Windows
如何使用 netsh 命令從 Windows 中的 TCP 埠轉儲原始數據?
我有一個顯然很簡單的問題,但事實證明很難找到答案。
該站點具有高度安全的 Windows Server 2019 安裝和連接到它的設備,該設備在某個 TCP 埠上執行。
我需要一個來自該埠的原始數據樣本,需要幾分鐘,然後轉儲到二進製文件中。它需要盡可能原始(即,當我們從本地 .NET 應用程序連接到同一個埠時,它需要類似於我們從 TCP 流中讀取的內容)。
最好只為此使用內置的 Windows 工具(即
netsh
),但在最壞的情況下windump
或telnet
也可以。
是的,你可以用 netsh 做到這一點:
以管理員身份執行此命令:
netsh trace start capture=yes tracefile=c:\temp\trace.etl
然後,停止擷取
netsh trace stop
並抓取.etl
文件。在您的電腦上下載etl2pcapng,並使用它將 .etl 文件轉換為 pcapng 格式:
etl2pcapng.exe in.etl out.pcapng
最後,使用 Wireshark 或類似工具打開 pcapng 文件。
請注意,如果伺服器至少執行 Windows Server 2019 Update 2004,您也可以使用pktmon。