3 votos

¿Dónde en la pila de redes de Windows el WinPcap / Npcap engancha / filtra para "escuchar" los paquetes?

Estoy investigando un problema con un proceso que realiza la CIP a través de un socket. El zócalo se sirve en el local de la máquina de la NIC dirección IP, y la conexión se realiza en el local de la máquina de la NIC dirección IP de otro proceso en la máquina local.

Yo esperaba que esto pudiera desplegable de la pila de red de Windows, al menos, lo suficientemente lejos como Wireshark puede ver los paquetes. Sin embargo, parece que este no es el caso. Por lo tanto, puedo concluir que el zócalo de la CIP se lleva a cabo superior de la pila [sería interesante ver si alguno de seguimiento de eventos de windows (ETW) instalaciones de ver el tráfico IP de la imagen]. Esto no es importante para esta pregunta (ya que esto no es stackoverflow).

¿De dónde WinPcap/Npcap "en vivo" en la pila de red para escuchar y permitir el paso de paquetes de wireshark?

Estoy enfocado en las modernas versiones del sistema operativo de Windows (cliente: 7+, 10+; servidor: 2008+, 2012+, 2016+). Específicamente, este cliente es Windows 10.

De hecho quiero saber donde en la pila de red se toma la decisión de "bucle cerrado" los paquetes al host, en lugar de enviarlos abajo de la pila.

Gracias

1voto

Greg Askew Puntos 17236

Es en la capa IP, a menos Rápido de Bucle está activado, entonces es en la capa TCP. Aplicaciones tales como el Monitor de Red o Wireshark no funcionan debido a la red de Microsoft pila no está instrumentado para la captura de bucle invertido de tráfico.

"El comportamiento predeterminado de los TCP de la interfaz loopback es mover local de tráfico TCP a través de la mayoría de la pila de red, incluyendo la AFD (que es esencialmente el núcleo del modo de representación de un modo de usuario socket TCP), así como las capas correspondientes a TCP IP y protocolo de capas."

https://blogs.technet.microsoft.com/wincat/2012/12/05/fast-tcp-loopback-performance-and-low-latency-with-windows-server-2012-tcp-loopback-fast-path/

Como una alternativa, usted puede ser capaz de capturar en la Plataforma de Filtrado de Windows (WFP) de la capa utilizando el Analizador de Mensajes de Microsoft:

https://blogs.msdn.microsoft.com/winsdk/2014/08/15/rejoice-we-can-now-capture-loopback-traffic/

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: