Coletando pacotes no windows sem instalar o Wireshark

by . Dicas, Microsoft, PowerShell, Script, Sistemas Operacionais, Tutoriais, Utilidade, Windows

Fala Pessoal,

Algumas semanas atrás estava ajudando um colega a fazer um troubleshooting em um servidor, para continuar com o trabalho, foi necessário monitorar/coletar os pacotes de rede. Infelizmente não era possível instalar o wireshark no servidor por questão de segurança e restrições


Então, neste momento, tivemos que achar uma solução nativa no Windows Server para coletar o trafego de rede passante numa determinada interface de rede.
Visando o uso de uma solução simples, segue abaixo um comando que podemos utilizar nativamente no windows sem a necessidade de instalar nada.

netsh trace start capture=yes report

Com o comando acima, o processo de captura foi iniciado ,e logo em seguida,ira aparecer o retorno na tela parecido com esse abaixo.

Trace configuration:
——————————————————————-
Status: Running
Trace File: C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Append: Off
Circular: On
Max Size: 250 MB
Report: Disabled

Note: O sistema vai gerar um arquivo .etl, no caminho informado em trace File, tome cuidado pois se você deixar este comando rodando por muito tempo, você pode encher o disco.
Voce também pode customizar este comando, usando a documentação da Microsoft como exemplo: na sessão de documentação, logo abaixo.

O comando abaixo é necessário para parar a coleta dos pacotes de rede, logo em seguida,ira aparecer o retorno na tela parecido com esse abaixo.

netsh trace stop

Merging traces … done
File location = C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl
Tracing session was successfully stopped.

No passado a microsoft disponibilizava uma software para poder visualizar os pacote, o nao famoso Microsoft Message Analyzer, esse aplicativo foi descontinuado em 2019.
Uma solução de contorno para isso é, converter o pacote gerado para capture para a .pcapng, o pacote pcapng pode ser exportado para wireshark ou outro software com capacitada de leitura.
Como alternativa a Microsoft criou este software etl2pcapng, que é responsável por conversar o arquivo gerado durante a captura pcapng.

Instalando etl2pcapng

A instalacao é bem simples, acesse essa pagina: https://github.com/microsoft/etl2pcapng/releases
E, baixe a ultima versão disponível no github, extrai o arquivo zip no seu computador e rode o comando abaixo para converter o arquivo etl.

etl2pcapng.exe C:\Users\Administrator\AppData\Local\Temp\NetTraces\NetTrace.etl saida.pcapng

Neste exemplo, vamos utilizar o arquivo .etl, que foi gerado no exemplo anterior e vou converter com nome saida.pcapng.

Com isso, você pode pegar o arquivo saida.pcapng, e abrir isso no wireshark ou qualquer outro software.

Documentação:

Netsh
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj129382(v=ws.11)

etl2pcapng

Utility that converts an .etl file containing a Windows network packet capture into .pcapng format.
https://github.com/microsoft/etl2pcapng
92 forks.
486 stars.
9 open issues.

Recent commits: