ضبط کردن ترافیک شبکه به کمک ابزار Netsh در CMD
هنگامی که قادر به نصب برنامه Wireshark یا Microsoft Network Monitor یا سایر نرم افزار های مانیتورینگ شبکه در یک سرور نیستید، می توانید با اجرای برنامه netsh.exe که به صورت پیش فرض داخل ویندوز قرار دارد و از طریق command line قابل دسترس و اجرا می باشد، تمامی ترافیک های داخل شبکه خود را در حالت های مختلف ضبط کنید. از این عمل برای شنود (Sniff) عملکرد شبکه نیز می توان استفاده کرد. پس در این مقاله با نحوه “ضبط کردن ترافیک شبکه” آشنا خواهید شد.
netsh چیست؟
netsh یا Network Shell یک ابزار اسکریپتی یا نوعی برنامه نویسی خط فرمان است که امکان نمایش اطلاعات مربوط به شبکه خود که در حال اجرا هستند را فراهم می کند و به شما اجازه می دهد پیکربندی های کامپیوتر خود را که داخل شبکه ارتباطی قرار دارد یعنی به شبکه متصل و در حین کار کردن باشد را تغییر دهید. با اجرای این ابزار یا دستور می توان از بخش های مختلف در پرونده های دسته ای یا اسکریپت ها نیز استفاده کرد و حتی کامپیوترهای از راه دور و محلی local را می توان با استفاده از دستورات netsh پیکربندی کرد.
مراحل انجام ضبط کردن ترافیک شبکه در ویندوز
برای این کار لازم است ابتدا با سطح دسترسی administrator وارد محیط cmd شوید. سپس با زدن کلیدهای ترکیبی windows+R از صفحه کلید یا keyboard وارد پنجره Run شده سپس دستور cmd را تایپ کرده و کلیدهای Ctrl+Shift+Enter را به صورت همزمان می فشاریم، زدن این کلید ها معادل اجرای برنامه با Run as administrator می باشد. در محیط command Prompt دستورات زیر را اجرا می کنیم.
netsh trace start capture=yes tracefile=c:\kaliboysSniff.etl fileMode=single maxSize=250
با این دستور فایلی با پسوند etl در مسیر تعیین شده درایور C با نام kaliboysSniff.etl ایجاد شده که تا 250 مگابایت ظرفیت برای نگهداری اطلاعات ضبط شده یا کپچرشده از تمام ترافیک های شبکه به صورت کدگذاری شده به کار می رود. چنانچه حجم این فایل کامل شود ضبط ترافیک شبکه متوقف می شود.
با اجرای دستور بالا یک فایل با پسوند Cab برای ما در همان مسیر ایجاد خواهد شد که این فایل را می توانیم با برنامه های مانیتوریگ مثل وایرشاک نیز اجرا کنیم در ضمن فایل ایجاد شده عملیات ضبط تمام ترافیک شبکه که با پسوند etl بود را می توان با برنامه Event Viewer در ویندوز باز کرد و اطلاعات مربوط به هر Log را دید.
برای دیدن وضعیت ترافیک شبکه از دستور زیر استفاده می کنیم:
netsh trace show status
چنانچه کارت شبکه کامپیوتر یا سرور شما دارای چندین رابط یا اینترفیس مختلف اعم از Lan وWireless باشد و قصد ضبط کردن تمام ترافیک یک رابط خاصی را داشته باشید به صورت زیر عمل می کنیم.
netsh trace start capture=yes tracefile=c:\temp\trace.etl CaptureInterface=”Local Area Connection”
فیلم آموزشی کپچر کردن ترافیک شبکه
در ویدیوی آموزشی زیر ابتدا مراحل بالا به صورت عملی انجام شده سپس درباره نرم افزار مانیتورینگ وایرشارک و نحوه فیلتر نمودن برای نمایش ترافیک با تعیین نوع پروتکل توضیح داده شده است.
امیدوارم این آموزش برای شما عزیزان مفید بوده باشه. منتظر سوالات و انتقادات و پیشنهادات شما هستیم.
