NPCap和Windows 10

时间:2018-04-12 14:37:31

标签: networking windows-10 wireshark

我正在尝试使用Wireshark在Windows 10计算机上捕获127.0.0.1的流量。我已经安装了NPCap但它似乎没有捕获到tr5affic。

查看Wireshark中的环回适配器的接口选项,我看到它的IPV4地址为0.0.0.0。这是否正确,如果是,我如何捕获本地主机流量。

谢谢, SID

2 个答案:

答案 0 :(得分:1)

捕获用于Wireshark的localhost流量的方法似乎是使用“RawCap”,然后在WireShark中检查捕获的数据。

可以从这里下载RawCap.exe - > http://www.netresec.com/?page=RawCap

西特

答案 1 :(得分:0)

Wireshark过去曾与Winpcap一起安装在幕后,但据我所知Winpcap从未支持通过本地主机捕获数据包。当然,自2013年IIRC以来,Winpcap尚未更新。

Npcap是Winpcap的受支持替代产品,它确实支持localhost数据包捕获。而且由于Wireshark现在提供的是Npcap而不是Winpcap,因此它能够捕获和显示在本地主机上捕获的数据包。

要使用该功能,请打开Wireshark。在打开的屏幕的底部,应该有一个“用于回送流量捕获的适配器”。双击它,您就离开了!

两个要点。

  1. 我正在使用Wireshark v3.2.7。

  2. 例如,从回送适配器捕获的
  3. 数据包不以以太网帧开头。它们以Wireshark称为Null / Loopback标头开始。它是一个4字节的标头,通常按big-endian顺序值为2。了解更多here

HTH