Sniffer pour localhost (Windows OS)

Je suis à la recherche d'un sniffer qui peuvent travailler avec l'adresse de bouclage dans Windows.

Jusqu'à présent, j'ai trouvé le Moniteur Réseau Microsoft qui est un bel outil, mais pour localhost c'est inutile parce que sur Windows, localhost paquets ne passe pas à travers le réseau régulier de la pile, de sorte qu'ils sont invisibles à un réseau ethernet sniffer comme MS Moniteur Réseau.

Comment déboguer les applications qui envoient des données dans le mécanisme de bouclage? Tout bon (open source) renifleurs qui peuvent travailler avec localhost?

Mise à JOUR: Si vous avez de l'expérience avec un outil, il serait agréable d'avoir une courte description pour référence future

  • S'il vous plaît essayer Npcap: github.com/nmap/npcap, il est basé sur WinPcap et prend en charge de bouclage de la circulation de la capture sur Windows. Npcap est un sous-projet de Nmap (nmap.org), donc merci de signaler tout problème sur Nmap développement de liste (seclists.org/nmap-dev).
InformationsquelleAutor citn | 2009-10-14
  1. 59

    J'ai été confronté à ce problème et a obtenu nulle part après beaucoup de recherche. Fondamentalement, tous disponibles renifleurs de s'appuyer sur le réseau pilote de pile, et Windows n'exposez pas localhost appels à travers elle.

    Ce que j'ai utilisé était un outil appelé SocketSniffer, que des pics de Winsock appels et de surveiller TCP, UDP socket connexions. Il m'a aidé à déboguer un problème d'application qui ne s'est produite que dans win 2k3.

    Son site de téléchargement est à http://www.nirsoft.net/utils/socket_sniffer.html

    Notez que cela ne fonctionne plus sous Windows 8. Des Messages de Microsoft de l'Analyseur de est maintenant capable de renifler de bouclage de la circulation hors de la boîte. Blog officiel de poster ici: http://blogs.msdn.com/b/winsdk/archive/2014/08/15/rejoice-we-can-now-capture-loopback-traffic.aspx

    • Oui, maintenant je vois mon localhost paquets. Merci pour le sniffer outil. Je vais l'ajouter à ma débogage "boîte à outils".
    • +1 Vraiment utile
    • ne pas voir certains processus du système (c'est à dire, serveur smtp)
    • C'est très utile. Mais pour une analyse plus approfondie, vous pouvez utiliser RawCap + Wireshark. Voir Erik réponse de.
    • En fait: "Le principal problème avec le format raw prise en reniflant dans Vista et Win7, c'est que vous risquez de ne pas recevoir les paquets entrants (Win7) ou les paquets sortants (Vista). Si vous ne voulez sniff à partir de localhost/loopback (127.0.0.1) cependant, puis une version plus récente de Windows fonctionne réellement mieux que les vieux XP. Lorsque renifler à partir de localhost dans Windows XP, vous ne être en mesure de capturer UDP et ICMP de la circulation, et non TCP. Mais TCP, UDP et ICMP paquets peuvent tous être détecté correctement à partir de localhost sur Windows Vista ainsi que Windows 7." (À partir de netresec.com/?page=RawCap)
    • Je l'ai testé(SocketSniff) sur windows 2008 R2, vous pouvez capturer l'adresse 127.0.0.1, mais pas localhost.
    • Ne fonctionne pas pour moi sur Windows 8 Failed to start the socket sniffer: Error code: 65521 This error may occur if the socket dll in the selected process is not initialized
    • Ne fonctionne plus avec W8
    • Des Messages de Microsoft de l'Analyseur est capable maintenant de détection de bouclage de la circulation hors de la boîte. Blog officiel de poster ici: blogs.msdn.com/b/winsdk/archive/2014/08/15/...
    • Des Messages de Microsoft de l'Analyseur fait très bien pour moi... Ne connaissais pas ce logiciel 🙂
    • Nouvelle URL de téléchargement pour Message Analyzer: microsoft.com/en-us/download/details.aspx?id=44226

    InformationsquelleAutor Rafael Nobre
  2. 33

    Il y a un nouvel outil pour Windows qui permet de capturer looback /localhost trafic réseau. Il est appelé RawCap et est disponible ici:
    http://www.netresec.com/?page=RawCap

    Juste de commencer à RawCap de ce genre pour renifler l'interface de bouclage:
    RawCap.exe 127.0.0.1 localhost.ppce

    Vous pouvez ensuite ouvrir localhost.ppce dans Wireshark ou toute autre ppce de l'analyseur à regarder la capured trafic.

