wireshark抓本地回环包

最新推荐文章于 2025-06-06 10:50:31 发布
最新推荐文章于 2025-06-06 10:50:31 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/hnhycnlc888/p/9325067.html
本文介绍如何使用Wireshark结合WinPcap或Npcap,在Windows系统中抓取本地回环网络流量,包括通过routeadd命令配置本地流量转发,以及使用Npcap替换WinPcap以支持localhost和127.0.0.1流量抓取的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

方法一:Wireshark+WinPcap+route add实现

1.以管理员身份运行cmd

2.route add 本机ip mask 255.255.255.255 网关ip

如:route add 192.168.1.70 mask 255.255.255.255 192.168.1.1

!!!!!!此方法 会导致 与 外部 一些计算机的 通信乱掉,外面ping本机不通。原因可能是网关路由表乱了。

3.此时再利用wireshark进行抓包便可以抓到本机自己同自己的通信包,这样配置的原因是将发往本机的包发送到网关,而此时wireshark可以捕获到网卡驱动的报文实现抓包。

4.使用完毕后用route delete 172.16.51.115 mask 255.255.255.255 172.16.1.1删除,否则所有本机报文都经过网卡出去走一圈回来很耗性能。

注意这样有一个缺点,那就是本地请求的URL的IP只能写本地的IP地址,不能写localhost或127.0.0.1,写localhost或127.0.0.1还是抓不到包。

以下未测:

===========================================

windows系统没有提供本地回环网络的接口,用wireshark监控网络的话只能看到经过网卡的流量,看不到访问localhost的流量,因为wireshark在windows系统上默认使用的是WinPcap来抓包的,现在可以用Npcap来替换掉WinPcap,Npcap是基于WinPcap 4.1.3开发的,api兼容WinPcap。

1.下载安装包

Npcap项目主页,它采用的是MIT开源协议,Npcap下载

2.安装

安装时要勾选 Use DLT_NULL protocol sa Loopback … 和 install npcap in winpcap api-compat mode,如下所示。

如果你已经安装了wireshark, 安装前请先卸载WinPcap;当然,如果还没有安装wireshark安装,安装wireshark不要安装WinPcap了。
使用winpcap安装目录下自带的uninstall.exe卸载
查找winpcap的关键模块,手动删除

32位系统winpcap关键模块
  C:\Windows\system32\wpcap.dll
  C:\Windows\system32\Packet.dll
  C:\Windows\system32\WanPacket.dll
  C:\Windows\system32\pthreadVC.dll
  C:\Windows\system32\drivers\npf.sys

64位系统winpcap关键模块:
  C:\Windows\SysWOW64\wpcap.dll
  C:\Windows\SysWOW64\Packet.dll
  C:\Windows\SysWOW64\WanPacket.dll
  C:\Windows\SysWOW64\pthreadVC.dll
  C:\Windows\System32\drivers\npf.sys

3.安装完成启动wireshark, 可以看到在网络接口列表中,多了一项Npcap Loopback adapter,这个就是来抓本地回环包的网络接口了。

它不仅可以抓URL是localhost的,也可以是127.0.0.1,当然,抓本机IP也是完全可以的。

mtAsnow
关注
Wireshark本地回环
Map的博客
04-14 2万+
目录 1. 场景描述 2. 方法一:(Wireshark+Npcap实现) 3.方法二:(Wireshark+WinPcap+route add实现)--推荐 1. 场景描述 为什么Wireshark本地回环无法? 因为发往本机的数据是通过回环地址的,即:数据不会通过真实的网络接口发送,因此我们需要通过设置路由规则来让本来发到虚拟网络接口的数据发送到真实网络接口即可。...
wireshark图解、过滤器使用
lgstudyvc的专栏
08-19 3182
------------ wireshark是非常流行的网络封分析软件,功能十分强大。可以截取各种网络封,显示网络封的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封,而不能修改封的内容,或者发送封。   wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,
Wireshark和分析,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-28 1252
看完这篇文章,你是不是感觉Wireshark也没那么难了?只要掌握了基本概念和操作,你就可以像一位经验丰富的。
wireshark本地回环数据
NeoMc的技术博
04-30 1万+
通常wireshark中不可以直接取本地的回环数据,比如写一个小socket程序,client和server都在本地,这种数据wireshark是不能直接取的。但可以通过以下配置达到此目的:windows下,在命令行中输入以下语句:route add 192.168.1.106 mask 255.255.255.255 192.168.1.1metric 1其中,192.168.1.106是本机ip, 192.168.1.1是路由网关。其他都不变。试试,是不是成功了?:)另外,wireshark官网
Wireshark怎么并分析(非常详细),从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-06 6175
看完这篇文章,你是不是感觉Wireshark也没那么难了?只要掌握了基本概念和操作,你就可以像一位经验丰富的。
Wireshark使用(捕获过滤器、显示过滤器、TCP交互示例、本地回环数据等)
呓语煮酒的博客
11-15 1437
Wireshark使用(捕获过滤器、显示过滤器、TCP交互示例、本地回环数据等)
wireshark 本地回环
爪白白的个人博客
02-28 4226
如图,点击选择Loopback:io选项即可
wireshark本地回环数据
热门推荐
renwotao2009的专栏
10-22 2万+
wireshark本地回环数据一 The NPF driver isn’t running这个错误是因为没有开启NPF服务造成的。NPF即网络数据过滤器(Netgroup Packet Filter,NPF)是Winpcap的核心部分,它是Winpcap完成困难工作的组件。它处理网络上传输的数据,并且对用户级提供可捕获(capture)、发送(injection)和分析性能(analysi
Wireshark本地回环网络
zengliguang的专栏
01-04 3721
因为发往本机的数据是通过回环地址的,即:数据不会通过真实的网络接口发送,因此我们需要通过设置路由规则来让本来发到虚拟网络接口的数据发送到真实网络接口即可。场景描述:在网络程序开发的过程中,有时候会把本机既作为客户端又作为服务器端来调试代码,使得本机自己和自己通信。但是wireshark此时是无法取到数据的,需要通过简单的设置才可以。
Wireshark在本机环回接口上
听海边涛声
10-26 1576
Wireshark在本机环回接口上
wireshark本地回环数据和取出数据的方法
10-26
NPF是WinPcap库的一部分,而WinPcap又是Wireshark功能的核心依赖。因此,如果遇到“The NPF driver isn't running”的错误信息,很可能是因为NPF服务没有被启动。 要解决这个问题,有以下几个步骤: 1. 确保...
环路RawCap(WiresharkPortable).zip
06-02
环路RawCap和WiresharkPortable工具合集,可以检测网络是否是环路造成的故障,先用RawCap,再用WiresharkPortable进行分析,配合起来,非常棒。
Wireshark 本地回环数据
独学而无友,则孤陋而寡闻
11-07 9102
当我们使用Wireshark取数据的时候发现只能取别的机器上的数据,如果是本机的服务访问的是则发现好像不到。这是因为发往本机的数据是通过回环地址的,即:数据不会通过真实的网络接口发送,因此我们需要通过设置路由规则来让本来发到虚拟网络接口的数据发送到真实网络接口即可。 route add mask 255.255.255.255 metric 1windows下执行cmd,先执
