GitLab Loopback
Loopback capture setup
The following will explain capturing on loopback interfaces a bit.
If you are trying to capture traffic from a machine to itself, that traffic will not be sent over a real network interface, even if it’s being sent to an address on one of the machine’s network adapters. This means that you will not see it if you are trying to capture on, for example, the interface device for the adapter to which the destination address is assigned. You will only see it if you capture on the «loopback interface», if there is such an interface and it is possible to capture on it; see the next section for information on the platforms on which you can capture on the «loopback interface».
Supported Platforms
See CaptureSetup/NetworkMedia for Wireshark capturing support on various platforms. Summary: you can capture on the loopback interface on Linux, on various BSDs including macOS, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Windows
Starting from Windows Vista: Npcap
Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
When installed on Windows Vista or later (including Win7, Win8 and Win10) with option «Support loopback traffic («Npcap Loopback Adapter» will be created)» selected, it will create an Npcap Loopback Adapter that can be selected in Wireshark so as to capture IPv4/IPv6 loopback traffic.
When installed on Windows XP or earlier, it will install the legacy WinPcap driver.
The current latest installer can be found here: https://nmap.org/npcap/, the source code can be found here: https://github.com/nmap/npcap
Starting from Wireshark 1.12.8 and 1.99.9, the Windows installer will detect Npcap presence (when installed in WinPcap compatible mode) and will not try to install WinPcap 4.1.3.
IP 127.0.0.1
You can’t capture on the local loopback address 127.0.0.1 with a Windows packet capture driver like WinPcap. The following page from «Windows network services internals» explains why: The missing network loopback interface.
You can, however, use a raw socket sniffer like RawCap to capture localhost network traffic in Windows. Read more here:
IP other
You can add a virtual network card called Microsoft Loopback Adapter, but in most cases that might not give results as expected either.
This adapter is available from Microsoft:
Let’s suppose you have set the IP address of the loopback adapter to 10.0.0.10 and are capturing on that interface. If you ping to this 10.0.0.10 address the ping will get ping replies, but you won’t see any of this traffic in Wireshark (much like the 127.0.0.1 problem). If you ping on 10.0.0.11, you won’t get ping replies as there is obviously no remote host, but you will see the corresponding ARP requests in Wireshark.
Commercial Alternatives
A commercial network sniffer called CommView (from TamoSoft) allows you to capture packets on the localhost network adapter but it dissects fewer protocols, so you can capture packets with CommView and save them into a file and open it with Wireshark.
Other Alternatives
with being different from 127.0.0.1. It should (has to) be the result of ipconfig command (ip address field)
Doing so, every network traffic from your machine to itself will use the physical network interface, it will then go to the gateway, back to you. Therefor, you will see each packet twice, but it can be filtered on the view.
Be careful, since your machine will use the actual network to talk to itself, it may overload the network. It may be wise to remove the new route once you are done with the tests:
My own experience with proxocket is as follows: After installing the ws2_32.dll from proxocket into a directory containing 3 binaries that communicate with each other over the loopback interface and starting them all up, it generated 3 separate capture files, one for each process, which I was then able to merge together into a single capture file using mergecap. After filtering out the duplicate packets in the file, which contained the source IP address of 0.0.0.0, I had a pretty good capture file containing loopback traffic on Windows. Some packets were clearly ordered incorrectly, but it was easy enough for me to spot them and tell what was going on.
While certainly not as good/easy as capturing loopback traffic on a *NIX platform, prior to using RawCap, this was the best way for me to obtain loopback traffic on Windows. Having said that, after using RawCap, I don’t see why anyone would want to use this.
Setup localhost capturing from powershell
Recipes and explanation is here. (Note: Since the link no longer appears to work, here is an archived one.)
This is translated from French, based on the method described here.
Захват трафика Wireshark localhost
Я написал простое серверное приложение на C, которое работает на localhost. Как захватить трафик localhost с помощью Wireshark?
8 ответов
резюме: вы можете захватить на интерфейс loopback на Linux, на различные BSDs включая Mac OS X, и на Digital / Tru64 UNIX, и вы можете быть в состоянии сделать это на Irix и AIX, но ты определенно не может сделать это на Solaris, HP-UX или Windows.
