ضبط کردن ترافیک شبکه با ابزار CMD

ضبط یا کپچر گرفتن تمام ترافیک های داخل شبکه

ضبط کردن ترافیک شبکه به کمک ابزار Netsh در CMD

هنگامی که قادر به نصب برنامه Wireshark یا Microsoft Network Monitor یا سایر نرم افزار های مانیتورینگ شبکه در یک سرور نیستید، می توانید با اجرای برنامه netsh.exe که به صورت پیش فرض داخل ویندوز قرار دارد و از طریق command line قابل دسترس و اجرا می باشد، تمامی ترافیک های داخل شبکه خود را در حالت های مختلف ضبط کنید. از این عمل برای شنود (Sniff) عملکرد شبکه نیز می توان استفاده کرد. پس در این مقاله با نحوهضبط کردن ترافیک شبکه” آشنا خواهید شد.

netsh چیست؟

netsh
ضبط کردن ترافیک شبکه با ابزار CMD

netsh یا Network Shell یک ابزار اسکریپتی یا نوعی برنامه نویسی خط فرمان است که امکان نمایش اطلاعات مربوط به شبکه خود که در حال اجرا هستند را فراهم می کند و به شما اجازه می دهد پیکربندی های کامپیوتر خود را که داخل شبکه ارتباطی قرار دارد یعنی به شبکه متصل و در حین کار کردن باشد را تغییر دهید. با اجرای این ابزار یا دستور می توان از بخش های مختلف در پرونده های دسته ای یا اسکریپت ها نیز استفاده کرد و حتی کامپیوترهای از راه دور و محلی local را می توان با استفاده از دستورات netsh پیکربندی کرد.

مراحل انجام ضبط کردن ترافیک شبکه در ویندوز

برای این کار لازم است ابتدا با سطح دسترسی administrator وارد محیط cmd شوید. سپس با زدن کلیدهای ترکیبی windows+R از صفحه کلید یا keyboard وارد پنجره Run شده سپس دستور cmd را تایپ کرده و کلیدهای Ctrl+Shift+Enter را به صورت همزمان می فشاریم، زدن این کلید ها معادل اجرای برنامه با Run as administrator می باشد. در محیط command Prompt دستورات زیر را اجرا می کنیم.

netsh trace start capture=yes tracefile=c:\kaliboysSniff.etl fileMode=single maxSize=250

با این دستور فایلی با پسوند etl در مسیر تعیین شده درایور C با نام kaliboysSniff.etl ایجاد شده که تا 250 مگابایت ظرفیت برای نگهداری اطلاعات ضبط شده یا کپچرشده از تمام ترافیک های شبکه به صورت کدگذاری شده به کار می رود. چنانچه حجم این فایل کامل شود ضبط ترافیک شبکه متوقف می شود و اگر قصد توقف دستی را داشته باشیم میتوانیم با دستور زیر عملیات ضبط ترافیک شبکه را به اتمام برسانیم.

class="theme:terminal lang:zsh decode:true" style="direction: ltr;" data-mce-style="direction: ltr;"> netsh trace stop

با اجرای دستور بالا یک فایل با پسوند Cab برای ما در همان مسیر ایجاد خواهد شد که این فایل را می توانیم با برنامه های مانیتوریگ مثل وایرشاک نیز اجرا کنیم در ضمن فایل ایجاد شده عملیات ضبط تمام ترافیک شبکه که با پسوند etl بود را می توان با برنامه Event Viewer در ویندوز باز کرد و اطلاعات مربوط به هر Log را دید.

برای دیدن وضعیت ترافیک شبکه از دستور زیر استفاده می کنیم:

netsh trace show status

برای دیدن تنظیمات بیشتری که قابلیت اعمال در ضبط ترافیک شبکه را دارند از دستور زیر استفاده می کنیم.

netsh trace show capturefilterHelp

چناچه قصد ضبط تمام ترافیک های بین سرور محلی و آدرس مقصد را داشته باشیم مطابق دستور زیر عمل می کنیم:

netsh trace start capture=yes Ethernet.Type=IPv4 IPv4.Address=x.x.x.x tracefile=c:\temp\trace.etl

اگرچه قصد ضبط کردن ترافیک یک پروتکل خاصی را داشته باشییم میتوانیم شماره پروتکل مربوطه را مطابق دستور زیر وارد کنیم.

class="theme:terminal lang:zsh decode:true" style="direction: ltr;"> netsh trace start capture=yes protocol=17 tracefile=c:\temp\trace.etl

در دستور بالا تمام ترافیک های پروتکل UDP که با شماره 17 مشخص شده است ضبط میشود. حجم پیش فرض برای توقف فایل ضبط ترافیک etl معادل 250مگابایت می باشد.

چنانچه کارت شبکه کامپیوتر یا سرور شما دارای چندین رابط یا اینترفیس مختلف اعم از Lan وWireless باشد و قصد ضبط کردن تمام ترافیک یک رابط خاصی را داشته باشید به صورت زیر عمل می کنیم.

netsh trace start capture=yes tracefile=c:\temp\trace.etl CaptureInterface=”Local Area Connection”

فیلم آموزشی کپچر کردن ترافیک شبکه

در ویدیوی آموزشی زیر ابتدا مراحل بالا به صورت عملی انجام شده سپس درباره نرم افزار مانیتورینگ وایرشارک و نحوه فیلتر نمودن برای نمایش ترافیک با تعیین نوع پروتکل توضیح داده شده است.

 

امیدوارم این آموزش برای شما عزیزان مفید بوده باشه. منتظر سوالات و انتقادات و پیشنهادات شما هستیم.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.