web-dev-qa-db-ja.com

NETSHを使用してネットワークトラフィックをスニッフィングおよび照合するにはどうすればよいですか?

私はすべてのネットワークトラフィックをキャプチャし、人間が読める方法で表示しようとしています。

Netshでパケットキャプチャを開始するには、次のコマンドを実行しています。

netsh trace start scenario=NetConnection capture=yes report=yes persistent=no maxsize=1024 correlation=yes traceFile=net-trace.etl

次に、QuickPHPを使用して、ユーザー名とパスワードを受け取り、それを自分自身に投稿するフォームをホストします。その後、トレースはnetsh trace stopで停止します。

キャプチャされたトラフィックを検査するには、次のコマンドを実行します。

netsh trace convert input=net-trace.etl output=net-trace-dump.txt dump=txt

ダンプされたトラフィックを読み取ると、エントリが理解できず、127.0.0.1のQuickPHPサーバーへのトラフィックが表示されません。さらに、.etlファイルをMicrosoftNetwork Monitorにインポートすると、トラフィックが1つのまとまりにまとめられ、QuickPHPトラフィックがまだ見つかりません。

Microsoft Network Monitorでキャプチャを実行し、QuickPHPトラフィックを確認することができました。

Microsoft Network Monitorからのキャプチャと同様の方法で、NETSHを使用してネットワークトラフィックをキャプチャし、ダンプされたテキストファイルまたはMicrosoft Network Monitorのいずれかで表示するにはどうすればよいですか?

よろしくお願いします!

1
jsc

netsh trace start capture=yesを他のものなしで使用するだけです。これにより、ネットワークモニターで表示できる基本的なパケットキャプチャが得られます。

Windowsフィルタリングプラットフォームの問題などのトラブルシューティングを行う場合を除いて、NetConnectionのようなETWプロバイダーを使用する必要はありません。

convertコマンドはまったく必要ありません。

3
Ryan Ries