EDIT: спустя 3 года этот ответ уже не является полностью правильным. Связанная страница содержит инструкции по захвату на интерфейсе loopback.
на платформе Windows также можно захватить трафик localhost с помощью Wireshark. Что вам нужно сделать, это установить «Microsoft loopback adapter», а затем понюхать его.
по какой-то причине ни один из предыдущих ответов не работал в моем случае, поэтому я опубликую что-то, что сделало трюк. Есть маленький драгоценный камень под названием RawCap который может захватывать трафик localhost в Windows. Преимущества:
после того, как трафик был захвачен, вы можете открыть его и изучить в Wireshark нормально. Единственным недостатком, который я нашел, является то, что вы не можете установить фильтры, т. е. вы должны захватить весь трафик localhost, который может быть тяжелым. Существует также один ошибка относительно Windows XP SP 3.
Я на самом деле не пробовал это, но этот ответ из Интернета звучит многообещающе:
Wireshark не может фактически захватывать локальные пакеты в windows XP из-за характер стека TCP windows. Когда пакеты отправляются и полученные на одной машине, они, похоже, не пересекают сеть граница, которую отслеживает wireshark.
однако есть способ обойти это, вы можете маршрутизировать локальный трафик выход через сетевой шлюз (маршрутизатор) путем настройки (временный) статический маршрут на вашем компьютере с windows XP.
скажите, что ваш IP-адрес XP-192.168.0.2 и ваш шлюз (маршрутизатор) адрес 192.168.0.1 вы можете запустить следующую команду из командная строка windows XP для принудительного вывода и возврата всего локального трафика граница сети, поэтому wireshark может отслеживать данные (Примечание что wireshark сообщит пакеты дважды в этом сценарии, один раз, когда они покидают ваш компьютер и один раз, когда они возвращаются).
route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1
пожалуйста, попробуйте Npcap:https://github.com/nmap/npcap, он основан на WinPcap и поддерживает захват трафика обратной связи в Windows. Npcap является подпроектом Nmap (http://nmap.org/), поэтому, пожалуйста, сообщите о любых проблемах в списке разработки Nmap (http://seclists.org/nmap-dev/).
на окна,
вы не можете захватить пакеты для Местные Замыкания на Wireshark однако вы можете использовать очень крошечную, но полезную программу под названием RawCap;
Run RawCap on командная строка и выберите Loopback Псевдо-Интерфейс (127.0.0.1) затем просто напишите имя файла захвата пакета (.на PCAP)
простая демонстрация, как показано ниже;
вы можете просматривать трафик обратной связи в Wireshark, прочитав его RawCap’s выход мгновенно. cmaynard описывает этот гениальный подход на форумах Wireshark. Процитирую здесь:—9—>
[. ] если вы хотите просмотреть живой трафик в Wireshark, вы все равно можете сделать это, запустив RawCap из одной командной строки и запустив Wireshark из другой. Предполагая, что у вас есть хвост cygwin, это может быть достигнуто с помощью что-то вроде этого:
для этого требуется хвост cygwin, и я не мог найти способ сделать это с помощью инструментов Windows «из коробки». Его подход работает очень хорошо для меня и позволяет мне использовать все возможности фильтра Wiresharks на захваченном loopback-трафике в прямом эфире.
вы не можете захватить петлю на Solaris, HP-UX или Windows, однако вы можете очень легко обойти это ограничение, используя такой инструмент, как RawCap.
посмотреть здесь для получения полной информации о том, как контролировать localhost с помощью RawCap и Wireshark.
CaptureSetup / Loopback
Loopback capture setup
The following will explain capturing on loopback interfaces a bit.
If you are trying to capture traffic from a machine to itself, that traffic will not be sent over a real network interface, even if it’s being sent to an address on one of the machine’s network adapters. This means that you will not see it if you are trying to capture on, for example, the interface device for the adapter to which the destination address is assigned. You will only see it if you capture on the «loopback interface», if there is such an interface and it is possible to capture on it; see the next section for information on the platforms on which you can capture on the «loopback interface».
