我从 microsoft.com 下载了 NM 3.4,但似乎该软件无法捕获 MS TCP 环回接口上的流量。当我 ping 127.0.0.1 地址时,NM 显示没有数据包流动。我尝试了混杂/标准 NIC 模式,但都没有成功。到目前为止,我知道的在 Windows 机器上捕获环回流量的唯一方法是使用 RawCap。
我正在使用 Windows XP SP3。
问候。
答案1
这在 Windows 上是“不可能的”,因为 Microsoft TCP/IP 堆栈没有像 BSD 系统那样的环回接口。事实上,你无法看到从一台 Windows PC 发送到任何绑定到本地 NIC 的 IP 地址,即使它们是非环回地址。
综上所述,你可以使用一个利用Windows 中的原始套接字捕获 PC 中移动的所有流量。此类工具的一个例子是原始资本。然后,您可以保存 RawCap 所捕获的内容并将其导入到网络监视器中进行检查。
以下参考资料可以帮您找到正确的方向:
- Ethereal 关于环回接口流量的讨论
- StackOverflow 问题:可以捕获环回流量的 Windows 数据包嗅探器?
答案2
答案3
我认为使用数据包捕获工具不可能做到这一点,因为数据包从未到达接口。您必须使用某种代理。
答案4
Windows 资源监视器似乎能够捕获本地流量。在“网络”->“具有网络活动的进程”下,本地进程之间的发送和接收本地流量显示正常。我仍然想知道这是怎么可能的。我认为它可能跟踪读写调用(如 Unix/Linux 上的 truss/strace)。