windows自带工具netsh trace 抓包

 

简单实例

 

管理员模式运行

netsh trace start capture=yes report=disabled  protocol=TCP ipv4.address=192.168.0.40 tracefile=d:\a.etl

 

 

停止抓包

netsh trace stop

 

 

-------------------------------------------------------------

其它可选参数

 report=enabled 则还会额外输出系统的各类软硬件及系统诊断配置信息并打包为cab格式。disabled

persistent=yes 即使重启设备也会继续抓包,除非运行netsh trace stop 。默认是no

fielmode=single|circular|append  默认为circular

maxsize  默认为250MB,如果不限制抓包文件大小需要设置maxsize=0 同时需要设置 filemode=single

overwrite=yes|no 抓包文件是否覆盖原文件

correlation=yes: 不收集关联事件 默认yes

 

 

指定源地址

IPv4.SourceAddress=<x.x.x.x>

IPv4.DstinstionAddress=<x.x.x.x>

 

 

protocol=<protocol>

例如:

protocol=6

protocol=!(TCP,UDP)

protocol=(4-10)

后面填写协议名称或协议号,其中

ICMP 协议号1

IPv4 协议号4

TCP 协议号6

UDP 协议号17

IPv6 协议号41

IPv6  icmp协议号58

 

IPv4.address=<x.x.x.x>

 

CaptureInterface=<interface name 或 GUID>  使用命令netsh trace show interfaces可查看可用的接口

例子: 

CaptureInterface={716A7812-4AEE-4545-9D00-C10EFD223551}

CaptureInterface=!{716A7812-4AEE-4545-9D00-C10EFD223551}

CaptureInterface="Local Area Connection"

 

 

查询其它可用的过滤条件

netsh trace show capturefilterhelp

 

 

------------------------------------------------------------------------------------

将抓包文件转换为XML

netsh trace convert input=NetTrace-ICP.etl output=NetTrace-ICP.etl.xml dump=XML

 

 

生成的etl文件可用微软件的network monitor查看 ,需要提前在Tools> options >Parser Profiles > windows 设置为Set As Active 

 

 

若需要转换为wireshark可查看的文件格式pcapng,需要使用到转换工具

 

etl文件转换转换工具下载地址

https://github.com/microsoft/etl2pcapng/releases

 

etl2pcapng.exe <infile><outfile>

 

例子

etl2pcapng.exe capture.etl out.pcapng

 
posted @ 2023-11-11 11:43  id404  阅读(1841)  评论(0编辑  收藏  举报