`
searun
  • 浏览: 176687 次
  • 性别: Icon_minigender_1
  • 来自: 合肥
社区版块
存档分类
最新评论

回环接口抓包设置

阅读更多

 

这是一篇翻译的文章,原文在http://wiki.wireshark.org/CaptureSetup/Loopback

 

下面的部分解释了如何在回环接口上抓包。

如果你准备抓取一台机器到自己的报文,则这个报文将不会经过实际的网络适配器,即使报文是发往这台机器上的某个网络适配器地址。这也意味着当你抓包的时候是看不到报文的,如在含有指定目的地址的网络适配器上操作。而你只能在回环接口上抓包,如果存在这样一个接口并且允许抓包的情况下。在下一节中将看到可以支持回环接口抓包的平台信息。

 

支持的平台

看看CaptureSetup/NetworkMedia 来了解 Wireshark 所支持的平台。总结一句话:可以在 Linux 、类 BSD 包括 Mac OS X Digital/Tru64 Unix 上抓取回环接口报文,可能能在 Irix AIX 上使用,而在 Solaris HP-UX Windows 下则不能抓取回环接口报文。

 

Windows

IP 127.0.0.1

You can't capture on the local loopback address 127.0.0.1!

你不能在回环接口地址 127.0.0.1 上抓包!

IP Other

其他 IP

你可以增加一个虚拟网络适配器设备叫做Microsoft Loopback Adapter ,但是大部分时间不会得到想要的结果。

这个网络适配器可以通过下面的方法安装( Windows 2003/ XP / 2000 ):

... 需要注意是,这里的回环接口和大部分 UN*X 系统中的表现是不一样的。这个适配器是一个可以增加的虚拟网卡设备,但是它不是工作在 127.0.0.1 IP 地址上的,而是有着自己的 IP 地址。另外,你只能在系统中增加一个回环接口设备。

注意:在此回环接口上抓包需要 WinPcap 3.1,3.1 beta 版本都不行。

 

我们假设你已经将此回环接口地址设置为 10.0.0.10 ,并且正在此接口上抓包。如果你 ping 这个 10.0.0.10 地址并在此接口上抓包,在 Wireshark 中还是看不到任何的流量(和 127.0.0.1 问题是一样的)。如果你 ping 10.0.0.11 地址,因为没有这个远程主机,所以得不到任何的 ping 响应,但是你可以在 Wireshark 中看到相应的 ARP 请求。

UlfLamping :到现在为止我看到这样做的唯一好处是和 colinux (或者其他的 PC 虚拟软件)一起使用,用来抓取 Windows 和虚拟机之间的报文。

 

mitra :如何在 Windows XP 上抓取 Microsoft 回环接口的流量报文:

1. 打开 Microsoft 回环接口的属性,设置 IP 为10.0.0.10,掩码为255.255.255.0
2. 使用ipconfig /all 然后查看新网络适配器的 MAC-ID

3. arp -s 10.0.0.10 <MAC-ID>
4. route add 10.0.0.10 10.0.0.10 mask 255.255.255.255

5. 测试: "telnet 10.0.0.10"

 

Scott Vermillion:现在我是用回环接口来抓取到Dyanmips/Dynagen虚拟路由网络的流量。我将在后面一段时间来测试这个游泳的特性 / 工具。事实是这样,我可以连接回环接口和虚拟路由接口来抓取 ping arp 等报文。以后我希望将连接服务器的回环接口到虚拟路由,然后抓取在Dynamips/Dynagen虚拟网络中的所有类型报文。

 

saran :怎样获取Microsoft回环接口网络适配器的属性?在“全部网络接口”中右键选择“属性”即可。

 

另外的选择

一种叫 CommView TamoSoft 公司出品)的商业网络抓包软件可以来抓取回环接口的报文,但是它只能解析比较少的协议,所以可以通过 CommView 来抓包并保存到文件中,并在 Wireshark 中打开。

另外一种可选的方法是在你的机器上增加一个通过到网关的路由:

route add <your_IP> mask 255.255.255.255 <the_gateway> metric 1

这里的<your_IP>是和 127.0.0.1 不同的。应该是 ipconfig 命令结果中的 IP 地址域。<the_gateway>则需要是 ipconfig /all 命令结果中的默认网关域。

这样做之后,所有发往本机的网络流量都会使用物理网络接口,将会到达网关,然后回到主机上。因此,每个报文都会看到两次,而这在视图中可以通过过滤器来解决。

需要注意的是,由于你的机器将使用真实的网卡来和自己通信,所以有可能造成网络的过载。在完成测试后最好是删除这条路由:

route delete <your_IP>

 

本文是根据法文版 提供的方法翻译而成。

2
1
分享到:
评论
2 楼 hsluoyz 2015-12-30  
现在Nmap项目基于WinPcap推出的改进版本Npcap for Nmap已经可以直接抓Windows回环地址127.0.0.1的报文了,安装Npcap后会自动生成Npcap Loopback Adapter网卡,在Wireshark中选择此网卡即可抓包。Npcap的下载地址为:https://github.com/nmap/npcap
1 楼 jpacm 2011-03-24  
这个方法还是抓不到。。。

相关推荐

    hp_unix抓包

    nettl适用于多种情况,包括在回环接口上抓包,这对于某些特定场景非常有用。以下是nettl的主要使用方法和相关参数的详细解释: 1. **启动抓包服务** 使用`#nettl -start`命令启动抓包服务。 2. **设置抓包参数** ...

    wireshark抓取本地回环数据包和取出数据的方法

    进行抓包操作时,就可以看到通过本地回环接口传输的数据包了。 最后,要注意的是,尽管上述提到的方法可以解决在Windows环境下通过Wireshark捕获本地回环接口数据包的问题,但实际操作中可能还会受到其他因素的影响...

    RawCap抓包

    在这个场景中,我们主要关注的是使用RawCap对回环地址127.0.0.1的抓包操作。 首先,理解回环地址是至关重要的。127.0.0.1是一个特殊的IP地址,通常称为本地主机或localhost。这个地址用于设备向自身发送网络数据包...

    WSockExpert抓包工具

    1. **安装与启动**:下载并安装WSockExpert,启动后,选择要监听的网络接口,通常默认选择本地回环接口(127.0.0.1)。 2. **配置过滤器**:在“过滤”选项中设置过滤条件,例如只显示特定端口或协议的数据包。 3....

    udp_v4_FPGAUDP通信回环_UDP_udp收发_

    可以使用软件工具(如Wireshark)抓包分析,或者设计专门的测试用例,例如发送特定的数据序列,然后检查返回的数据是否与发送的完全一致。 总的来说,FPGA实现UDP通信回环是一个涉及网络协议理解、硬件接口设计和...

    网络抓包与ping测试.pdf

    1. ping本机回环地址(如127.0.0.1):检查本地网络接口和TCP/IP协议栈是否工作正常。 2. ping本机IP地址:验证本地网络配置是否正确。 3. ping网关IP:测试到路由器的连通性,确保数据包能通过网络路由。 4. ping...

    linux系统主机双网卡环回测试.pdf

    可以使用抓包工具进行抓包,可以验证 ICMP 报文已经在外部进行环回。 结论 ---- Linux 系统下的双网卡主机回环测试可以验证路由器或交换机的性能和稳定性。通过使用双网卡连接到路由器或交换机的两个接口,并使用 ...

    npcap-0.80

    windows系统没有提供本地回环网络的接口,用wireshark监控网络的话只能看到经过网卡的流量,看不到访问localhost的流量,因为wireshark在windows系统上默认使用的是WinPcap来抓包的,现在可以用Npcap来替换掉WinPcap...

    山石云·格WebUI手册V2.9.2

    - **接口配置**涉及到回环接口、以太网子接口和VSwitch接口的创建与编辑,以适应不同的网络环境。 - **DNS配置**允许用户设定DNS服务器、DNS代理及其规则,以优化网络解析性能和安全。 4. **对象与虚拟机管理**:...

    TMS320C6748开发例程(17)

    - 使用“xcap.exe”软件进行网络包的捕获,并按照指示操作该软件以抓包。 - 通过修改Socket.c文件中的MAC地址并重新编译,加载RawSocket.out文件后进行数据收发测试。 3. EDMA3一维数据传输: - EDMA3代表第三代...

    8080抓服务器工具

    2. 开始捕获:打开Wireshark,选择要监听的网络接口(通常是本地回环或特定的网络适配器),然后启动捕获。 3. 连接至8080端口:在浏览器或其他应用程序中访问使用8080端口的Web服务器。 4. 分析数据:Wireshark会...

    winpcap用户指南

    - `PCAP_IF_LOOPBACK0x00000001`:标记接口是否为回环接口。 7. **自定义类型**: - `bpf_int32`:32 位整型。 - `bpf_u_int32`:32 位无符号整型。 - `pcap_t`:用于描述一个已打开的捕获实例的描述符。 - `...

    Linux内核bridge浅析.doc

    这个函数首先检查数据包是否需要被抓包程序捕获,然后进行桥接处理,最后将数据包传递给网络层。在处理桥接的过程中,`handle_bridge`函数起着关键作用。它会检查数据包是否属于回环设备或是否已被任何网桥包含。...

    RawCap.exe

    回环链路是一种特殊的网络接口,在IP层面上,其IP地址通常为127.0.0.1,也被称为本地主机或localhost。它用于设备在不通过物理网络的情况下测试自身的网络堆栈,例如,当一个应用程序需要发送数据到自身时,可以通过...

    Fiddler安装包

    4. **排除本地主机**:若不希望Fiddler监听本地回环接口(127.0.0.1或localhost)的流量,可在"Fiddler Options"的"Hosts"选项卡中添加相关规则。 5. **启动调试**:打开Fiddler软件,它将自动开始捕获网络流量。当...

    dnsmasq配置详解

    #### 六、抓包工具 tcpdump 使用方法 在 Linux 系统中,可以使用 `tcpdump` 工具来捕获网络数据包,这对于分析网络流量和诊断网络问题非常有用。例如,要捕获特定网卡上的所有 DNS 流量,可以运行如下命令: ```...

Global site tag (gtag.js) - Google Analytics