LUK
14-11-2013, 16:22
En Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon para realizar una captura de tráfico, con el comando 'netsh trace' es posible hacerlo directamente desde la línea de comandos:
http://1.bp.blogspot.com/-ZHp9YYY6u68/UoTBRZzlvJI/AAAAAAAAS1s/xU2bCFftCmA/s1600/netsh-sample1.png (http://1.bp.blogspot.com/-ZHp9YYY6u68/UoTBRZzlvJI/AAAAAAAAS1s/xU2bCFftCmA/s1600/netsh-sample1.png)
Básicamente desde una consola con permisos administrativos ejecutamos el comando 'netsh trace start' con los parámetros deseados para iniciar la captura:
C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES
Y posteriormente cuando queramos paramos la monitorización con el comando:
C:\Windows\system32> netsh trace stop
Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión .ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.
El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:
- es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.
- tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.
- se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').
- permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.
- junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB
http://1.bp.blogspot.com/-fnbw6A2Glgs/UoTF8C-rYXI/AAAAAAAAS14/Td2mBjL2A2c/s400/netsh-sample2.png (http://1.bp.blogspot.com/-fnbw6A2Glgs/UoTF8C-rYXI/AAAAAAAAS14/Td2mBjL2A2c/s1600/netsh-sample2.png)
- las trazas de paquetes se pueden ver en el Monitor de red de Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=4865) con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada
http://4.bp.blogspot.com/-ix1sdGC2QQc/UoToCdAkMlI/AAAAAAAAS2I/vs7BpbbvY4s/s640/netmon-sample.png (http://4.bp.blogspot.com/-ix1sdGC2QQc/UoToCdAkMlI/AAAAAAAAS2I/vs7BpbbvY4s/s1600/netmon-sample.png)
- O si lo prefieres, puedes incluso exportar el fichero ETL a formato CAP (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx) con Microsoft Message Analyzer Beta 3 (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/installing-the-microsoft-message-analyzer-beta-3.aspx) para abrirlo con Wireshark
Fuentes:
http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html (http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html)
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx)
http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/ (http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/)
http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx (http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx)
http://1.bp.blogspot.com/-ZHp9YYY6u68/UoTBRZzlvJI/AAAAAAAAS1s/xU2bCFftCmA/s1600/netsh-sample1.png (http://1.bp.blogspot.com/-ZHp9YYY6u68/UoTBRZzlvJI/AAAAAAAAS1s/xU2bCFftCmA/s1600/netsh-sample1.png)
Básicamente desde una consola con permisos administrativos ejecutamos el comando 'netsh trace start' con los parámetros deseados para iniciar la captura:
C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES
Y posteriormente cuando queramos paramos la monitorización con el comando:
C:\Windows\system32> netsh trace stop
Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión .ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.
El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:
- es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.
- tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.
- se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').
- permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.
- junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB
http://1.bp.blogspot.com/-fnbw6A2Glgs/UoTF8C-rYXI/AAAAAAAAS14/Td2mBjL2A2c/s400/netsh-sample2.png (http://1.bp.blogspot.com/-fnbw6A2Glgs/UoTF8C-rYXI/AAAAAAAAS14/Td2mBjL2A2c/s1600/netsh-sample2.png)
- las trazas de paquetes se pueden ver en el Monitor de red de Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=4865) con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada
http://4.bp.blogspot.com/-ix1sdGC2QQc/UoToCdAkMlI/AAAAAAAAS2I/vs7BpbbvY4s/s640/netmon-sample.png (http://4.bp.blogspot.com/-ix1sdGC2QQc/UoToCdAkMlI/AAAAAAAAS2I/vs7BpbbvY4s/s1600/netmon-sample.png)
- O si lo prefieres, puedes incluso exportar el fichero ETL a formato CAP (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx) con Microsoft Message Analyzer Beta 3 (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/installing-the-microsoft-message-analyzer-beta-3.aspx) para abrirlo con Wireshark
Fuentes:
http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html (http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html)
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx (http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx)
http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/ (http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/)
http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx (http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx)