Назад | Перейти на главную страницу

Мониторинг кольцевого трафика (мониторинг трафика интерфейса MS TCP Loopback) с помощью Microsoft Network Monitor 3.4 - возможно?

Я загрузил NM 3.4 с microsoft.com, и похоже, что программное обеспечение не захватывает трафик через интерфейс MS TCP Loopback. Когда я пингую адрес 127.0.0.1, NM не показывает, что пакеты идут. Я пробовал как беспорядочный, так и стандартный режим NIC, но безуспешно. На данный момент я знаю только один способ захвата кольцевого трафика на машинах Windows - это использовать RawCap.

Я использую Windows XP SP3.

С уважением.

В Windows это «невозможно», потому что стек Microsoft TCP / IP не имеет интерфейса обратной петли, как в системах BSD. Фактически, вы не можете увидеть трафик, который отправляется с одного ПК с Windows на любой IP-адрес, привязанный к локальной сетевой карте, даже если они не являются адресами обратной связи.

Сказав выше, вы можете использовать инструмент, который использует сырые сокеты в Windows для захвата любого трафика, который перемещается на ПК. Примером такого инструмента может быть RawCap. Затем вы должны сохранить захват, сделанный RawCap, и импортировать его в сетевой монитор для проверки.

Вот несколько ссылок, которые должны помочь вам двигаться в правильном направлении:

  1. Обсуждение в Ethereal трафика интерфейса обратной петли
  2. Вопрос StackOverflow: Сниффер пакетов Windows, который может захватывать кольцевой трафик?

С 2014 года это возможно с Анализатор сообщений Microsoft (который заменил Network Monitor). Инструкции по настройке захвата петли находятся в это сообщение в блоге. Обратите внимание, что ссылка для загрузки в сообщении блога не работает, но ссылка выше должна работать.

Мне удалось успешно захватить кольцевой трафик с помощью этого инструмента в Windows 10.

Монитор ресурсов Windows может захватывать локальный трафик. В разделе Сеть -> Процессы с сетевой активностью Отправка и получение локального трафика между локальными процессами отображается нормально. Мне все еще интересно, как это возможно. Я думаю, что это, вероятно, отслеживание вызовов чтения и записи (например, truss / strace в Unix / Linux).

Я не думаю, что это возможно с инструментами захвата пакетов, поскольку пакеты никогда не попадают в интерфейс. Вы должны использовать какой-то прокси.