思享工具箱

【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析

摘要:
问题描述:如何在Windows中抓取网络数据包而不安装第三方软件?如何将其转换为Wireshark格式?操作步骤1)在管理员模式下打开CMD,使用netshtracestartcapture=yes命令开始获取网络数据包,并在停止时使用netshtracestop命令。
问题描述

如何在Windows环境中,不安装第三方软件的情况下(使用Windows内置指令),如何抓取网络包呢?并且如何转换为Wireshark 格式呢?

操作步骤

1) 以管理员模式打开CMD,使用netsh trace start capture=yes 命令开始抓取网络包,当需要停止时候,使用netsh trace stop 指令。

## 开始抓取
netsh trace start capture=yes 

## 停止抓取
netsh trace stop


####执行结果
C:\LBWorkSpace\tool\nettrace1\newworktrace>netsh trace start capture=yes

Trace configuration:
-------------------------------------------------------------------Status: Running
Trace File: C:\Users\xxxx\AppData\Local\Temp\NetTraces\NetTrace.etl
Append: Off
Circular: On
Max Size: 512MB
Report: Off


C:\LBWorkSpace\tool\nettrace1\newworktrace>netsh trace stop
Merging traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\Users\xxxx\AppData\Local\Temp\NetTraces\NetTrace.cab".
File location =C:\Users\xxxx\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

如果之抓取指定IP地址的网络包,可以使用如下命令:

netsh trace start capture=yes IPv4.Address=X.X.X.X

抓取动画效果为:

【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析第1张

2) 使用etl2pcapng.exe 工具进行格式转换,使用命令:

etl2pcapng.exe nettrace.etl nettrace.cap

【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析第2张

3) 双击nettrace.cap 打开 WireShark查看网络包,使用ip.addr == xxx.xxx.xxx.xxx 多包中的内容进行过滤

 ip.addr == xxx.xxx.xxx.xxx  or ip.addr == xxx.xxx.xxx.xxx

【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析第3张

附录一:根据IP地址过滤Wireshark文件包,只导出特定的IP网络包

1)在Filter 输入框中输入过滤的IP地址: 如 ip.addr == 27.xxx.xxx.xxx

2)选择 File --> Export Specified Packets --> Save

【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析第4张

参考资料

etl2pcapng.exe 工具下载地址:https://files.cnblogs.com/files/lulight/etl2pcapng.zip

Wireshark 下载地址:https://www.wireshark.org/#download

How can I perform a packet capture in Windows with built-in utility?https://www.sonicwall.com/support/knowledge-base/how-can-i-perform-a-packet-capture-in-windows-with-built-in-utility/170905204545360/

标签:#netsh#软件#wireshark#capture | 浏览:300 | 发布日期:

免责声明:文章转载自《【Azure 环境】在Windows环境中抓取网络包(netsh trace)后,如何转换为Wireshark格式以便进行分析》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇项目vue1.0升级到2.0的心得oracle dblink使用下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

华硕路由器Asus RT-ACRH17 OpenWrt,刷openwrt教程

华硕路由器刷OPENWRT教程 注:该教程整理自恩山论坛,因论坛内容较为繁琐,理解不便,特整理优化本文。 所需文件列表 解锁Bootloader的固件 【openwrt-ipq806x-asus_rt-acrh17-squashfs-flash-factory.trx】 opboot固件 【opboot-rt-acrh17-flash-v1.0.6...

《团队-Android手机便签-项目进度》

 Android手机便签-项目进度 我们团队的项目:Android手机便签 我们团队人员:李德帅,刘铭,李明,丁鸿涛,胡健,姜广昱 我们做的项目是一款手机便签的软件,虽然这个软件有好多了,手机自带的记事本APP太过于单调,于是我们突发奇想决定自己动手研发一个APP希望能够在研发的过程中能够得到成长,以及学习如何与成员之间的沟通交流,即拓展了代码能力,又拓展...

跨境电商那些黑号钓鱼号的来源套路分析

亚马逊黑号,可以用来用来做刷单,FB黑号可以用来打广告,发POST贴文等等,这些是比较大众的用法,当人不排除用来用这些号做了极致。 既然有这个需求,那么相应就有扫号,爆号的环节,整个产业链呢,有是 一环扣一环。 读下去,小白可能会白眼吐唾沫了,先晒图为敬!! 一般钓鱼号的来源 鉴于老农技术停留在小白的阶段,这里按我的分析,这些号主要来源有以下两个 1...

Xcode10趟坑之路

https://www.jianshu.com/p/12558d39ba08 先默念别有太多坑啊 跑起来吧 结果没有跑起来 1.第一个坑 Showing Recent Messages :-1: Multiple commands produce '/Users/wanglei/Library/Developer/Xcode/DerivedData/JMT...

IdentityServer4 中文文档 -11- (快速入门)添加基于 OpenID Connect 的用户认证

IdentityServer4 中文文档 -11- (快速入门)添加基于 OpenID Connect 的用户认证 原文:http://docs.identityserver.io/en/release/quickstarts/3_interactive_login.html 目 录 上一篇:IdentityServer4 中文文档 -10- (快速入门...

20199305 2019-2020-2 《网络攻防实践》第七周作业

《网络攻防实践》第七周作业 一、前言 问题 回答 作业属于 https://edu.cnblogs.com/campus/besti/19attackdefense 作业要求 https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10553 课程目标 学习教材第七章,完成...

最新文章

随机推荐

思享工具箱导航