По роду своей деятельности мне приходится  решать совершенно различный спектр задач. Одной из таких задач стала задача перехвата трафика на localhost. Первым делом я конечно вооружался парочкой снифферов таких как fiddler и wireshark. Каково же было моё удивление, когда я не увидел пакетов, отправленных мной, из простенького консольного приложения. Один из коллег, с разочарованием кинулся в меня ссылкой, перейдя на которую, я обнаружил следующее:

You can’t capture on the local loopback address 127.0.0.1 with a Windows packet capture driver like WinPcap. The following page from «Windows network services internals» explains why: The missing network loopback interface.

You can, however, use a raw socket sniffer like RawCap to capture localhost network traffic in Windows. Read more here: http://www.netresec.com/?page=Blog&month=2011-04&post=RawCap-sniffer-for-Windows-released

Что дословно и вкратце звучит следующим образом: «Вы не ловить пакеты в windows на localhost. Хотеть понять — иди туда.»

Почему в windows wireshark и fiddler не могут делать этого сами, меня лучше не спрашивать. Если интересно, ссылка выше поможет пролить на это свет. В любом случае, я закончу свой рассказ, о том как перехватить трафик и дальше проанализировать его.

1. Оглавление Скрыть

   1 Качаем RawCap

   2 Запускаем

   3 3. Открываем этот файл файл dumpfile.pcap при помощи сниффера. Я использовал Wireshark: (File->Open)

   Качаем RawCap

2. Запускаем

Рис.1 — Запуск RawCap.exe

Теперь все пакеты будут складироваться в файл dumpfile.pcap

3. Открываем этот файл файл dumpfile.pcap при помощи сниффера. Я использовал Wireshark: (File->Open)

Рис.2 — Открываем файл в wireshark

Теперь мы можем анализировать пакеты, которые были отправлены на localhost 127.0.01.