【发布时间】:2015-05-24 19:53:08
【问题描述】:
我已经对这个主题进行了大量阅读 - 捕获 windows xp localhost TCP 流量。
似乎有两种方法:
1/使用 RawCap.exe 无法正常工作,因为 Windows XP 无法通过正常的网络堆栈处理 localhost
2/使用像 SocketSniff 这样的工具来查看特定进程的 winsock 调用(我可以试试这个)
3/使用 proxocket dll 为特定应用程序的所有 winsock 流量输出一个 cap 文件(根据应用程序的版本或 windows 的版本,可能无法正常工作。
4/Wireshark 在这种情况下无法工作,原因与 RawCap.exe 无法工作的原因相同
我已经在wiresharkhttps://wiki.wireshark.org/CaptureSetup/Loopback上详细阅读了这篇文章,我的问题参考了这个部分:
假设我决定安装一个 Windows 环回适配器。 接下来我需要这样做:
1. go to MS Loopback adapter properties, set IP 10.0.0.10, MASK 255.255.255.0
2. ipconfig /all and look at the MAC-ID for your new adapter.
3. arp -s 10.0.0.10 <MAC-ID>
4. route add 10.0.0.10 10.0.0.10 mask 255.255.255.255
5. to test: "telnet 10.0.0.10"
现在有一些我不明白的事情,我想解释一下这个步骤顺序。我有一个要查看的应用程序,它调用 127.0.0.1 或 'localhost'。
- 我安装了我的 MS Loopback 适配器,设置了它的 IP 和掩码。
- 然后我获取 MAC 地址。
- 然后我通过 arp 添加一个静态缓存条目,以便 10.0.0.10 解析到物理设备。
- 然后我添加一条从 10.0.0.10 到自身的路由,即 10.0.0.10
现在肯定在这个 MS Loopback 适配器上捕获仍然不会拾取 127.0.0.1 或 localhost 会吗?只有当我的应用程序指向 10.0.0.10 作为 'localhost' 时它才会选择它?
有人可以澄清一下 - 也许我的理解是不正确的,它确实有效??
【问题讨论】:
标签: networking windows-xp winsock wireshark winpcap