Supported Platforms
See CaptureSetup/NetworkMedia for Wireshark capturing support on various platforms. Summary: you can capture on the loopback interface on Linux, on various BSDs including macOS, and on Digital/Tru64 UNIX, and you might be able to do it on Irix and AIX, but you definitely cannot do so on Solaris, HP-UX, or Windows.
Windows
Starting from Windows Vista: Npcap
Npcap is an update of WinPcap using NDIS 6 Light-Weight Filter (LWF), done by Yang Luo for Nmap project during Google Summer of Code 2013 and 2015. Npcap has added many features compared to the legacy WinPcap.
When installed on Windows Vista or later (including Win7, Win8 and Win10) with option «Support loopback traffic («Npcap Loopback Adapter» will be created)» selected, it will create an Npcap Loopback Adapter that can be selected in Wireshark so as to capture IPv4/IPv6 loopback traffic.
When installed on Windows XP or earlier, it will install the legacy WinPcap driver.
While waiting for an official download page, the current latest installer can be found here: https://github.com/nmap/npcap/releases, the source code can be found here: https://github.com/nmap/npcap
Starting from Wireshark 1.12.8 and 1.99.9, the Windows installer will detect Npcap presence (when installed in WinPcap compatible mode) and will not try to install WinPcap 4.1.3.
IP 127.0.0.1
You can’t capture on the local loopback address 127.0.0.1 with a Windows packet capture driver like WinPcap. The following page from «Windows network services internals» explains why: The missing network loopback interface.
You can, however, use a raw socket sniffer like RawCap to capture localhost network traffic in Windows. Read more here:
IP other
You can add a virtual network card called Microsoft Loopback Adapter, but in most cases that might not give results as expected either.
This adapter is available from Microsoft:
. and is quite different than the ones available for various UN*X systems. This adapter is a virtual network adapter you can add, but it will not work on the 127.0.0.1 IP addresses; it will take its own IP address. BTW: You can only add one Loopback Adapter to the system!
Beware: Capturing from this Loopback Adapter requires the WinPcap 3.1 release, 3.1 beta versions won’t work!
Let’s suppose you have set the IP address of the loopback adapter to 10.0.0.10 and are capturing on that interface. If you ping to this 10.0.0.10 address the ping will get ping replies, but you won’t see any of this traffic in Wireshark (much like the 127.0.0.1 problem). If you ping on 10.0.0.11, you won’t get ping replies as there is obviously no remote host, but you will see the corresponding ARP requests in Wireshark.
Commercial Alternatives
A commercial network sniffer called CommView (from TamoSoft) allows you to capture packets on the localhost network adapter but it dissects fewer protocols, so you can capture packets with CommView and save them into a file and open it with Wireshark.
Other Alternatives
with being different from 127.0.0.1. It should (has to) be the result of ipconfig command (ip address field)
Doing so, every network traffic from your machine to itself will use the physical network interface, it will then go to the gateway, back to you. Therefor, you will see each packet twice, but it can be filtered on the view.
Be careful, since your machine will use the actual network to talk to itself, it may overload the network. It may be wise to remove the new route once you are done with the tests:
My own experience with proxocket is as follows: After installing the ws2_32.dll from proxocket into a directory containing 3 binaries that communicate with each other over the loopback interface and starting them all up, it generated 3 separate capture files, one for each process, which I was then able to merge together into a single capture file using mergecap. After filtering out the duplicate packets in the file, which contained the source IP address of 0.0.0.0, I had a pretty good capture file containing loopback traffic on Windows. Some packets were clearly ordered incorrectly, but it was easy enough for me to spot them and tell what was going on.
While certainly not as good/easy as capturing loopback traffic on a *NIX platform, prior to using RawCap, this was the best way for me to obtain loopback traffic on Windows. Having said that, after using RawCap, I don’t see why anyone would want to use this.
Setup localhost capturing from powershell
Recipes and explanation is here. (Note: Since the link no longer appears to work, here is an archived one.)
