2013年6月1日 星期六

RawCap + Wireshark 截取 loopback 封包

在 Windows 上跑 Wireshark,居然沒辦法截取 loopback address 127.0.0.1 的網路封包,據說是 Windows 的 TCP/IP stack 沒實作 loopback interface 的關係。真相究竟為何,實在沒辦法沒能力也沒空繼續看下去。幸好,剛發現有支叫 RawCap 的工具可以抓 Windows 上 localhost 的網路封包,所以還是有解的,只要以 RawCap 抓到封包後,再用 Wireshark 來呈現與分析封包就行了。

RawCap 可以在底下的網址取得:

http://www.netresec.com/?page=RawCap

我們必須用 Administrator 的身分執行 RawCap,以 rawcap --help 指令看使用說明,rawcap 同時會列出所有可用的 interfaces:

image

要抓 loopback 的網路封包,只要輸入以下指令:

  rawcap 127.0.01 dumpfile.pcap

截取到網路封包後,再用 Wireshark 開啟資料檔 dumpfile.pcap 就可以分析囉:

image