Как проснифать трафик с Loopback в Windows

Мы уже не раз касались темы снифинга трафика. Лично у меня она систематически всплывает, а потому поиск идеального пути продолжается. Данное решение — часть предыдущей задачи, но для удобства вынесено в отдельный пункт.
Оказывается, что через подсистему логирования событий мы можем снифать и трафик с loopback. Причем и  исходящие, и входящие пакеты. Все, что необходимо, — это, как я понял, использовать провайдер Microsoft-Pef-WFP-MessageProvider.

[ad name=»Responbl»]

Информация была получена при тестировании относительно нового снифера от MS — Message Analyzer (goo.gl/jLD0AZ).

Message Analyzer_graph
Симпатичные графики в Message Analyzer

В нем есть отдельная опция для работы с loopback-интерфейсом, которая позволяет выбрать вышеуказанный провайдер и сохранять данные пакетов, передаваемые по loopback.

Message Analyzer
Message Analyzer умеет «снифать» с loopback на Windows

Хотя снифать можно и через команду netsh, но Message Analyzer значительно удобнее. Выглядит этот продукт очень прилично и содержит интересный функционал. Советую взглянуть. Но более важный момент — он позволяет сохранить итоги в необходимом нам pcap-формате. Причем иногда то, что не выгружалось нормально из Network Monitor, получилось экспортировать Message Analyzer’ом, хотя со стабильностью здесь еще есть проблемы.

Message Analyzer request
Полный запрос и ответ от подключения к тестовому сервлету на Tomcat’е, висящему на 127.0.0.1:8080
Click to rate this post!
[Total: 2 Average: 3]

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Leave a reply:

Your email address will not be published.