您的位置: 首页  >  文章  >  使用netsh trace抓包

使用netsh trace抓包

分类: 文章 2024-08-07 11:50:16

转载、复制于https://www.jianshu.com/p/4c2eedfe6dee

Netsh

  • 在Windows7以后,NetSh工具本身已经成为一个功能非常强大的命令行工具。强烈建议任何在Windows系统上提供支持的人来研究学习其提供的所有选项。在本篇文章中,将着重介绍Netsh Trace的使用

Netsh Trace

  • 在过去,如果你想进行网络数据包跟踪,则需要在终端计算机上安装工具,例如WireShark或Microsoft Network Monitor。然而当你使用Windows 7时,这一切将不再需要。
    使用Netsh Trace的优势:
    1. 不用安装第三方工具。
    2. 能够进行下持续追踪。
    3. 能够指定特定监控方式。
    4. 在启用Windows解析器的Microsoft网络监视器中可以查看数据包跟踪。这使使用者可以以更直观的方式看到SMB / WMI的流量。
    5. 能够生成报告以及数据包跟踪,其中包括您需要了解的与网络相关的所有信息,这些信息都存储在一个.cab文件中。

开始使用Netsh Trace

  • 基本的启用持续追踪并生成报告的方式如下:
    netsh trace start capture=YES report=YES persistent=YES
    停止追踪的方式如下:
    netsh trace stop

使用netsh trace抓包

在该目录下会生成一个.cab文件和.etl文件。在.cab文件中包含了report.html、report.xml、report.xsl、report.etl等文件:

使用netsh trace抓包

打开report.xml可以看到计算的基本信息:计算机基本信息、网络基本信息等。

使用netsh trace抓包

在cab文件的config文件夹下,还可以看到以下文件:
adapterinfo.txt:所有已安装的网络驱动程序说明,​​硬件ID,GUID,版本和提供程序。
Dns.txt:IPCONFIG / DISPLAYDNS的输出内容,NETSH NAMESPACE SHOW EFFECTIVE和NETSH NAMESPACE SHOW POLICY。
envinfo.txt:有关无线和有线适配器和网络配置文件的详细信息。
FileSharing.txt:NBTSTAT –N, NBTSTAT –C, NET CONFIG RDR, NET CONFIG SRV, NET SHARE的输出结果汇总。
gpresult.txt:gpresult /v 的输出结果。
**LocaleMetaData **:包含WCM,Windows防火墙,无线/有线自动配置的MTA日志文件的文件夹。
Neighbors.txt:ARP -A,NETSH INT IPV6 SHOW NEIGHBORS的输出结果汇总。
netevents.xml:以XML格式的输出一些网络事件(即FWPM_NET_EVENT_TYPE_CLASSIFY_DROP)。
netiostate.txt:Teredo参数。
osinfo.txt:操作系统的版本以及基本架构的基础信息。
sysports.xml:与Teredo / IP Helper服务相关的系统端口。
WCMLog.evtx:Microsoft-Windows-Wcmsvc/Operational 日志 (Windows Connection Manager)。
WcnInfo.txt:wcnsvc,wlansvc,eaphost,fdrespub,upnphost,eaphost,WCN DLL的文件版本信息,网络适配器信息,当前配置文件的网络发现状态以及当前防火墙配置文件信息的服务状态。
wfpfilters.xml:WFP过滤器信息。
wfpstate.xml:WFP状态信息。
WindowsFirewallConfig.txt:Windows防火墙配置。
WindowsFirewallConsecLog.evtx:Windows firewall event log。
WindowsFirewallConsecLogVerbose.evtx:Windows firewall event log。
WindowsFirewallEffectiveRules.txt:Windows防火墙有效规则。
WindowsFirewallLog.evtx:Windows firewall event log。
WindowsFirewallLogVerbose.evtx:Windows firewall event log。
WinsockCatalog.txt:所有已安装的Winsock目录提供程序的详细信息。
WLANAutoConfigLog.evtx:Wired LAN Auto-Config event log。
WWANLog.evtx:Wireless LAN Auto-Config event log。

