Всем привет.
Когда нам нужен сниффер для сетевого трафика первое что приходит в голову это Wireshark. Круто? Несомненно, но новичку придется повозится час другой чтобы его начать эффективно использовать. К тому же нередко задача стоит такая чтобы отловить определенный пакет и не более. Т.е. администратора больше заинтересовал бы консольный вариант утилиты.
Верно, Wireshark имеет и такую возможность, но в этом случае можно обойтись и встроенными средствами Windows с помощью PowerShell и даже просто bat-файла.. Такие скрипты пригодятся в сценариях автоматизированного анализа трафика.
Ниже пример трассировки RDP сессий.
@echo off
rem запускаем трассировку
netsh trace start InternetClient provider=Microsoft-Windows-TCPIP level=5 tracefile=trace.etl > nul
rem ждем 5 секунд
timeout 5 > nul
rem останавливаем трассировку
netsh trace stop > nul
rem конвертируем файл .etl в удобный .txt, чтоб не открывать Microsoft Message Analyzer
netsh trace convert input=trace.etl output=trace.txt dump=txt > nul
rem посмотрим, кто у нас занимается RDP
type trace.txt | findstr "3389"
rem убираем временные файлы
:del trace*
Помимо создания формата .etl можно ещё и сконвертировать файл трассировки в удобные форматы вроде .txt и .html.
С CMD самое большое неудобство в том, что без дополнительных утилит не так просто выполнить запуск скрипта, поэтому PsExec.exe или команду WMIC стоит держать под рукой:
wmic /user:"username" /password:"password" /node:"computer" process call create "sniffer.bat > log.txt"
No comments:
Post a Comment
А что вы думаете по этому поводу?