    Btw. non seulement est RawCap en mesure de détecter le bouclage du trafic sur Windows, il peut également renifler votre interface WiFi ainsi que les interfaces PPP telles que la 3G/UMTS connexions.

    • Notez bien que: "Le principal problème avec le format raw prise en reniflant dans Vista et Win7, c'est que vous risquez de ne pas recevoir les paquets entrants (Win7) ou les paquets sortants (Vista). Si vous ne voulez sniff à partir de localhost/loopback (127.0.0.1) cependant, puis une version plus récente de Windows fonctionne réellement mieux que les vieux XP. Lorsque renifler à partir de localhost dans Windows XP, vous ne être en mesure de capturer UDP et ICMP de la circulation, et non TCP. Mais TCP, UDP et ICMP paquets peuvent tous être détecté correctement à partir de localhost sur Windows Vista ainsi que Windows 7."
    • J'ai remarqué que je ne peut capturer des paquets UDP et TCP des paquets SYN sous Windows 7 x86-64) à l'aide de RawCap, pour ce que ça vaut, ce qui le rend inutilisable.
    • J'ai tester sur windows 2008 R2, ne peut pas capturer le trafic via les url HTTP de localhost et 127.0.0.1
    • Je reçois tous les paquets TCP sur Windows 7 64-bit avec RawCap. Peut-être il y avait un bug dans la version que vous avez utilisé à l'époque?
    InformationsquelleAutor Erik
  3. 5

    Je crois que vous pouvez faire http://localhost./ (note de la période à la fin) à la force localhost des paquets à travers le réseau régulier de la pile.

    Cela fonctionne pour http arriver à être reconnu par un outil comme fiddler - pas sûr d'autres protocoles.

    • Avec un violon, vous pouvez aussi simplement utiliser des ipv4.fiddler bien sûr, l'OP ne mentionne pas si il veut voir HTTP(S) de trafic.
    • Je ne le savais pas, merci pour l'info Eric. Il ressemble à ceci ne fonctionne que quand fiddler s'exécute bien, correct?
    • Oui, "l'ipv4.fiddler" est mis en œuvre par Fiddler, de sorte qu'il ne résout quand Fiddler est en cours d'exécution.
    InformationsquelleAutor Michael Gattuso
  4. 2

    J'ai un problème lorsque je veux surveiller le trafic sur localhost après la mise en place SelfSSL sur elle. Après des recherches sur d'autres outils utiles, j'ai trouvé fidllre en quelque sorte approprié pour ma question
    vous devriez essayer ce Fiddler pour Http et Https

    Espère que cela vous aidera!

    • J'aime le violon trop!
    InformationsquelleAutor Gholamreza Fathpour
  5. -5

    Je recommanderais Wireshark, il peut se brancher sur n'importe quel réseau de l'appareil et offre quelques belles utilitaires à l'analyse de la circulation, et en plus c'est un logiciel libre.

    • plus wireshark est disponible pour Windows, Mac OS x (Intel et PPC) et Linux -- nous l'utilisons tout le temps (bon, fois par mois au moins).
    • J'ai trouvé une remarque intéressante sur wiki.wireshark.org/CaptureSetup/Loopback: "Vous pouvez ajouter une carte réseau virtuelle appelée Carte de Bouclage Microsoft, mais dans la plupart des cas qui pourraient ne pas donner les résultats comme prévu soit.". Donc, cela signifie qu'il a quelques inconvénients. De toute façon, il semble prometteur.
    • Je ne peux pas voir une chose avec Wireshark, quand il s'agit de localhost.
    • Wireshark ne fonctionne pas pour l'adresse de bouclage sous Windows comme demandé par l'O. P.
    • À l'aide de la Carte de Bouclage ne fonctionne pas du tout pour moi. J'ai fini par utiliser RawCap de capturer et de WireShark pour analyser.
    • Wireshark prend en charge de bouclage de capture lorsqu'il est utilisé conjointement avec NPcap.

    InformationsquelleAutor psychoschlumpf