Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법
2017. 6. 29. 11:10ㆍCase by Case
안녕하세요? Holmes.J 입니다.
오늘은 Microsoft Network Monitor 3.4 (https://www.microsoft.com/en-us/download/details.aspx?id=4865) 로 Localhost (127.0.01)에 대해서 Packet 검출과 Process를 찾는 방법에 대한 문의 입니다.
[문의사항]
- Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법
- 넷몬에서 캡쳐한 트래픽을 이용하는 프로세스를 확인하는 방법이 별도로 있는지 문의
[답 변]
- Netmon에서 Destination 과 Source 아이피 모두 127.0.0.1에 대해서만 캡쳐 하는 방법
- Netmon은 Localhost (127.0.0.1)의 패킷을 검출할 수 없습니다. 이는 Netmon Filter의 layer상의 문제 입니다
- localhost의 packet을 검출하기 위해서는 Microsoft Message Analyzer (https://www.microsoft.com/en-us/download/details.aspx?id=44226 )를 사용해야 하며 사용법은 아래와 같습니다.
- Microsoft Message Analyzer 실행
- New Session 클릭
- Live Trace 클릭
- Select Scenario > Local Loopback Network
- Start 클릭
- Ping 127.0.0.1 -t
- Filter 창에 *address == 127.0.0.1 입력 후, Apply 클릭
- 넷몬에서 캡쳐한 트래픽을 이용하는 프로세스를 확인하는 방법이 별도로 있는지 문의
- Capture 된 Message에서 메시지 번호를 확장
- Module 이름이 ETW를 찾아서, 오른쪽 Summary 데이터를 보면, Process ID를 확인 가능
- 해당 Process ID를 Tasklist로 확인
[Reference]
Rejoice! We can now capture loopback traffic. (https://blogs.msdn.microsoft.com/winsdk/2014/08/15/rejoice-we-can-now-capture-loopback-traffic/ )
'Case by Case' 카테고리의 다른 글
Bugcheck 0xD1 Crashdump analysis (0) | 2019.09.24 |
---|---|
Windows Failover Cluster Node에서 도메인환경에서 워크스테이션과 주 도메인 사이의 트러스트 관계에 이상이 있습니다. 라는 메세지와 함께 도메인 로그인 불가 (0) | 2019.09.17 |
Windows Update for Enterprise (WSUS Offline Update) (0) | 2017.06.26 |
Windows 7 / Windows Server 2008 R2 환경에서 Windows Update 실패 시 조치 방법 (0) | 2017.06.26 |