在Windows中捕获网络流量
这是什么? 这经常发生在我身上……有些事情很奇怪或没有按预期工作,心中不禁会问:“发生了什么?为什么客户端或服务器会这样表现?”通常,这些都是与网络相关的问题。
一位安全研究人员曾告诉我:“如果你想了解一个系统是如何工作的,你必须理解网络流量。几乎所有问题都可以在网络层面上进行诊断。” 根据我的经验,这确实是事实。 🥳
不幸的是,我的经验也表明,许多人不知道如何在Windows中捕获网络流量,而唯一的解决方案就是***“让我们安装Wireshark”***。
好吧,即使Wireshark是一个很棒的工具,但它并不是唯一的解决方案,也可能不是快速和一次性捕获的最佳解决方案。尤其是当涉及到你那些安全性极高的服务器时,肯定有更好、更快的解决方案。
关于这种情况的考虑 再说一次,Wireshark是一个强大的工具,或多或少是事实上的网络协议分析标准。你肯定会用它来分析捕获到的内容。但Wireshark的缺点是:
它无法在不安装额外组件的情况下捕获:一个网络驱动程序(WinPcap或Npcap)。 它是一个活跃且复杂的工具,包含许多二进制文件和潜在的漏洞。 在服务器上的每次安装都是一个潜在的攻击向量,并会导致你的服务器变得独特。 这可能不是你想在生产服务器上使用的工具,尤其是当你只想捕获一些流量进行快速分析时。 无论如何,把它放在你的工作站上分析捕获到的内容。你甚至不需要管理员权限就可以使用Wireshark进行分析! Wireshark可以作为便携式安装正常运行,而无需进行任何系统范围的安装。 那么,有什么替代方案? 在Windows中有几种替代方案可以完成这项工作。最棒的是,你不需要在机器上安装任何东西。Windows中有内置工具可以完成这项工作……而且它们非常强大。结合一些PowerShell和PSRemoting功能,这很容易扩展。
1. netsh trace - 老而弥坚 netsh trace 命令是Windows中的一个内置工具,允许你在不需要额外软件的情况下捕获网络流量。它使用Windows事件跟踪(ETW)框架来捕获和记录网络事件。 基本上,它是netsh trace start和netsh trace stop来开始和停止捕获,但还有netsh trace show来显示当前状态,以及netsh trace convert来将捕获的数据转换为更易读的格式。
以下是netsh trace中可用命令的快速概述:
以下命令可用: 在此上下文中的命令: ? - 显示命令列表。 convert - 将跟踪文件转换为HTML报告。 correlate - 将跟踪文件标准化或过滤到新输出文件。 diagnose - 启动诊断会话。 dump - 显示配置脚本。 export - 将场景导出到WPR配置文件。 help - 显示命令列表。 merge - 合并跟踪文件并添加符号元数据。 postreset - show - 列出接口、提供程序和跟踪状态。 start - 开始跟踪。 stop - 停止跟踪。 要查看命令的帮助,请输入命令,后跟空格,然后输入?。 现在,让我们关注start和stop命令,这些是你将用来捕获网络流量的命令。命名是相当自解释的,我想。要开始网络捕获,你需要指定一些额外的参数。基本上,你只需要指定你想捕获流量。这就是参数capture=yes。 即使这就是你所需的绝对最小值,还有一个推荐的参数以提高效率。如果你只关心捕获网络流量,可以通过report=disabled禁用netsh的报告生成行为。这将加快捕获过程并减少捕获文件的大小,因为它不会包含额外的报告数据。 其余参数可以根据你的需要自定义捕获过程。当然,你可以指定保存跟踪的位置和捕获内容,但这不是强制性的。
