Existe-t-il un moyen d'obtenir Wireshark pour capturer les paquets envoyés depuis / vers l'hôte local sous Windows?

17

Existe-t-il un moyen d'obtenir Wireshark pour capturer les paquets envoyés depuis / vers l'hôte local?

Lorsque je surveille le trafic allant de mon ordinateur à un autre ou d'un autre ordinateur à mon ordinateur, cela fonctionne. Mais de localhost à localhost n'enregistre rien.

networking localhost network-monitoring wireshark Brian R. Bondy
la source
quelle plateforme? Les fenêtres? Mac? Linux?
Jeff Atwood
1
Particulièrement sous Windows
Brian R. Bondy
Veuillez essayer Npcap: github.com/nmap/npcap , il est basé sur WinPcap et prend en charge la capture de trafic en boucle sur Windows. Npcap est un sous-projet de Nmap ( nmap.org ), veuillez donc signaler tout problème sur la liste de développement de Nmap ( seclists.org/nmap-dev ).
Yang Luo

Réponses:

23

Il y a une entrée WIKI sur exactement ce problème sur la page d'accueil de Wireshark.

Ils mentionnent également des détails sur l'interface de bouclage concernant Windows - vous pourriez être juste en train de le faire.

Vous ne pouvez pas capturer sur l'adresse de bouclage locale 127.0.0.1 avec un pilote de capture de paquets Windows comme WinPcap.

serveurhorreur
la source
Voulez-vous expliquer pourquoi cela est rejeté?
serverhorror
Je n'ai pas voté contre, mais probablement parce que même les questions de base qui ont des solutions faciles à trouver sont encouragées sur ce site et stackoverflow.com. La réponse est bonne mais le ton ne l'est pas. Pensez à le modifier et je pense qu'il sera voté.
Brian R. Bondy
Je suis désolé, je ne suis pas un locuteur natif anglais (je suppose que je ne suis pas le seul). J'essaierai d'y penser à l'avenir.
serverhorror
+1 pour connaître et ajouter le lien.
l0c0b0x
2
Pourrait vouloir ajouter la citation rapide "Vous ne pouvez pas capturer sur l'adresse de bouclage locale 127.0.0.1 avec un pilote de capture de paquets Windows comme WinPcap." de la page liée pour nous épargner le suspense ...
andersoj
5

Dans Wireshark, vous devez choisir l' interface lo0 ... pas En0 ou En1.

Aller à:

  • Afficher les options de capture
  • Sous "Interface", choisissez: lo0
  • Capturez et vous verrez un tas de communications 127.0.0.1
l0c0b0x
la source
sur Windows, bien sûr, je ne pense pas que vous puissiez le faire sans ajouter en quelque sorte une interface de bouclage manuellement.
djangofan
oui, le document disait:you can capture on the loopback interface on Linux, on various BSDs including Mac OS X, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Allan Ruin
Sur OSX yosemite, cela a fonctionné!
James111
4

vous pouvez utiliser l' application RawCap pour capturer des paquets de bouclage et les enregistrer dans un fichier pcap ... puis vous pouvez l'ouvrir à l'aide de Wireshark

Amr Thabet
la source
1

Vous souhaitez exécuter Wireshark sur l'interface "lo" ou sur "any".

Avec tshark ou tcpdump, vous pouvez utiliser l'option -i:

# tcpdump -i n'importe quel port http

(Ceci est principalement applicable à Linux)

David Pashley
la source