ETW, Wireshark, tcpdump — сетевые анализаторы трафика, которые могут использоваться для анализа трафика, проходящего через сетевой интерфейс хоста. Они могут понадобиться для обнаружения и решения проблем с сетью, отладки веб-приложений, сетевых программ или сайтов.
Дамп трафика на серверах Windows стандартными средствами
Запускаем командную строку от имени администратора и запускаем сбор трафика:
C:\Windows\system32>netsh trace start scenario=netconnection capture=yes maxsize=2048 tracefile=c:\dump01.etlОстанавливаем сбор трафика:
C:\Windows\system32>netsh trace stopПреобразование etl в формат pcapng с помощью etl2pcapng
Windows поставляется с компонентом захвата трафика под названием «ndiscap», который реализован как поставщик трассировки событий Windows (ETW).
Файл, созданный ndiscap, представляет собой файл etl, который можно открыть с помощью инструментов, ориентированных на ETW, таких как Microsoft Message Analyzer, но не может быть открыт с помощью Wireshark.
etl2pcapng.exe может преобразовать файл etl в файл pcapng для открытия с помощью Wireshark.
Бинарники доступны в разделе Releases: https://github.com/microsoft/etl2pcapng/releases
Выполняем преобразование дампа:
c:\etl2pcapng>etl2pcapng.exe in.etl out.pcapngДамп трафика на серверах Linux с помощью утилиты tcpdump
Сначала установите утилиту tcpdump:
RHEL
yum install tcpdump -y
dnf установить tcpdump -yUbuntu / Debian
apt install tcpdump -yЗапускаем сбор трафика без преобразования имен DNS и с сохранением дампа в файл.
tcpdump -i ens192 -n -w /tmp/dump01.pcap