Como o NETSH pode ser usado para farejar e agrupar o tráfego de rede?

1

Estou tentando capturar todo o tráfego da rede e visualizá-lo de maneira legível por humanos.

Para iniciar a captura de pacotes com netsh, estou executando o seguinte comando.

netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=net-trace.etl

Em seguida, uso o QuickPHP para hospedar um formulário que usa um nome de usuário e uma senha e os publica em si mesmo. O rastreamento é interrompido com netsh trace stop .

Para inspecionar o tráfego capturado, o seguinte comando é executado.

netsh trace convert input=net-trace.etl output=net-trace-dump.txt dump=txt

Quando eu leio o tráfego descartado, as entradas são ininteligíveis e não consigo ver o tráfego para o servidor QuickPHP em 127.0.0.1. Além disso, quando eu importo o arquivo .etl para o Microsoft Network Monitor, o tráfego é aglomerado em um único clump e o tráfego do QuickPHP ainda não pode ser encontrado.

Eu consegui executar uma captura com o Microsoft Network Monitor e ver o tráfego do QuickPHP.

Como o NETSH pode ser usado para capturar o tráfego de rede e visualizá-lo, seja em um arquivo de texto despejado ou no Microsoft Network Monitor, de maneira semelhante a uma captura do Microsoft Network Monitor?

Muito obrigado antecipadamente pela sua ajuda!

    
por jsc 05.07.2017 / 02:10

1 resposta

3

Use apenas netsh trace start capture=yes sem nenhuma das outras coisas. Isso faz com que você obtenha apenas uma captura de pacote básica que pode ser visualizada no Network Monitor.

Você não precisa usar os provedores ETW como NetConnection , a menos que esteja solucionando um problema da Plataforma de Filtragem do Windows ou algo assim.

Você não precisa do comando convert .

    
por 06.07.2017 / 02:22