Windows 7：嗅探到本地主机的 TCP 套接字

Posted 2023-02-25

【中文标题】Windows 7：嗅探到本地主机的 TCP 套接字

【英文标题】：Windows 7: sniff TCP sockets to localhost

【发布时间】：2012-10-25 03:27:13

【问题描述】：

我想捕获和分析运行在本地主机上的两个应用程序之间的 TCP 通信数据，该主机运行 Windows 7 操作系统。我尝试使用 Wireshark，但 Wireshark 无法捕获数据，似乎只是监视网络接口输入/输出的数据。

能否介绍一些有用的工具来轻松监控本地 TCP 数据。

【参考方案1】：

wireshark 不起作用的原因是因为嗅探器依赖于网络驱动程序堆栈，而 Windows 不会通过它公开 localhost 调用。

您应该使用Socket Sniffer，它查看Winsock 调用并监控网络套接字；下载链接在页面底部。

【讨论】：

请注意，SocketSniffer 根本不支持 64 位应用程序。

【参考方案2】：

Windows 中有一些限制阻止 libpcap 和 Microsoft Network Monitor 嗅探 localhost/loopback。但是如果你使用原始套接字，你可以嗅探 localhost。

有一个名为RawCap 的免费工具可以嗅探本地主机并将捕获的数据包保存在PCAP 文件中。这允许您稍后检查 Wireshark 中的流量。

您可以从这里下载 RawCap： http://www.netresec.com/?page=RawCap

【讨论】：

RawCap + 在 Wireshark 中打开今天对我来说效果很好。上面的 SocketSniffer——它没有监听我想嗅探的进程，但对我不起作用。