Resultados 1 al 2 de 2

Netsh trace, realiza capturas de tráfico de red sin necesidad de instalar nada

  1. #1 Netsh trace, realiza capturas de tráfico de red sin necesidad de instalar nada 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    En Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon para realizar una captura de tráfico, con el comando 'netsh trace' es posible hacerlo directamente desde la línea de comandos:


    Básicamente desde una consola con permisos administrativos ejecutamos el comando 'netsh trace start' con los parámetros deseados para iniciar la captura:

    C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES

    Y posteriormente cuando queramos paramos la monitorización con el comando:

    C:\Windows\system32> netsh trace stop

    Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión .ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.

    El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:

    - es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.


    - tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.


    - se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').


    - permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.


    - junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB


    - las trazas de paquetes se pueden ver en el Monitor de red de Microsoft con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada



    - O si lo prefieres, puedes incluso exportar el fichero ETL a formato CAP con Microsoft Message Analyzer Beta 3 para abrirlo con Wireshark


    Fuentes:
    http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html
    http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx
    http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/
    http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.919
    Descargas
    8
    Uploads
    1
    +1 buen artículo, me gusta
    He conocido muchos dioses. Quien niegue su existencia está tan ciego como el que confía en ellos con una fe desmesurada. Robert E. Howard
    La suerte ayuda a la mente preparada.
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 21-05-2012, 11:57
  2. ayuda comando Netsh Activar/Desactivar red
    Por marquezzzzz en el foro WINDOWS
    Respuestas: 1
    Último mensaje: 31-03-2009, 20:29
  3. como acelerar la capturas de paquetes Ivs?
    Por gdogui en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 22-12-2007, 21:36
  4. Respuestas: 8
    Último mensaje: 08-09-2006, 20:54
  5. neo trace
    Por guapitos en el foro HACK HiSPANO
    Respuestas: 0
    Último mensaje: 25-09-2002, 01:54

Marcadores

Marcadores