window下wireshark抓本地包

本地包是不留经过网络的，比如本人的ip为:192.168.1.78

在执行ping 192.168.1.78使用wireshark是无法抓捕ICMP包的

原因是：wireshark只能抓捕流向网卡的包，而该回环包是不经过网卡的，因此为了能够抓本地的ICMP包，可以采用路由策略，将指定的IP流向本机网卡

本人的网关为192.168.1.1

可以查看当前的路由策略

在cmd执行指令:route print -4

发现有一条路由:192.168.1.78 255.255.255.255 在链路上 192.168.1.78 266

将这条路由进行改变:

执行cmd指令:route change 192.168.1.78 mask 255.255.255.255 192.168.1.1 METRIC 256

查看路由表，路由变为：192.168.1.78 255.255.255.255 192.168.1.1 192.168.1.78 266

如图:

“在链路上”变为网关地址

补充下:当接口的ip跟网关的ip一样的时候，将会显示为:“在链路上”

在wireshark的过滤选项输入icmp

在控制台执行:ping 192.168.1.78

所有IP目标为192.168.1.78都将会先流向网卡，在流回来

抓捕回环还可以使用Npcap，包括可以抓127.0.0.1等包：

如图: