Ich möchte den gesamten IP-Verkehr auf einem Windows-Computer zu/von allen Schnittstellen erfassen.
- Ich muss in der Lage sein, die Prozess-ID zu erfassen, die den ausgehenden Datenverkehr generiert hat.
- Ich muss in der Lage sein, die Erfassung über die Befehlszeile auszulösen und die Erfassungsdatei automatisch in einem externen Tool zu analysieren.
Ich versuche zu verwenden netsh, was anscheinend funktioniert. Allerdings habe ich Probleme herauszufinden, wie ich die benötigten Informationen extrahieren kann.
netsh trace start persistent=yes capture=yes tracefile=xxxWenn ich es dann ausführe netsh trace stop, werden die Informationen, die ich brauche, anscheinend erfasst. Wenn ich die generierte .etl-Datei in den Windows Message Analyzer (WMA) lade, kann ich den IP-Verkehr zusammen mit einemvielvon weiteren Veranstaltungsinformationen
Meine konkreten Probleme sind:
- Wie kann ich
netshdie Erfassung ausschließlich des IP-Verkehrs einschränken? - Wie analysiere ich eine ETL-Datei ohne ein Tool wie WMA?
Zur zweiten Frage. Ich habe es geschafft, die ETL-Datei in eine XML-Datei zu konvertieren (mit tracerptoder ) netsh trace convert. Die Daten scheinen jedoch unvollständig zu sein. Ich kann beispielsweise eine IP-Adresse nicht sehen, von der ich weiß, dass Datenverkehr an sie gesendet wurde (bestätigt in WMA). Möglicherweise ist alles in einem Binärblob versteckt.