This is translated from French, based on the method described here.
Wireshark localhost traffic capture [closed]
Want to improve this question? Update the question so it focuses on one problem only by editing this post.
I wrote a simple server app in C which runs on localhost. How to capture localhost traffic using Wireshark?
9 Answers 9
Although the page mentions that this is not possible on Windows using Wireshark alone, you can actually record it using a workaround as mentioned in a different answer.
EDIT: Some 3 years later, this answer is no longer completely correct. The linked page contains instructions for capturing on the loopback interface.
For some reason, none of previous answers worked in my case, so I’ll post something that did the trick. There is a little jewel called RawCap that can capture localhost traffic on Windows. Advantages:
After the traffic has been captured, you can open it and examine in Wireshark normally. The only disadvantage that I found is that you cannot set filters, i.e. you have to capture all localhost traffic which can be heavy. There is also one bug regarding Windows XP SP 3.
On Windows platform, it is also possible to capture localhost traffic using Wireshark. What you need to do is to install the Microsoft loopback adapter, and then sniff on it.
I haven’t actually tried this, but this answer from the web sounds promising:
Wireshark can’t actually capture local packets on windows XP due to the nature of the windows TCP stack. When packets are sent and received on the same machine they don’t seem to cross the network boundary that wireshark monitors.
However there is a way around this, you can route the local traffic out via your network gateway (router) by setting up a (temporary) static route on your windows XP machine.
Say your XP IP address is 192.168.0.2 and your gateway (router) address is 192.168.0.1 you could run the following command from windows XP command line to force all local traffic out and back across the network boundary, so wireshark could then track the data (note that wireshark will report packets twice in this scenario, once when they leave your pc and once when they return).
route add 192.168.0.2 mask 255.255.255.255 192.168.0.1 metric 1
Основы Wireshark. Расшифровка и захват трафика
Привет, друг. В одном из прошлых материалов мы с тобой разбирались как данные передаются в сетях и как разные сетевые элементы взаимодействуют между собой. Если ты пропустил эту статью она ЗДЕСЬ. Всё это нам было нужно, чтобы подготовится к практической части изучения такой непростой темы как перехват и анализ трафика. И начнём мы изучать практическую часть с изучения утилиты Wireshark. Возникает логичный вопрос: почему именно Wireshark? Всё просто, он обладает несколькими особенностями которые выделяют его среди конкурентов:
Установка Wiredhark и первый запуск
Теперь давай запустим Wireshark и начнём с ним работать. Кстати в таких системах как Kali Linux и Parrot Security он уже предустановлен. А для винды и яблока его можно скачать на официальном сайте. Ну, а я буду использовать его на Parrot Security. Кстати есть мнение, в том числе разработчиков Wireshark, что использовать его на Windows — тот ещё тот мазохизм. Особенно для перехвата wi-fi трафика, во первых нужно устанавливать дополнительные драйвера — WinPcap. Но самая главная проблема в том, что режим мониторинга сетевого адаптера в Windows работает максимально криво.
Ну а теперь точно можно запускать Wireshark. Это можно сделать из вкладки «Приложения», а можно из терминала:
сразу после запуска, нам предложат выбрать сетевой интерфейс для запуска захвата. Можем так и сделать. Или, если мы хотим поработать с ранее захваченным трафиком, сохраненным в файл, можем нажать File->Open и выбрать нужный файл.
Выбираем интересующий нас сетевой интерфейс (wlan0mon) и дважды давим на него.
Интерфейс Wireshark
Перед нами появится основное окно программы с которым мы будем проводить больше всего времени. И сразу начнут перехватываться данные. Пока что нажмём «Стоп» (красный квадратик в левом верхнем углу) и порассматриваем интерфейс программы.
