.