pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


Windows版のWiresharkでlocalhost宛てのパケットをキャプチャしたい場合はnpcapをインストールする

パケットキャプチャーといえば Wireshark が定番だと思いますが、Windows版の Wiresharklocalhost 宛てのパケットをキャプチャできません。


そこでいろいろ調べてみたのですが、結論としては「WinPcap の代わりに npcap を使う」のが良さげな感じです。


npcap を使う場合の注意点は以下の通りと思います。

  • すでにインストール済みの WinPCap はアンインストールする。
  • npcap を WinPcap 互換を有効にしてインストールする。

npcap は nmap 関連の配布物として以下のURLから入手できます。
github.com

そしてインストーラでのオプション設定にて「Install Npcap in WinPcap API-compatible Mode」を有効にするわけです。
f:id:pslabo:20161019143551p:plain

なお、npcap を用いない場合は RawCap でキャプチャしたものを Wireshark で解析するとか、あるいはネットワーク設定を一工夫するとかの解決方法があるようです。しかしそれらは使い勝手の面で問題があるように思います。

そもそも RawCap の場合は運用的に論外だと思うんですよねー。キャプチャ結果をファイルに保存した上で Wireshark で後から見る、というのは、今のやり取りを調べたいというニーズには合わない。ネットワーク設定を変更するやり方の場合は、OS を再起動した場合にそれを再度やり直さねばならないかも。

やはりここは特別な設定調整を行わずに普通に使いたいわけですよ。