Найти в Дзене
Лаборатория сисадмина
7341 подписчик

netsh trace — анализатор сетевого трафика

275
1 мин
В Linux есть утилита tcpdump, позволяющая перехватывать и анализировать сетевой трафик. Работает в командной строке не хуже Wireshark. В Windows 10 есть утилита PktMon, которая поддерживает формат WireShark (PCAPNG) и Netmon (ETL), может работать с дампами TcpDump. Очень удобно. Снимаешь дамп, тянешь его себе, а потом спокойно за привычным рабочим окружением ковыряешь его в Wireshark. А что делать в более старых версиях Windows, где нет PktMon? На помощь приходит парочка других утилит. netsh trace Начиная с Windows 7 / Windows Server 2008 R2 появилась возможность выполнять захват трафика встроенными в систему средствами с помощью netsh trace. Команда позволяет перехватить и сохранить сетевой трафик в формате Netmon (ETL). Дополнительно создаётся CAB архив, содержащий дополнительные данные, которые могут потребоваться для анализа сетевого трафика. Для начала запускаем командную строку под администратором. Выполняем: netsh trace help И узнаём список атрибутов, которые можно применять в к
Оглавление

В Linux есть утилита tcpdump, позволяющая перехватывать и анализировать сетевой трафик. Работает в командной строке не хуже Wireshark. В Windows 10 есть утилита PktMon, которая поддерживает формат WireShark (PCAPNG) и Netmon (ETL), может работать с дампами TcpDump.

Очень удобно. Снимаешь дамп, тянешь его себе, а потом спокойно за привычным рабочим окружением ковыряешь его в Wireshark.

А что делать в более старых версиях Windows, где нет PktMon? На помощь приходит парочка других утилит.

netsh trace

Начиная с Windows 7 / Windows Server 2008 R2 появилась возможность выполнять захват трафика встроенными в систему средствами с помощью netsh trace. Команда позволяет перехватить и сохранить сетевой трафик в формате Netmon (ETL). Дополнительно создаётся CAB архив, содержащий дополнительные данные, которые могут потребоваться для анализа сетевого трафика.

Для начала запускаем командную строку под администратором. Выполняем:

netsh trace help
-2

И узнаём список атрибутов, которые можно применять в команде. Список, к слову, не полный. Больше данных получим запросом:

netsh trace start /?

Создаём директорию для сохранения дампа. Формируем запрос, в котором указываем параметры захвата и имя файла для дампа, выполняем.

netsh trace start capture=yes ipv4.address=10.12.54.14 fileMod=single maxsize=0 traceFile=C:\dump\NetTrace2.etl

Для остановки захвата трафика выполняем:

netsh trace stop
-3

Процесс остановки может быть долгим, если данных много. В итоге получаем два файла:

  • CAB
  • ETL
-4

Мы получили дамп трафика в формате Netmon (ETL), его можно анализировать в Network Monitor. А как быть, если нам нужно анализировать трафик в виде WireShark (PCAPNG)?

Конвертация ETL в PCAPNG

На такой случай есть утилита etl2pcapng.

https://github.com/microsoft/etl2pcapng

На всякий случай сохранил себе в Сборку для системного администратора.

Качаем, распаковываем.

-5

Туда де скидываю ETL файл.

-6

Запускаем командную строку под администратором. Использовать утилиту просто:

etl2pcapng <infile> <outfile>

Выполняю:

etl2pcapng.exe NetTrace2.etl NetTrace2.pcapng
-7

Получаем файл PCAPNG.

-8

Ссылки

Wireshark — анализатор сетевого трафика

tcpdump — анализатор сетевого трафика

PktMon — анализатор сетевого трафика

Источник:

internet-lab.ru
netsh trace — анализатор сетевого трафика | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Гаджеты и электроника
5,73 млн интересуются