Дамп трафика с использованием ETW, Wireshark и tcpdump

ETW, Wireshark, tcpdump — сетевые анализаторы трафика, которые могут использоваться для анализа трафика, проходящего через сетевой интерфейс хоста. Они могут понадобиться для обнаружения и решения проблем с сетью, отладки веб-приложений, сетевых программ или сайтов.

Дамп трафика на серверах Windows стандартными средствами

Запускаем командную строку от имени администратора и запускаем сбор трафика:

C:\Windows\system32>netsh trace start scenario=netconnection capture=yes maxsize=2048 tracefile=c:\dump01.etl

Останавливаем сбор трафика:

C:\Windows\system32>netsh trace stop

Преобразование etl в формат pcapng с помощью etl2pcapng

Windows поставляется с компонентом захвата трафика под названием «ndiscap», который реализован как поставщик трассировки событий Windows (ETW).

Файл, созданный ndiscap, представляет собой файл etl, который можно открыть с помощью инструментов, ориентированных на ETW, таких как Microsoft Message Analyzer, но не может быть открыт с помощью Wireshark.

etl2pcapng.exe может преобразовать файл etl в файл pcapng для открытия с помощью Wireshark.

Бинарники доступны в разделе Releases: https://github.com/microsoft/etl2pcapng/releases

Выполняем преобразование дампа:

c:\etl2pcapng>etl2pcapng.exe in.etl out.pcapng

Дамп трафика на серверах Linux с помощью утилиты tcpdump

Сначала установите утилиту tcpdump:

RHEL

yum install tcpdump -y
dnf установить tcpdump -y

Ubuntu / Debian

apt install tcpdump -y

Запускаем сбор трафика без преобразования имен DNS и с сохранением дампа в файл.

tcpdump -i ens192 -n -w /tmp/dump01.pcap