利用Wireshark本地回环数据及宿主机、虚拟机数据进行
weixin_43046297的博客
05-17 9660
最近实验室布置了一个作业:首先编写通信程序,后利用wireshark对我编写的通信程序中传递的数据进行取并进行解析。 一、本地回环数据取 首先是通信程序的编写,编写了基于socket的通信程序,为了简便讲解,以下我选取了一个非常简单的socket通信程序: import socket import sys HOST='' PORT=6666 s=socket.socket(soc...
Wireshark本地回环
weixin_30892889的博客
03-17 203
最近正好要分析下本机两个端口之间通信状况。于是用wireshark分析。对于本地回环要进行一些特殊的设置。 1.通过“运行”---“cmd” 输入“route add 【本机IP】mask 255.255.255.255 【子网掩码】metric 1" 用完记得删除,删除命令为:”route delete [本机IP]“ 本机IP和子网掩码可以通过”运行“=”cmd“=”ipco...
wireshark 本地回环 本地websocket
so_do_it的博客
12-25 1709
wireshark 本地回环不到。安装一个插件就可以了 Npcap 我的安装过程 1. 安装Npcap 官网 https://nmap.org/download.html 安装的时候 记得勾选legacy loopback support for 这个选项 2. 安装wireshark 默认安装就行 3. 安装完成后运行 wiresh...
wireshark
哎呀妈呀脑壳疼脑壳疼
09-27 246
wireshark 参考:http://www.cnblogs.com/EasonJim/p/7123058.html 最近在分析docker有关的网络。学习了iptables基本知识,但还是看不懂,想借用工具分析下报文是如何流向的   posted on 201...
进行本地回环
weixin_44421186的博客
12-09 1132
使用WireShark进行的时候无法到。一开始以为是程序的问题,后面发现也不太对,客户端和服务器已经可以进行通信了。后面我查了一下发现WireShark不能进行本地回环,如果要实现本地回环需要下载NpCap。但是这两个应该是一起安装的,但是我这边没有找到。链接:https://pan.baidu.com/s/1z1nn26lqcgzlvBGYoZSjOA?
wireshark取本地环回
kagurawill的博客
07-27 1934
当我们使用Wireshark取数据的时候发现只能取别的机器上的数据,如果是本机的服务则发现好像不到。这是因为发往本机的数据是通过回环地址的,即:数据不会通过真实的网络接口发送,因此我们需要通过设置路由规则来让本来发到虚拟网络接口的数据发送到真实网络接口即可。 1、添加路由规则: route add <your_IP> mask 255.255.255.255 <the_gateway> metric 1 windows下打开命令行接口(cmd),先执行ipconf
wireshark本地的
01-03
### 使用Wireshark捕获本地网络流量 #### 配置环境以支持回环数据捕捉 由于默认情况下,Wireshark无法直接获取本机产生的发往自身的数据(即回环数据),因为这些数据不经过物理网卡而是通过操作系统内部处理完成传输过程。为了能够监视这类通信,需依据所使用的平台采取特定措施[^1]。 对于Linux系统而言,通常已经内置了对lo(loopback)接口的支持,可以直接启动Wireshark并选择`lo`作为监听目标来进行监控工作;而在Windows平台上,则可能需要安装额外驱动程序如WinPcap/Npcap来实现这一目的,并且有时还需要调整系统的路由表使得原本应该走回路的数据改道至实际存在的网络适配器上流动以便于被捕获工具识别[^2]。 #### 设置Wireshark进行本地流量监测 一旦完成了上述必要的前期准备工作之后: - 启动Wireshark应用程序。 - 在界面中找到并点击“Capture(捕获)”菜单下的“Options...”,这会弹出一个新的窗口用于配置具体的捕捉参数。 - 如果是在Windows环境中操作并且想要确保能接收到所有的来回程通讯记录,记得勾选显示出来的每一个可用的网络连接设备选项——即使某些时候看起来像是未被激活的状态也无妨[^3]。 另外值得注意的是,在Mac OS X以及部分较新的Unix-like系统版本里,可以通过指定使用BPF Berkeley Packet Filter机制的方式增强效率与兼容性表现[^4]。 #### 应用过滤条件聚焦所需信息 当准备就绪可以开始收集日志文件之前,建议先设定好恰当的捕获筛选表达式,这样有助于减少不必要的冗余条目数量从而提高后续分析的速度和准确性。比如针对TCP/IP协议栈内的HTTP请求响应交换活动,就可以输入类似于`tcp port http or tcp port https`这样的语句[^5]。 ```bash # 示例:仅保留来自或去往localhost (IPv4: 127.0.0.1 或 IPv6: ::1) 的所有IP层及以上层次的数据报文 host 127.0.0.1 or host ::1 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值