可以捕获环回流量的Windows数据包嗅探器？

(这是我之前关于测量.NET远程流量的问题的后续内容.)

当我测试我们的Windows服务/服务控制器GUI组合时,在我的开发盒上运行这两个部分通常是最方便的.通过此设置,两者之间的远程通信是通过环回,而不是通过以太网卡.

是否有任何软件包嗅探器可以捕获WinXP机器上的环回流量？Wireshark是一个很棒的软件包,但它只能捕获Windows机器上的外部流量,而不是环回.

1> 小智..：

---

你应该做的是运行RawCap,它是一个嗅探器,可以捕获进出Windows环回接口的流量.只需使用"RawCap.exe 127.0.0.1 loopback.pcap"启动它.

然后,您可以在Wireshark或NetworkMiner中打开loopback.pcap 以查看网络流量.

您可以在这里找到RawCap:http://www.netresec.com/？ page = RawCap

祝好运!

---

@ McKenzieG1:我刚刚在Win 7 x64机器上使用RawCap来捕获127.0.0.1流量 - 所以如果对XP有限制,它现在就消失了.

---

实际上:"Vista和Win7中原始套接字嗅探的主要问题是您可能无法接收传入数据包(Win7)或传出数据包(Vista).如果您只想从localhost/loopback(127.0.0.1)嗅探,那么较新版本的Windows实际上比旧版本更好.当从Windows XP中的localhost嗅探时,您将只能捕获UDP和ICMP流量,而不能捕获TCP.但TCP,UDP和ICMP数据包都可以从localhost上正确地嗅探Windows Vista以及Windows 7"

2> Peter K...：

---

我是第二个使用Thomas Owens 的Microsoft网络监视器(尽管此链接在撰写本文时效果更好).此外,这篇文章建议,要获取环回地址,尝试执行:

route add <你的机器的IP> <你的路由器的IP>

这会为本地接口接收本地生成的数据包,并将它们发送到您的路由器......然后将它们发送回去.

注意: 要使机器恢复正常运行,请确保在使用完毕后删除路线:

route delete <您的机器的IP>

3> Eric Z Beard..：

---

Wireshark维基上有一个页面可以解决这个问题.简而言之,您无法在Windows机器上执行此操作,但可能会有一些解决方法.

---

是的,你可以使用RawCap捕获和WireShark来分析捕获的数据.我今天在Windows 7下完成了这项工作.见[Erik](http://stackoverflow.com/questions/46376/windows-packet-sniffer-that-c​​an-capture-loopback-traffic/5610667#5610667)回答