通过套接字发送本地的数据包不会通过真实的网络接口发送,而是通过回环地址。因此,如果需要分析发往本机的网络数据包,需要Wireshark在回环地址上抓包。
关键的Npcap程序
windows系统没有提供本地回环网络的接口,用wireshark监控网络的话只能看到经过网卡的流量,看不到访问localhost的流量,因为wireshark在windows系统上默认使用的是WinPcap来抓包的,现在可以用Npcap来替换掉WinPcap,Npcap是基于WinPcap 4.1.3开发的,api兼容WinPcap。
Npcap 是 Nmap 项目的 Microsoft Windows 数据包捕获(和发送)库。它使用自定义 Windows 内核驱动程序以及我们的 Windows 版本的优秀 libpcap 库来实现开放Pcap API。这允许 Windows 软件使用简单、可移植的 API 捕获原始网络流量(包括无线网络、有线以太网、本地主机流量和许多 VPN)。 Npcap 现在提供:
- 环回数据包捕获和注入
- 支持所有当前 Windows 版本
- Libpcap API
- 支持所有 Windows 架构(x86、x86-64 和 ARM)
- 额外的安全性
- WinPcap 兼容性
- 原始(监控模式)802.11 无线捕获
Wireshark安装注意事项
安装Wireshark 3.4.4时,其安装包内置了Npcap的安装程序,但是安装时需要注意需勾选兼容WinPcap选项,否则Wireshark将找不到Adapter for loopback traffic capture网口。
参考链接
- Wireshark本地回环网络抓包,by 三希.
- Wireshark之本地回环抓包,by Word哥.
- Npcap: Packet capture library for Windows,by npcap.