Question

在一些应用场景下，在一台服务器上，会部署多个应用程序，这些应用程序之间使用 127.0.0.1 本地回环地址进行 TCP/IP 通信。在 Windows 上，如果需要对这些应用程序之间的数据通信进行分析，就需要用到 RawCap 这样一款工具了。有读者可能要问，使用 Wireshark 不行吗？答案是否定的，Wireshark 无法抓取到回环端口上的数据通信。原因是这些数据包并没有使用实际的网络端口进行发送。

RawCap 是一个免费的 Windows 抓包工具，它的底层使用了 raw socket 技术。RawCap 具有以下特点。

- 可以嗅探任何配置了 IP 地址的端口，包括 127.0.0.1 的回环端口。

- RawCap.exe 仅仅 23KB，非常小。

- 除了需要.NET Framework 2.0 外，不需要其他任何额外的 DLL 或者库函数。

- 无需安装，下载后即可运行。

- 可以嗅探 Wifi 和 PPP 端口。

- 对系统内存和 CPU 压力影响较小。

- 简单可靠。

RawCap 的下载地址为 http://www.netresec.com/？download=RawCap 。

我们下载完成后，放在 c：\，使用如下命令即可看到各种参数：

c:\>RawCap.exe -h
NETRESEC RawCap version 0.1.5.0
http://www.netresec.com

Usage: RawCap.exe [OPTIONS] <interface_nr> <target_pcap_file>

OPTIONS:
 -f               Flush data to file after each packet (no buffer)
 -c <count>     Stop sniffing after receiving <count> packets
 -s <sec>       Stop sniffing after <sec> seconds

INTERFACES:
 0.     IP        : 192.168.20.96
        NIC Name  : 本地连接
        NIC Type  : Ethernet

 1.     IP        : 127.0.0.1
        NIC Name  : Loopback Pseudo-Interface 1
        NIC Type  : Loopback

Example: RawCap.exe 0 dumpfile.pcap

抓取 127.0.0.1 的数据通信，并且保存为 mydump.pcap 的方法如下：

c:\>RawCap.exe 1 mydump.pcap
Sniffing IP : 127.0.0.1           #端口 IP 信息
File        : mydump.pcap      #保存文件的名称
Packets     : 0                #当前已经抓包的数量