Windows: Capturar tráfico


En ocasiones el administrador de sistemas requiere realizar capturas de tráfico para poder analizar y solucionar problemas.

A partir de Windows 7 y Windows Server 2008 R2 disponemos de la posibilidad de capturar tráfico sin instalar software de terceros en el equipo utilizando el comando: netsh trace

Funcionamiento básico de netsh trace:

Su funcionamiento es muy sencillo, veamos un ejemplo:

Windows: Capturar tráfico

1) Creamos un directorio, en el ejemplo C:\SYSADMIT

2) Ejecutamos el capturador de tráfico:

netsh trace start persistent=yes capture=yes tracefile=C:\SYSADMIT\Trazas-Red.etl

3) Detenemos el capturador de tráfico:

netsh trace stop

* Si quisiéramos ver el estado de la captura antes de detenerla, bastaría con ejecutar: netsh trace show status
 
4) Resultados generados en C:\SYSADMIT:

* Fichero ETL: Trazas capturadas (Event Trace Log).
* Fichero CAB: En su interior veremos ficheros de report.

Interior fichero CAB:

Si descomprimimos el fichero CAB, veremos toda una serie de ficheros correspondientes a los reports generados.

Entre los formatos de los ficheros de los reports veremos: TXT, XML, EVTX (Visor de eventos), entre otros.

También encontraremos el fichero: report.html con enlaces a los reports generados, muy útil para disponer de un índice de los mismos.

El contenido del fichero report.html tiene un aspecto similar a este:

Configuración general
    OS Information
    Credential Providers

Configuración de red
    Environment Information
    Adapter Information
    DNS Information
    Neighbor Information

Configuración inalámbrica
    WLAN Auto-Config Eventlog

Windows Connect Now
    WCN Information

Firewall de Windows
    Windows Firewall Configuration
    Windows Firewall Effective Rules
    Connection Security Eventlog
    Connection Security Eventlog (Verbose)
    Firewall Eventlog
    Firewall Eventlog (Verbose)

Configuración Winsock
    Winsock LSP Catalog

Uso compartido de archivos
    File Sharing Configuration

Volcados de memoria de claves del Registro
    Credential Providers
    Credential Provider Filters
    API Permissions
    WlanSvc HKLM Dump
    WinLogon Notification Subscribers
    Network Profiles

Archivos de seguimiento
    Primary Event Trace Log (ETL)

Interior fichero ETL:

El fichero ETL generado puede ser analizado con "Microsoft Message Analyzer", herramienta gratuita que podemos descargar de la web de Microsoft.

Con  "Microsoft Message Analyzer" podremos analizar el tráfico capturado, filtrarlo, etc..

Vista ejecución de "Microsoft Message Analyzer":


Con "Microsoft Message Analyzer" también podemos exportar el fichero ETL a formato CAP. Con formato CAP podremos leer el fichero desde Wireshark.

Algunos consejos de uso de netsh trace:

1) Examinar los parámetros disponibles:

Algunos ejemplos de parámetros disponibles que podemos encontrar:

persistent: Los valores posibles son yes o no, el valor por defecto es no. Si configuramos el valor persistent a yes, conseguiremos que la captura siga aunque reiniciemos el equipo. Solo se detendrá la captura cuando ejecutemos: netsh trace stop

maxSize: Valor en MB correspondiente al fichero generado, el valor por defecto es de 250. Si configuramos 0, corresponde a ilimitado.

fileMode: Circular, significa que la captura, al llegar al valor especificado como maxSize por defecto 250MB, empezará a sobreescribirse la información.

2) Filtrar el tráfico en la propia captura:

Si filtramos el tráfico en la propia captura conseguiremos un tamaño de fichero muy mas manejable para su posterior análisis.

Si ejecutamos el comando:

netsh trace show CaptureFilterHelp

veremos todas las parámetros disponibles de filtrado.

Algunos ejemplos sobre la posibilidad de filtrado:

- Indicar el interfaz de red a utilizar en la captura.
- Filtrado por dirección MAC: Origen, destino o ambas.
- Filtrado por IP origen / destino.
- Filtrado por IPv4 o IPv6.
- Filtrado TCP / UDP. 

También es posible concatenar filtros.

No hay comentarios:

Publicar un comentario