А АSunday, 22 March 2020

Консольный вариант сниффера.

Всем привет.

Когда нам нужен сниффер для сетевого трафика первое что приходит в голову это Wireshark. Круто? Несомненно, но новичку придется повозится час другой чтобы его начать эффективно использовать. К тому же нередко задача стоит такая чтобы отловить определенный пакет и не более. Т.е. администратора больше заинтересовал бы консольный вариант утилиты.

Верно, Wireshark имеет и такую возможность, но в  этом случае можно обойтись и встроенными средствами Windows с помощью PowerShell и даже просто bat-файла.. Такие скрипты пригодятся в сценариях автоматизированного анализа трафика.

Ниже пример трассировки  RDP сессий.

@echo off

rem запускаем трассировку
netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 tracefile=trace.etl > nul
rem ждем 5 секунд
timeout 5 > nul

rem останавливаем трассировку
netsh trace stop > nul

rem конвертируем файл .etl в удобный .txt, чтоб не открывать Microsoft Message Analyzer
netsh trace convert input=trace.etl output=trace.txt dump=txt > nul

rem посмотрим, кто у нас занимается RDP
type trace.txt | findstr "3389"

rem убираем временные файлы
:del trace*

Помимо создания формата .etl  можно ещё и сконвертировать файл трассировки в удобные форматы вроде .txt и .html.

С CMD самое большое неудобство в том, что без дополнительных утилит не так просто выполнить запуск скрипта, поэтому PsExec.exe или команду WMIC стоит держать под рукой:

wmic /user:"username" /password:"password" /node:"computer" process call create "sniffer.bat > log.txt"



No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное