Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법

안녕하세요? Holmes.J 입니다.

오늘은 Microsoft Network Monitor 3.4 (https://www.microsoft.com/en-us/download/details.aspx?id=4865) 로 Localhost (127.0.01)에 대해서 Packet 검출과 Process를 찾는 방법에 대한 문의 입니다.

[문의사항]

1. Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법
2. 넷몬에서 캡쳐한 트래픽을 이용하는 프로세스를 확인하는 방법이 별도로 있는지 문의

[답    변]

1. Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법
1. Netmon은 Localhost (127.0.0.1)의 패킷을 검출할 수 없습니다. 이는 Netmon Filter의 layer상의 문제 입니다
2. localhost의 packet을 검출하기 위해서는 Microsoft Message Analyzer (https://www.microsoft.com/en-us/download/details.aspx?id=44226 )를 사용해야 하며 사용법은 아래와 같습니다.
1. Microsoft Message Analyzer 실행
   
2. New Session 클릭
   
3. Live Trace 클릭
   
4. Select Scenario > Local Loopback Network
   
5. Start 클릭
6. Ping 127.0.0.1 -t
   
7. Filter 창에 *address == 127.0.0.1 입력 후, Apply 클릭
   
2. 넷몬에서 캡쳐한 트래픽을 이용하는 프로세스를 확인하는 방법이 별도로 있는지 문의
1. Capture 된 Message에서 메시지 번호를 확장
   
2. Module 이름이 ETW를 찾아서, 오른쪽 Summary 데이터를 보면, Process ID를 확인 가능
   
3. 해당 Process ID를 Tasklist로 확인
   

 

[Reference]
Rejoice! We can now capture loopback traffic. (https://blogs.msdn.microsoft.com/winsdk/2014/08/15/rejoice-we-can-now-capture-loopback-traffic/ )