Как можно использовать NETSH для прослушивания и сопоставления сетевого трафика?
Я пытаюсь захватить весь сетевой трафик и просмотреть его в удобочитаемом виде.
Чтобы начать захват пакетов с помощью netsh, я выполняю следующую команду.
netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=net-trace.etl
Затем я использую QuickPHP для размещения формы, которая принимает имя пользователя и пароль и отправляет их себе. Затем след останавливается netsh trace stop.
Чтобы проверить перехваченный трафик, выполняется следующая команда.
netsh trace convert input=net-trace.etl output=net-trace-dump.txt dump=txt
Когда я читаю сброшенный трафик, записи становятся неразборчивыми, и я не вижу трафик на сервер QuickPHP на 127.0.0.1. Кроме того, когда я импортирую .etl файл в Microsoft Network Monitor, трафик объединяется в одну группу, и трафик QuickPHP по-прежнему не может быть обнаружен.
Мне удалось запустить захват с помощью Microsoft Network Monitor и увидеть трафик QuickPHP.
Как можно использовать NETSH для захвата сетевого трафика и его просмотра в виде дампа текстового файла или Microsoft Network Monitor аналогично захвату из Microsoft Network Monitor?
Заранее большое спасибо за вашу помощь!
Просто используйте netsh trace start capture=yes без чего-либо другого. Это дает вам только базовый захват пакетов, который вы можете просмотреть в Network Monitor.
Вам не нужно использовать поставщиков ETW, например NetConnection если вы не решаете проблему с платформой фильтрации Windows или что-то в этом роде.
Вам не нужен convert команда вообще.