方法一:wireshark+winpcap+route add實現
1.以管理員身份執行cmd
2.route add 本機ip mask 255.255.255.255 閘道器ip
如:route add 192.168.1.70 mask 255.255.255.255 192.168.1.1
!!!!!!此方法 會導致 與 外部 一些計算機的 通訊亂掉,外面ping本機不通。原因可能是閘道器路由表亂了。
3.此時再利用wireshark進行抓包便可以抓到本機自己同自己的通訊包,這樣配置的原因是將發往本機的包傳送到閘道器,而此時wireshark可以捕獲到網絡卡驅動的報文實現抓包。
4.使用完畢後用route delete 172.16.51.115 mask 255.255.255.255 172.16.1.1刪除,否則所有本機報文都經過網絡卡出去走一圈回來很耗效能。
注意這樣有乙個缺點,那就是本地請求的url的ip只能寫本地的ip位址,不能寫localhost或127.0.0.1,寫localhost或127.0.0.1還是抓不到包。
以下未測:
windows系統沒有提供本地回環網路的介面,用wireshark監控網路的話只能看到經過網絡卡的流量,看不到訪問localhost的流量,因為wireshark在windows系統上預設使用的是winpcap來抓包的,現在可以用npcap來替換掉winpcap,npcap是基於winpcap 4.1.3開發的,api相容winpcap。
2.安裝
安裝時要勾選 use dlt_null protocol sa loopback … 和 install npcap in winpcap api-compat mode,如下所示。
如果你已經安裝了wireshark, 安裝前請先解除安裝winpcap;當然,如果還沒有安裝wireshark安裝,安裝wireshark不要安裝winpcap了。
使用winpcap安裝目錄下自帶的uninstall.exe解除安裝
查詢winpcap的關鍵模組,手動刪除
32位系統winpcap關鍵模組
c:\windows\system32\wpcap.dll
c:\windows\system32\packet.dll
c:\windows\system32\wanpacket.dll
c:\windows\system32\pthreadvc.dll
c:\windows\system32\drivers\npf.sys
64位系統winpcap關鍵模組:
c:\windows\syswow64\wpcap.dll
c:\windows\syswow64\packet.dll
c:\windows\syswow64\wanpacket.dll
c:\windows\syswow64\pthreadvc.dll
c:\windows\system32\drivers\npf.sys
3.安裝完成啟動wireshark, 可以看到在網路介面列表中,多了一項npcap loopback adapter,這個就是來抓本地回環包的網路介面了。
它不僅可以抓url是localhost的,也可以是127.0.0.1,當然,抓本機ip也是完全可以的。
wireshark 抓包問題
一 the npf driver isn t running 這個錯誤是因為沒有開啟npf服務造成的。npf即網路資料報過濾器 netgroup packet filter,npf 是winpcap的核心部分,它是winpcap完成困難工作的元件。它處理網路上傳輸的資料報,並且對使用者級提供可捕獲 ...
Wireshark抓包練習
姓名 郭瀚鵬 學號 15307130174 專業 資訊保安 dns 查詢分組 首部區域 internet protocol version 4 ipv4 src 源ip dst 目的id header length 首部長度 differentiated services 區分服務 保證qos服務的...
wireshark抓包過濾
抓指定主機icmp包 icmp and ip.host 192.168.168.65 抓指定主機tcp資料報 tcp and ip.host 172.16.10.222 tcp.flags 顯示包含tcp標誌的封包。tcp.flags.syn 0 02 顯示包含tcp syn標誌的封包。1 對源位址...