Netsh trace, realiza capturas de tráfico de red sin necesidad de instalar nada

En Windows 7/2008 R2 ya no es necesario instalar WireShark o Netmon para realizar una captura de tráfico, con el comando 'netsh trace' es posible hacerlo directamente desde la línea de comandos:


Básicamente desde una consola con permisos administrativos ejecutamos el comando 'netsh trace start' con los parámetros deseados para iniciar la captura:

C:\Windows\system32> netsh trace start capture=YES report=YES persistent=YES

Y posteriormente cuando queramos paramos la monitorización con el comando:

C:\Windows\system32> netsh trace stop

Una vez finalizada la captura, se generarán dos ficheros por defecto: uno con extensión .ETL (Event Trace Log) que puede ser abierto con herramientas como Netmon, y otro con extensión .CAB que contiene abundante información sobre el software y hardware del sistema, así como la información del adaptador, estructura, sistema operativo y la configuración inalámbrica.

El uso de netsh para esnifar y analizar tráfico es muy cómodo y tremendamente útil en análisis forenses y en sistemas en los que no es posible o no se permite instalar software. Además con el tracing de netsh obtenemos otras ventajas importantes a considerar:

- es posible configurar la monitorización para que sea persistente, es decir, que permanezca después de un reinicio.


- tiene capacidad de registro circular: puedes dejar la monitorización de forma indefinida hasta que un evento determinado ocurra.


- se puede centrar en el seguimiento de un escenario específico ('netsh show scenarios').


- permite crear filtros y es muy parametrizable lo que le pone a la altura de otras herramientas y facilita la detección de problemas o troubleshooting de red. Por ej. puedes capturar los paquetes sólo con origen/destino una IP en concreto: 'netsh trace start capture = yes ipv4.address == x.x.x.x'.


- junto con la captura se pueden generar informes y todo se almacena en un único archivo .CAB

 
- las trazas de paquetes se pueden ver en el Monitor de red de Microsoft con el analizador de Windows habilitado. Esto también nos permite ver el tráfico de MS de forma más ordenada



- O si lo prefieres, puedes incluso exportar el fichero ETL a formato CAP con Microsoft Message Analyzer Beta 3 para abrirlo con Wireshark

Fuentes:
http://www.windowsnetworking.com/articles-tutorials/windows-7/New-Netsh-Commands-Windows-7-Server-2008-R2.html
http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use-wireshark-to-read-the-netsh-trace-output-etl.aspx
http://chentiangemalc.wordpress.com/2012/02/22/netsh-traceuse-it/
http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142%28v=vs.85%29.aspx

Comentarios