在 Windows 上跑 Wireshark,居然沒辦法截取 loopback address 127.0.0.1 的網路封包,據說是 Windows 的 TCP/IP stack 沒實作 loopback interface 的關係。真相究竟為何,實在沒辦法沒能力也沒空繼續看下去。幸好,剛發現有支叫 RawCap 的工具可以抓 Windows 上 localhost 的網路封包,所以還是有解的,只要以 RawCap 抓到封包後,再用 Wireshark 來呈現與分析封包就行了。
RawCap 可以在底下的網址取得:
我們必須用 Administrator 的身分執行 RawCap,以 rawcap --help
指令看使用說明,rawcap 同時會列出所有可用的 interfaces:
要抓 loopback 的網路封包,只要輸入以下指令:
rawcap 127.0.01 dumpfile.pcap
截取到網路封包後,再用 Wireshark 開啟資料檔 dumpfile.pcap 就可以分析囉: