Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20201218_pktmon_netsh

ONO,Tetsuo
December 18, 2020

 20201218_pktmon_netsh

Windows10 のpktmonが使いやすかったので、
Windows7/8以降のnetsh trace コマンドと Linuxのtcpdump/tsharkとの簡単な比較も兼ねてスライドを起こしました。

ONO,Tetsuo

December 18, 2020
Tweet

More Decks by ONO,Tetsuo

Other Decks in How-to & DIY

Transcript

  1. 目次  はじめに  ケース1:Windows10 2004以降 の場合  ケース2:Windows 7/8.1

    の場合 ※Windows Server 2008-2016の場合、も  ケース3:一般的なLinuxの場合  ふりかえり
  2. 実際にpktmonを使う-2  管理者権限でコマンドプロンプトを開いて  キャプチャ開始  適当なタイミングで終了  ETLからPCAPNGに変換 

    ETLからTXTに変換(ダンプ?) pktmon start --etw -f .¥test.etl pktmon stop pktmon pcapng test.etl -o test.pcapng pktmon format test.etl -o test.txt
  3. 実際にpktmonを使う-3  出力したpcapng は、WireSharkでも読めます  WSL上にubuntuが入ってたら、こんな感じで ※Windows側のc:¥tmp に配置すると WSLでは /mnt/c/tmp

    にあるように見える # まあwiresharkをインストールするわけですが sudo apt install tshark # IPアドレスがxx.xx.xx.xx のパケットを抽出 tshark -r /mnt/c/tmp/test.pcap 'ip.addr==xx.xx.xx.xx'
  4. 実際にnetshを使う-2  ホントは先述のpktmonで解析できるはずなのですが… うまくいかないので、以下を参考に https://www.vwnet.jp/Windows/WS16/2017013001/PacketCapture.htm  Microsoft Network Monitor 3.4

    を取ってくる https://www.microsoft.com/en-us/download/details.aspx?id=4865  「Parser Profiles」→「NetworkMonitor Parsers」 →「Windows」に変更 で読みやすくなる
  5. 実際にtcpdumpを使う  CentOS7のばやい  実際に使う yum install tcpdump # tcpdump

    /libpcap が入る tcpdump -A # 入出力したパケットが全部表示される tcpdump -w output.pcap # output.pcap に出力 ^Cで中断 tcpdump –r input.pcap # input.pcap の内容を表示
  6. 実際にWireSharkを使う  tcpdumpの結果をより絞り込みたいときはtsharkを使う  CentOS7のばやい  実際に使う yum install wireshark

    # wireshak /libpcap 他が入る # tcpdumpで採取したinput.pcap の内容を表示 tshark –r input.pcap “ip.src==192.168.1.23” -n