网络协议分析老是通过开虚拟机来让wireshark捕捉非常不方便,记录两种直接捕捉本地回送报文的方法
方法一:
1.以管理员身份运行cmd(system32文件夹里或者右键管理员)
2.route add 本机ip mask 255.255.255.255 网关ip //强制添加路由表,让数据都从该网卡走
如:route add 192.168.1.2 mask 255.255.255.255 192.168.1.1
使用完毕后用route delete 删除该路由项即可
此时再利用wireshark进行抓包便可以抓到本机自己同自己的通信包,但是本地请求的URL的IP只能写本地的IP地址,不能写localhost或127.0.0.1,写localhost或127.0.0.1还是抓不到包。
方法二:(个人认为非常之完美)
Npcap项目是最初2013年由Nmap网络扫描器项目创始人Gordon Lyon和北京大学罗杨博士发起,由Google公司Summer of Code计划赞助的一个开源项目,遵循MIT协议,与WinPcap一致。
将wireshark的底层支持从winPcap换到npcap非常简单
注意:不要到npcap官网下载20多M那个
项目代码:https://github.com/nmap/npcap/releases
直接翻之前的维护版本有编译好的二进制文件(.exe后缀),就几百K的样子,下载下来
在软件目录或者其他方法卸载winPcap
运行npcap的二进制文件安装
把Use DLT_NULL as the loop…..和Install Npcap in Winpcap…勾选上
其他随意,都勾选也无所谓
打开wireshark就能看到有个回传网卡,点击,就能看到各进程之间的本地通信了