Пройдёмся по интерфейсу сверху вниз:
Настройка Wireshark
Общие параметры самого приложения WIreshark находятся во вкладке Edit->Preferences. Их можно настроить в зависимости от своих потребностей или предпочтений. Но я бы, на стадии знакомства с программой, не рекомендовал туда лезть. С опытом использования программы и работы с трафиком, понимание что тебе нужно подкрутить для удобства придет само. А потому просто кратко перечислим какие здесь есть разделы:
Если ты планируешь в большей мере работать с трафиком беспроводных сетей, то есть смысл немного кастомизировать рабочие области Wireshark для большего удобства. А именно добавить несколько дополнительных столбцов, информация из которых поможет значительно сэкономить время.
Перейдем в Edit->Preferences и во вкладке Appearance выберем раздел Columns. Здесь жмем на плюсик и добавляем такие колонки, с такими параметрами:
Расшифровка беспроводного трафика
Когда мы запустили захват трафика на интерфейсе wlan0mon ты наверняка обратил внимание, что в Packet List отображается всё что угодно, кроме того что нужно. А именно из полезной информации там можно найти только название сети (SSID) и MAC адреса (на самом деле кое-что ещё есть), а какой-нибудь интересной информации нет, от слова «совсем». На самом деле она есть, просто она зашифрована. Почему так? Ответ банален — потому что трафик шифруется. Соответственно надо его расшифровать. А для этого надо понимать некоторые процессы которые происходят в wi-fi сетях.
При передаче данных по wi-fi трафик шифруется с использованием ключа PTK (Pairwise Transient Key). При этом этот ключ динамичный, то есть создаётся заново для каждого нового соединения. А соответственно трафик для каждого соединения в одной и той же сети зашифрован разными PTK. Когда какой-нибудь клиент переподключается, то и PTK тоже меняется. Что бы этот самый PTK узнать необходимо перехватить четырёх этапное рукопожатие. Ну и знать пароль, имя (SSID) wi-fi сети и канал на котором она работает.
Перехват handshake
Как узнать пароль wi-fi сети я статью уже писал, поэтому примем за аксиому что он у тебя есть. А SSID и канал мы и так видим в Wireshark, вопрос остаётся только в PTK. Соответственно нужно перехватить рукопожатие и не какое-нибудь, а именно то которое произошло между интересующим нас клиентом и точкой доступа непосредственно перед обменом интересующей нас информацией. Наш адаптер уже в режиме мониторинга, и необходимые нам данные мы видим в Packet Details при нажатии на пакет из интересующей нас сети:
Можем сразу открываем терминал и запускаем перехват рукопожатия:
ждать повторных подключений мы не будем, поэтому помогаем отключится всем устройствам в сети:
и спустя небольшой промежуток времени видим в правом верхнем углу нашего терминала появилась надпись: WPA handshake
это означает, что рукопожатие мы получили, а значит успех близок. Вернемся в Wireshark.
В Filter Toolbar нужно написать:
Это необходимо что бы убедится что рукопожатие действительно у нас, если это так — можем продолжать. Теперь сделаем то, что я чуть раньше предупреждал не делать, а именно поменяем настройки протоколов. Идём Edit-> Preferences и выбираем вкладку Protocols. В ней нам надо найти IEEE 802.11 и поставить галку Enable decryption после чего нажать Edit
в появившемся окне жмём «+» и там где Key type выбрать wpa-pwd. А там где Key нужно ввести через двоеточие «пароль:имя сети». Потом нажать ОК и сохранить изменения в настройках протокола.
сразу после этого захваченный трафик будет расшифрован и начнет приобретать более вразумительный и понятный вид.
Анализ трафика в Wireshark
В большинстве случаев (почти всегда) анализ перехваченного трафика происходит в оффлайн-режиме. Т.е. ты сначала перехватываешь трафик, потом сохраняешь его в файл перехвата (File->Save). Потом опять перехватываешь и опять сохраняешь, потом объединяешь все файлы перехвата в один (File->Merge). И только потом, в комфортных условиях, анализируешь весь трафик скопом. И, кстати, эти функции, с сохранением и объединением, ты будешь использовать гораздо чаще чем ты думаешь. С сохранением, потому что получить с первого раза сведения которые тебе нужны удаётся далеко не всегда. Да и если анализировать трафик в онлайне — по любому что-нибудь пропустишь. А с объединением потому, что когда у тебя есть несколько файлов перехвата — разбирать их по отдельности — очень глупая и трудоёмкая идея.
