Я хочу перехватить весь IP-трафик на компьютере с Windows, входящий и исходящий со всех интерфейсов.
- Мне необходимо иметь возможность зафиксировать идентификатор процесса, сгенерировавшего исходящий трафик.
- Мне нужно иметь возможность запускать захват из командной строки и автоматически анализировать файл захвата во внешнем инструменте.
Я пытаюсь использовать netsh, который, кажется, может выполнить эту работу. Однако у меня возникли проблемы с тем, как извлечь нужную мне информацию.
Запуск netsh trace start persistent=yes capture=yes tracefile=xxxзатем, netsh trace stopкажется, захватывает информацию, которая мне нужна. Если я загружу сгенерированный файл .etl в Windows Message Analyzer (WMA), то я смогу увидеть IP-трафик вместе смногодругой информации о событии
Мои конкретные проблемы:
- Как ограничить
netshзахват только IP-трафика? - Как проанализировать файл ETL без такого инструмента, как WMA?
По второму вопросу. Мне удалось преобразовать файл etl в файл xml (используя tracerptили netsh trace convert. Однако данные, похоже, неполны. Я не вижу, например, IP-адреса, на который, как я знаю, отправлялся трафик (подтверждено в WMA). Возможно, все это скрыто в каком-то двоичном блоке.