[Windows7] PC でパケットキャプチャ

今日はパケットキャプチャしてみたよ!
もちろん仕事だよ!

OS : Windows7 64bit

目的


自分の PC に来たパケットをキャプチャして、
スクリプトで編集できる形式(text)のファイルが欲しい。

用意するもの


・Microsoft Message Analyzer
・Wireshark

どっちも無料。
そしてどっちも英語。
だけど、まぁ多分大丈夫。

手順



  1. コマンドプロンプトを管理者権限で開く
    メニュー → アクセサリ → コマンドプロンプトのアイコンを右クリック
      管理者で開く

  2. パケットをキャプチャ
    netsh trace start capture=yes traceFile="C:\file_%date:/=%_%time::=%.etl"
    netsh trace stop で終了

    以下のような2ファイルが作成される
    例) file_20141014_235900.00.etl, file_20141014_235900.00.cab

    traceFileオプションを指定しない場合は、
     %TEMP%\NetTraces フォルダー内に NetTrace.etl, NetTrace.cab ができる

  3. Microsoft Message Analyzer で変換
    Microsoft Message Analyzer で *.etl ファイルを開く
    Save As → Export で、*.cap で保存

  4. Wireshark で変換
    Wireshark で *.cap を開く
    Print → Plain Text
         Browse... で出力ファイルを指定して Print

最終結果はこんな感じ。
No. Time Source Destination Protocol Length Info
   1 0.000000000 fe80::xxxx:xxxx:xxxx:xxxx ff02::x:x LLMNR 86 Standard query 0xaf28 A isatap

Frame 1: 86 bytes on wire (688 bits), 86 bytes captured (688 bits)
Ethernet II, Src: xxxx-_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: IPv6mcast_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 6, Src: xxxx::xxxx:xxxx:xxxx:xxxx (xxxx::xxxx:xxxx:xxxx:xxxx), Dst: ff02::x:x (ff02::x:x)
User Datagram Protocol, Src Port: xx (xx), Dst Port: xx (xx)
Link-local Multicast Name Resolution (query)

No. Time Source Destination Protocol Length Info
   2 0.000033600 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx LLMNR 66 Standard query 0xaf28 A isatap

Frame 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
Ethernet II, Src: Hewlett-_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: IPv4mcast_fc (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 4, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
User Datagram Protocol, Src Port: xx (xx), Dst Port: xx (xx)
Link-local Multicast Name Resolution (query)
...

[PR]
by xiaoxia | 2014-10-08 17:38 | コンピュータ関係 | Comments(0)

ダメ女プログラマ&主婦&腐女子&バイオリン弾き


by 小霞