Wireshark回环地址抓包问题

发表于 | 评论数: | 阅读次数:

通过套接字发送本地的数据包不会通过真实的网络接口发送,而是通过回环地址。因此,如果需要分析发往本机的网络数据包,需要Wireshark在回环地址上抓包。

关键的Npcap程序

windows系统没有提供本地回环网络的接口,用wireshark监控网络的话只能看到经过网卡的流量,看不到访问localhost的流量,因为wireshark在windows系统上默认使用的是WinPcap来抓包的,现在可以用Npcap来替换掉WinPcap,Npcap是基于WinPcap 4.1.3开发的,api兼容WinPcap。

Npcap 是 Nmap 项目的 Microsoft Windows 数据包捕获(和发送)库。它使用自定义 Windows 内核驱动程序以及我们的 Windows 版本的优秀 libpcap 库来实现开放Pcap API。这允许 Windows 软件使用简单、可移植的 API 捕获原始网络流量(包括无线网络、有线以太网、本地主机流量和许多 VPN)。 Npcap 现在提供:

  • 环回数据包捕获和注入
  • 支持所有当前 Windows 版本
  • Libpcap API
  • 支持所有 Windows 架构(x86、x86-64 和 ARM)
  • 额外的安全性
  • WinPcap 兼容性
  • 原始(监控模式)802.11 无线捕获

Wireshark安装注意事项

安装Wireshark 3.4.4时,其安装包内置了Npcap的安装程序,但是安装时需要注意需勾选兼容WinPcap选项,否则Wireshark将找不到Adapter for loopback traffic capture网口

参考链接

  1. Wireshark本地回环网络抓包,by 三希.
  2. Wireshark之本地回环抓包,by Word哥.
  3. Npcap: Packet capture library for Windows,by npcap.