2012년 10월 18일 목요일

Wireshark로 localhost 패킷 보기

사실 Wireshark로 패킷을 캡처한다기 보다는 rawcap.exe를 통해서 캡처한 파일을 Wireshark로 열어서 본다는 게 더 적절하다.

원문 참조: http://erictummers.wordpress.com/2012/06/23/sniff-localhost/




1. loopback adapter 설치
2. 네트웍 설정에서 IP 설정
3. rawcap 설치
4. rawcap으로 loopback 패킷 캡처
5. 캡처된 파일을 wireshark에서 열기

1. loopback adapter 설치

Windows 시작 버튼을 클릭한 후 팝업되는 창의 좌측 하단에 위치한 입력상자에 "cmd" 라고 입력한 후 검색된 cmd.exe를 마우스 우클릭하여 관리자 권한으로 실행 시킨다.

콘솔 창에서 아래와 같이 입력한다.
> hdwwiz.exe









2. 네트웍 설정에서 IP 설정

보통 loopback driver가 설치되면 "로컬 영역 연결 2", "로컬 영역 연결 3"... 이런 이름으로 추가된다.
네트웍 설정 창에서 아래와 같이 IP 주소를 입력한다.
eg) 10.0.0.10



3. rawcap 설치

아래의 사이트에서 rawcap.exe 파일을 내려 받는다.
http://www.netresec.com/?page=RawCap


4. rawcap으로 loopback 패킷 캡처

아래와 같이 rawcap을 실행시킨다. loopback.cap을 캡처된 파일 명이므로 다른 이름으로 지정해도 무관하다.

D:\tools\rawcap>rawcap.exe 10.0.0.10 loopback.cap

CTRL + C 키를 입력하여 캡처링을 중지한다.

5. 캡처된 파일을 wireshark에서 열기

File > Open 메뉴에서 앞 단계에서 저장된 파일을 선택한다.

wireshark의 Filter에 "tcp"라고 입력한 후 Apply 버튼을 클릭한다.

목록을 마우스 우클릭하여 Follow TCP Stream 메뉴를 클릭한다.
아래와 같이 HTTP를 캡처한 내용이 화면에 출력된다.