标题: Windows平台上可以嗅探Loopback报文的工具

创建: 2004-09-06 16:55
更新: 2006-01-24 11:26
链接: https://scz.617.cn/network/200409061640.txt

Sniffer Pro、Winpcap类软件(比如Ethereal)、Iris、EtherPeek、Network Monitor
都不能嗅探Windows平台上的Loopback报文。即使这些软件可能有Loopback这样的菜
单选项，也是其它意思，跟我们所期望的不是一回事。绝大多数Unix平台可以嗅探到
Loopback报文，但Windows平台上这一直是个梦想。

今天终于找到一个还算有名的工具CommView勉强满足需求，以前也用过，居然不知道
有这种"特性"。Netguy师兄帮我弄来一个CommView 4.1(Build 344)，测试后证实确
实可以用于嗅探Windows平台上的Loopback报文。

安装完成后，在Settings菜单中选择"Install Loopback Driver"，重新启动，再次
进入CommView，网卡列表中多出一项Loopback，然后就可以进行嗅探了。

NT/2000/XP/2003均被支持，但是不支持9x/Me。假设本机IP是192.168.7.2，则回送
接口上的报文包括192.168.7.2/32、127.0.0.1/8上的通信报文。

有几个限制:

. 不能嗅探到ICMP报文，但可以嗅探到TCP、UDP报文。

. 只能嗅探到成功发送/接收的报文。假设目标端口未处在侦听状态，建立TCP连接失
  败，此时看不到传说中的SYN、RST报文。

. 正常关闭TCP连接时，看不到传说中的FIN报文。

尽管不能完全满足需求，但也聊胜于无，不是吗。

CommView提供了一个名为"CommView Network Monitor"的NDIS协议驱动，在NCPA中可
以看到这个驱动，检查注册表中如下位置:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}\{...}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CV2K1

"Install Loopback Driver"安装了一个名为ts_lb的驱动:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ts_lb

ts_lb.sys到底是一个什么样的驱动，我并不清楚，难道是TDI Client Driver吗，懒
得深入了。

CommView的解码功能就不要指望太多了，幸运的是，它可将嗅探到的报文保存成多种
格式，比如Sniffer Pro、Ethereal、EtherPeek、Network Monitor所支持的格式。

[ 1] http://www.tamos.com/docs/cv41.pdf

2006-01-24 11:26 scz

一定要保存好这个版本，CommView 4.1(Build 344)。这是我亲自当小白鼠换来的血
的教训。

前几日研究一个协议，需要嗅探Loopback报文，一时兴起想将前述版本升级。业内人
士lyx同学给我下了一个CommView 5.1(Build 493)。高高兴兴卸载旧版，安装新版，
手贱得立即将旧版安装包一并删除。谁知装完新版开始测试，发现几个BUG:

. Loopback网卡不能稳定打开，经常出现打开失败。

. Loopback网卡上很难捕获到TCP Response报文。

. Loopback网卡上捕获TCP Request报文时有严重丢包现象。

反复重装、重启、测试确认。可能还有其它BUG，我只是简单测试了一下。新版在安
装过程中自动安装Loopback网卡，不再需要手工选择"Install Loopback Driver"。
新版安装完之后也不需要重启OS。可惜有这么多BUG。lyx介绍说5.x的破解一直有问
题(不完全)。旧版没有上述BUG。

顺便推荐一下tk同学介绍的文件恢复工具，Active File Recovery 5.3，傻瓜化但又
很强劲。当然，我这次找回旧版(就是Netguy提供的那个)却是从stardust那里拷贝的，
源自我碰上好东西一定大力推荐结下的善缘，不稳定地实现了人工分布式存储。