Как ты наверняка заметил файлы перехвата содержат огромное количество строк, и что бы быстро в них ориентироваться нужно научится делать несколько вещей:
Практика анализа трафика беспроводных сетей
Я уже упоминал, что для сбора трафика в беспроводной сети нужно использовать режим мониторинга сетевого адаптера, но в этом режиме будет работать именно наш сетевой адаптер. Но при этом, для понимания ситуации в целом, неплохо бы знать в каких вообще режимах могут работать сетевые адаптеры:
Схематично принцип действия режимов можно нарисовать так:
Фильтры Wireshark
В беспроводной сети весь сетевой трафик, сформированный беспроводными клиентами, сосуществует в общих каналах. Это означает, что перехваченные пакеты в каком-нибудь одном канале могут содержать сетевой трафик от нескольких клиентов, а соответственно что бы находить интересующую информацию нужно научится отфильтровывать лишнюю. Поэтому, давай разберем наиболее часто применяемые фильтры при анализе беспроводных сетей:
Фильтрация по идентификатору
Wireshark собирает данные всех сетей находящихся в радиусе действия сетевого адаптера, поэтому наиболее логично первоначально отфильтровать трафик конкретной сети, которая нас интересует. Сделать это можно по имени беспроводной сети (SSID):
хотя наиболее корректно будет отфильтровать по bssid. BSSID — это идентификатор базового набора услуг (Basic Service Set Identifier). Он присваивается каждой точке и идентифицирует её, при этом он посылается в каждом беспроводном пакете управления и пакете данных из передающей точки доступа. BSSID записывается в заголовок пакета и это и есть MAC адрес нашей точки доступа. Посмотрев его в заголовке, можем создать фильтр чтобы видеть трафик проходящий только через нужную точку доступа:
Часто используемые фильтры Wireshark
Не менее полезным, в некоторых ситуациях будет отфильтровать трафик по используемому каналу связи:
можно увидеть трафик передаваемый по протоколу ARP, это даст возможность понять какие устройства в данный момент подключены к локальной сети, увидеть их MAC и IP адреса.
Также довольно часто используются такие фильтры:
покажет отправленные dns-запросы, так можно узнать какие сайты посещал пользователь и какими онлайн-ресурсами пользовался.
отфильтрует трафик связанный с конкретным IP (где он был получателем или отправителем).
покажет tcp трафик, по такому же принципу можно отфильтровать трафик по любому другому протоколу, например udp или icmp.
Если мы видим, что соединение с сайтом не защищено т.е. происходит по протоколу http, это открывает перед нами большие возможности. Мы можем увидеть передаваемые данные, в том числе данные авторизации и данные форм, загружаемые и открываемые файлы, передаваемые и установленные cookie,
| http | отфильтровать http трафик |
| http.host == «адрес» | показать запросы к определённому сайту |
| http.cookie | http-запросы в которых передавались cookie |
| http.set_cookie | запросы в которых были установлены cookie в браузер |
| http.content_type contains «image» | поиск любых переданных изображений, можно конкретизировать заменив «image» на «jpeg» или другие. |
| http.authorization | поиск запросов авторизации |
| http.request.uri contains «zip» | поиск определённого типа файлов. zip — заменить на нужное |
Кстати, что бы сохранить какой-нибудь найденный файл надо нажать на него правой кнопкой мыши в окне Packet Details и выбрать Export Packet Bytes и указать место куда его нужно сохранить:
Ну, что. Если ты дочитал до этого места, значит можешь смело утверждать, что у тебя уже есть базовые знания по Wireshark. И ты уже, в принципе, немало можешь понять из перехваченного трафика. Поэтому не забывай возвращаться к нам. Ведь в следующих уроках по это программе мы изучим синтаксис и операторы фильтров, разберемся как победить зашифрованный SSL/TLS трафик, разберемся с дешифраторами, более детально разберем некоторые сетевые протоколы и, конечно же, попрактикуемся в анализе сетевого трафика на конкретных примерах.