windows自带工具netsh trace 抓包

时间：2023-11-11 11:55:47浏览次数：38

标签：protocol netsh trace windows 抓包 yes etl

简单实例

管理员模式运行

netsh trace start capture=yes report=disabled protocol=TCP ipv4.address=192.168.0.40 tracefile=d:\a.etl

停止抓包

netsh trace stop

-------------------------------------------------------------

其它可选参数

report=enabled 则还会额外输出系统的各类软硬件及系统诊断配置信息并打包为cab格式。disabled

persistent=yes 即使重启设备也会继续抓包，除非运行netsh trace stop 。默认是no

fielmode=single|circular|append 默认为circular

maxsize 默认为250MB，如果不限制抓包文件大小需要设置maxsize=0 同时需要设置 filemode=single

overwrite=yes|no 抓包文件是否覆盖原文件

correlation=yes：不收集关联事件默认yes

指定源地址

IPv4.SourceAddress=<x.x.x.x>

IPv4.DstinstionAddress=<x.x.x.x>

protocol=<protocol>

例如：

protocol=6

protocol=!(TCP,UDP)

protocol=(4-10)

后面填写协议名称或协议号，其中

ICMP 协议号1

IPv4 协议号4

TCP 协议号6

UDP 协议号17

IPv6 协议号41

IPv6 icmp协议号58

IPv4.address=<x.x.x.x>

CaptureInterface=<interface name 或 GUID> 使用命令netsh trace show interfaces可查看可用的接口

例子：

CaptureInterface={716A7812-4AEE-4545-9D00-C10EFD223551}

CaptureInterface=!{716A7812-4AEE-4545-9D00-C10EFD223551}

CaptureInterface="Local Area Connection"

查询其它可用的过滤条件

netsh trace show capturefilterhelp

------------------------------------------------------------------------------------

将抓包文件转换为XML

netsh trace convert input=NetTrace-ICP.etl output=NetTrace-ICP.etl.xml dump=XML

生成的etl文件可用微软件的network monitor查看，需要提前在Tools> options >Parser Profiles > windows 设置为Set As Active

Pasted Graphic.png

若需要转换为wireshark可查看的文件格式pcapng，需要使用到转换工具

etl文件转换转换工具下载地址

https://github.com/microsoft/etl2pcapng/releases

etl2pcapng.exe <infile><outfile>

例子

etl2pcapng.exe capture.etl out.pcapng

标签：protocol,netsh,trace,windows,抓包,yes,etl
From： https://www.cnblogs.com/id404/p/17825743.html

【小沐学前端】Windows下搭建WordPress（一、相关工具下载）
1、简介WordPress是基于PHP和MySQL的免费开源内容管理系统（CMS）。它是全球使用最广泛的CMS软件，截至2019年5月，它为排名前1000万个网站中提供了超过30％的支持，并拥有在使用CMS构建的所有网站中，估计有60％的市场份额。1.1Nginxnginx[enginex]是一个HTTP和反向代理服务器，邮件代理......
关于W3C制定的 JavaScript 标准事件模型，先事件捕获从windows > document 往下级直到
关于W3C制定的JavaScript标准事件模型，先事件捕获从windows>document往下级直到特定的事件节点，然后进行事件处理，再事件冒泡，从特定节点往上级，这个完整的过程dom2规定的事件流包括3个阶段：①事件捕获，②处于目标阶段（事件处理），③事件冒泡阶段。DOM2级事件"规定事件流的三个阶......
Windows 运行.sh文件
背景今天运行opencv的一段代码，其中有一个模型需要下载，原作者写了一个.sh脚本，运行脚本自动下载模型，尝试使用pycharm终端运行报错解决办法下载Git，使用Gitbash运行.sh脚本文件。Gitbash可以认为是一个简化版的终端，在Git中，可以将windows系统当做Linux系统使用。除了可以运......
Windows10+VSCode+cmake+opencv+ffmpeg+sdl2环境配置
一、概述在Windows10上配置一个C++开发环境：工具：VSCode编译器：Mingw64（使用gcc进行编译）构建工具：CMake第三方库：集成OpenCV、FFmpeg、SDL2二、操作步骤1.安装mingw64并配置bin目录到环境变量2.下载VSCode并安装3.安装CMake并......
windows忘记已连接的wifi网络密码如何查看
1、点击右下角WIFI图标，2、网络和Internet设置3、点击右边图标旁的WLAN名称。4、点击“无线属性”--》“安全”--》“显示字符”即可进行查看......
解决英文版Windows 2003中文乱码问题
解决英文版Windows2003中文乱码问题首先，将英文版Windows2003光碟放在光驱: 1.打开“控制面板”，双击“RegionalandLanguageOptions”图标，打开区域和语言设置窗口； 2.在区域和语言设置窗口中，选择“Language”选项卡，将“InstallFilesforEastAsianLanguag......
windows服务器中Oracle数据库定时备份
脚本准备remdelete10daysfilesforfiles/p"文件路径"/d-10/c"cmd/cechodeleting@file...&&del/f@path"remexpdpszsetsz_file=备份文件名字%date:~0,4%%date:~5,2%%date:~8,2%expdp数据库用户名/数据库密码@数据库实例名directory=路径对象dumpfile......
windows注册dll文件
帮忙装了一个C端的程序，碰到了之前没有接触过的功能———注册dll文件。注册dll文件还是挺简单的。首先按住win+r大开运行窗口，然后输入regsvr32，把需要注册的dll文件拖到运行窗口中，此时就会把dll文件的路径填充到文本框中，格式类似下面这样：regsvr32D:\xxxx.dll点击确定即可......
永久禁用Windows Defender代码方案（可恢复）【支持Windows10、Windows11】
永久禁用WindowsDefender代码方案（可恢复）【支持Windows10、Windows11】https://blog.csdn.net/m0_60961651/article/details/131090391代码文件下载地址：https://cloud.189.cn/t/jaieM3raeYjy视频演示文件下载地址：禁用操作（PowerShell要以管理员身份运行，视频演示不规范）：https://clo......
windows10 使用Xshell时出现丢失msvcr110.dll
Xshell启动报错如下：无法启动此程序，因为计算机中丢失MSVCR110.dll。尝试重新安装该程序以解决此问题。解决步骤如下：（亲测有效）1.进入网址：https://www.microsoft.com/zh-CN/download/details.aspx?id=30679点击下载； 2.下载以下两个程序包； 3.下载完成后依次安装安装后......

windows自带工具netsh trace 抓包

相关文章

赞助商

阅读排行