Дамп трафика с использованием ETW, Wireshark и tcpdump
TCP/IP 19-08-2021, 15:23 sobir 4 827 0
ETW, Wireshark, tcpdump — сетевые анализаторы трафика, которые могут использоваться для анализа трафика, проходящего через сетевой интерфейс хоста. Они могут понадобиться для обнаружения и решения проблем с сетью, отладки веб-приложений, сетевых программ или сайтов.
Дамп трафика на серверах Windows стандартными средствами
Запускаем командную строку от имени администратора и запускаем сбор трафика:
C:\Windows\system32>netsh trace start scenario=netconnection capture=yes maxsize=2048 tracefile=c:\dump01.etl
Останавливаем сбор трафика:
C:\Windows\system32>netsh trace stop
Преобразование etl в формат pcapng с помощью etl2pcapng
Windows поставляется с компонентом захвата трафика под названием «ndiscap», который реализован как поставщик трассировки событий Windows (ETW).
Файл, созданный ndiscap, представляет собой файл etl, который можно открыть с помощью инструментов, ориентированных на ETW, таких как Microsoft Message Analyzer, но не может быть открыт с помощью Wireshark.
etl2pcapng.exe может преобразовать файл etl в файл pcapng для открытия с помощью Wireshark.
Бинарники доступны в разделе Releases: https://github.com/microsoft/etl2pcapng/releases
Выполняем преобразование дампа:
c:\etl2pcapng>etl2pcapng.exe in.etl out.pcapng
Дамп трафика на серверах Linux с помощью утилиты tcpdump
Сначала установите утилиту tcpdump:
RHEL
yum install tcpdump -y
dnf установить tcpdump -y
Ubuntu / Debian
apt install tcpdump -y
Запускаем сбор трафика без преобразования имен DNS и с сохранением дампа в файл.
tcpdump -i ens192 -n -w /tmp/dump01.pcap
Получаем статистику использования трафика в Linux с помощью vnstat....
ПодробнееШифруем запросы DNS от любопытных глаз провайдера....
ПодробнееСостоялся релиз дистрибутива Kali Linux 2020.3, предназначенного для тестирования систем на предмет наличия...
ПодробнееИспользуем контейнеры Podman’а вместо полноценных виртуальных машин....
ПодробнееСостоялся очередной релиз версии офисного пакета с открытым исходным кодом LibreOffice, который может...
ПодробнееУправление сетью с помощью NetworkManager в CentOS 8 / RHEL 8....
ПодробнееНовые комментарии
Цитата: FidoNet Цитата: sobir Цитата: FidoNet Можт быть дело в
К комментариюЦитата: sobir Цитата: FidoNet Можт быть дело в dnsmasq.service? Ошибка Failed
К комментариюЦитата: FidoNet Цитата: sobir Цитата: FidoNet Спасибо за статью. Остальные
К комментариюМожт быть дело в dnsmasq.service? Ошибка Failed to set DNS configuration: Unit
К комментариюЦитата: sobir Цитата: FidoNet Спасибо за статью. Остальные статьи что находил
К комментариюЦитата: FidoNet Спасибо за статью. Остальные статьи что находил либо старые,
К комментарию