Windows

如何使用 netsh 命令從 Windows 中的 TCP 埠轉儲原始數據?

  • September 8, 2020

我有一個顯然很簡單的問題,但事實證明很難找到答案。

該站點具有高度安全的 Windows Server 2019 安裝和連接到它的設備,該設備在某個 TCP 埠上執行。

我需要一個來自該埠的原始數據樣本,需要幾分鐘,然後轉儲到二進製文件中。它需要盡可能原始(即,當我們從本地 .NET 應用程序連接到同一個埠時,它需要類似於我們從 TCP 流中讀取的內容)。

最好只為此使用內置的 Windows 工具(即netsh),但在最壞的情況下windumptelnet也可以。

是的,你可以用 netsh 做到這一點:

以管理員身份執行此命令:

netsh trace start capture=yes tracefile=c:\temp\trace.etl

然後,停止擷取netsh trace stop並抓取.etl文件。

在您的電腦上下載etl2pcapng,並使用它將 .etl 文件轉換為 pcapng 格式:etl2pcapng.exe in.etl out.pcapng

最後,使用 Wireshark 或類似工具打開 pcapng 文件。

請注意,如果伺服器至少執行 Windows Server 2019 Update 2004,您也可以使用pktmon

引用自:https://serverfault.com/questions/1033092