windows 用wireshark抓原生包

標籤：idt   開啟   來源   網卡驅動   伺服器端   管理員   AC   oop   mask   

原文： http://bijian1013.iteye.com/blog/2299856

1.也可以用另外一個工具： RawCap

當然也不是說windows下就別想抓到本地迴路的包了，肯定有別的方法，網上貌似說commview可以抓到本地迴路的包。

還有一個綠色，小巧（17K）的開源軟體RawCap也可以抓到。（：http://www.netresec.com/?page=RawCap），將抓到的包儲存為pcap尾碼，用wireshark開啟，就可以繼續分析了。

 

 

 

---------------------------------------------------------------------------------

     在進行通訊開發的過程中，我們往往會把本機既作為用戶端又作為伺服器端來調試代碼，使得本機自己和自己通訊。但是wireshark此時是無法抓取到資料包的，需要通過簡單的設定才可以。 

        具體方法如下：

方法一：

        1.以管理員身份運行cmd

        2.route add 本機ip mask 255.255.255.255 網關ip

        如：route add 172.16.51.115 mask 255.255.255.255 172.16.1.1

        使用完畢後用route delete 172.16.51.115 mask 255.255.255.255 172.16.1.1刪除，否則所有本機報文都經過網卡出去走一圈回來很耗效能。

        此時再利用wireshark進行抓包便可以抓到本機自己同自己的通訊包，這樣配置的原因是將發往原生包發送到網關，而此時wireshark可以捕獲到網卡驅動的報文實現抓包。

        但這樣有一個缺點，那就是本地請求的URL的IP只能寫本地的IP地址，不能寫localhost或127.0.0.1，寫localhost或127.0.0.1還是抓不到包。

 

方法二：

        windows系統沒有提供本地迴環網路的介面，用wireshark監控網路的話只能看到經過網卡的流量，看不到訪問localhost的流量，因為wireshark在windows系統上預設使用的是WinPcap來抓包的，現在可以用Npcap來替換掉WinPcap，Npcap是基於WinPcap 4.1.3開發的，api相容WinPcap。

1.下載安裝包

        Npcap項目首頁，它採用的是MIT開源協議，Npcap下載

2.安裝

        安裝時要勾選 Use DLT_NULL protocol sa Loopback ... 和 install npcap in winpcap api-compat mode，如下所示。

        如果你已經安裝了wireshark, 安裝前請先卸載WinPcap。

        如果還提示WinPcap has been detected之類的，那就將C:\Windows\SysWOW64下的wpcap.dll修改為wpcap.dll.old，packet.dll修改為packet.dll.old，也可參考：https://nicolask.wordpress.com/2012/09/23/solved-winpcap-4-12-install-error/。

        當然，如果還沒有安裝wireshark安裝，安裝wireshark不要安裝WinPcap了。

        安裝完成啟動wireshark, 可以看到在網路介面列表中，多了一項Npcap Loopback adapter，這個就是來抓本地迴環包的網路介面了，開啟後如：

        它不僅可以抓URL是localhost的，也可以是127.0.0.1。

        當然，抓本機IP也是完全可以的。

文章來源：http://www.oschina.net/question/133867_108525?fromerr=GpyhsmXr

http://www.cnblogs.com/wangweihan/archive/2011/01/13/1934459.html

http://blog.techbeta.me/2015/12/wireshark-Loopback/

windows 用wireshark抓原生包