Netsh Trace深入了解

用法: trace start [[scenario=]<scenario1,scenario2>]
[[globalKeywords=]keywords] [[globalLevel=]level]
[[capture=]yes|no] [[report=]yes|no]
[[persistent=]yes|no] [[traceFile=]path\filename]
[[maxSize=]filemaxsize] [[fileMode=]single|circular|append]
[[overwrite=]yes|no] [[correlation=]yes|no|disabled] [capturefilters]
[[provider=]providerIdOrName] [[keywords=]keywordMaskOrSet]
[[level=]level] [[provider=]provider2IdOrName]
[[keywords=]keyword2MaskOrSet] [[level=]level2] ...
默认值:
capture=no (指定除了跟踪事件之外是否还启用数据包捕获)
report=no (指定是否在生成补充报告的同时还生成跟踪文件)
persistent=no (指定跟踪会话在重新启动之后是否继续,以及在发布 netsh 跟踪停止之前是否启用)
maxSize=250 MB (指定最大跟踪文件大小,0=无最大值)
fileMode=circular
overwrite=yes (指定是否将覆盖现有跟踪输出文件)
correlation=yes (指定是否将关联 相关事件以及是否将相关事件分到一个组中)
traceFile=%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl(指定输出文件的位置)

  • scenarios说明:运行netsh trace show scenario时,会得到以下18种可用方案:

AddressAcquisition : 地址获取相关问题的疑难解答
DirectAccess : DirectAccess 相关问题的疑难解答
FileSharing : 对常见的文件和打印机共享问题进行疑难解答
InternetClient : 诊断 Web 连接问题
InternetServer : 对服务器端 Web 连接问题进行故障排除
L2SEC : 第 2 层身份验证相关问题的疑难解答
LAN : 有线 LAN 相关问题的疑难解答
Layer2 : 第 2 层连接相关问题的疑难解答
MBN : 移动宽带相关问题的疑难解答
NDIS : 网络适配器相关问题的疑难解答
NetConnection : 网络连接相关问题的疑难解答
P2P-Grouping : 对等分组问题疑难解答
P2P-PNRP : 对等名称解析协议(PNRP)相关问题的疑难解答
RemoteAssistance : 对与 Windows 远程协助相关的问题进行疑难解答
RPC : 与 RPC 框架相关问题的疑难解答
WCN : 解决“Windows 立即连接”相关的问题
WFP-IPsec : 对 Windows 筛选平台和 IPSec 相关问题进行疑难解答
WLAN : 无线 LAN 相关问题的疑难解答

  • providers说明:当运行netsh trace show providers时,会得到很多不同的提供者。如果要检查这些不同的提供者,请自行在计算机上运行该命令(由于内容较多,此处不在贴出)。
  • level说明:netsh命令行帮助中关于level选项的说明,但是在此处记录了http://msdn.microsoft.com/en-us/library/windows/desktop/dd569142(v=vs.85).aspx
    level分为1~5等级,分别是:
    1-Critical-Only critical events will be shown.
    2-Errors-Critical events and errors will be shown.
    3-Warnings-Critical events, errors, and warnings will be shown.
    4-Informational-Critical events, errors, warnings, and informational events will be shown.
    5-Verbose-All events will be shown.

关于使用Netsh Trace的一些建议

  1. 如果需要网络监控Outlook流量,需在监控期间禁用加密。
  2. 如果监控http / https流量请考虑使用Fiddler2。
  3. 安装Microsoft Network Monitor(http://www.microsoft.com/download/en/details.aspx?id=4865)时,请始终在http://nmparsers.codeplex.com/上安装最新的解析器。

  4. 如果使用Microsoft Network Monitor查看.ETL数据包捕获,你必须设置Windows解析器。这个在Microsoft Network Monitor的tools-options菜单中设置:

使用netsh trace抓包

相关推荐