7091 подписчик

netsh trace — анализатор сетевого трафика

20 января 202320 янв 2023

255

1 мин

Оглавление

netsh trace
Конвертация ETL в PCAPNG
Ссылки

В Linux есть утилита tcpdump, позволяющая перехватывать и анализировать сетевой трафик. Работает в командной строке не хуже Wireshark. В Windows 10 есть утилита PktMon, которая поддерживает формат WireShark (PCAPNG) и Netmon (ETL), может работать с дампами TcpDump.

Очень удобно. Снимаешь дамп, тянешь его себе, а потом спокойно за привычным рабочим окружением ковыряешь его в Wireshark.

А что делать в более старых версиях Windows, где нет PktMon? На помощь приходит парочка других утилит.

netsh trace

Начиная с Windows 7 / Windows Server 2008 R2 появилась возможность выполнять захват трафика встроенными в систему средствами с помощью netsh trace. Команда позволяет перехватить и сохранить сетевой трафик в формате Netmon (ETL). Дополнительно создаётся CAB архив, содержащий дополнительные данные, которые могут потребоваться для анализа сетевого трафика.

Для начала запускаем командную строку под администратором. Выполняем:

netsh trace help

И узнаём список атрибутов, которые можно применять в команде. Список, к слову, не полный. Больше данных получим запросом:

netsh trace start /?

Создаём директорию для сохранения дампа. Формируем запрос, в котором указываем параметры захвата и имя файла для дампа, выполняем.

netsh trace start capture=yes ipv4.address=10.12.54.14 fileMod=single maxsize=0 traceFile=C:\dump\NetTrace2.etl

Для остановки захвата трафика выполняем:

netsh trace stop

Процесс остановки может быть долгим, если данных много. В итоге получаем два файла:

Мы получили дамп трафика в формате Netmon (ETL), его можно анализировать в Network Monitor. А как быть, если нам нужно анализировать трафик в виде WireShark (PCAPNG)?