Štítek: síťový provoz

Počínaje Windows 7 (a server 2008R2) je součástí systému možnost zachycení veškerého síťového provozu do standardního logovacího souboru etl, který je možné dále analyzovat různými nástroji, buď nativně pomocí PowerShellu, nebo je možné využít externí nástroje. Důležité ovšem je, že sebrání stopy síťového provozu je možné kdykoliv pomocí CMD nebo PowerShellu bez nutnosti mít na daném PC aplikace jako je Wireshark. Jediná nevýhoda tohoto postupu je, že k analýze dochzí až zpětně a jsme limitováni velikostí uložiště, na které zapisujeme log, naopak výhodou je, že záznam může být přímo ukládán na síťový disk nebo USB klíčenku.

Níže uvedu příklad PowerShellového kódu, který můžete uložit jako skript, nebo jen vložit do PowerShell konzole k sebrání vzorku síťového provozu. Pro provedení kódu je nutné míst PowerShell spustěný jako správce.

Write-Host "Příklad cesty k uložení logu: c:\temp\nettrace-boot.etl"
$cesta = Read-Host -Prompt "Zadej cestu k ložení logu"
Invoke-Expression "netsh trace start persistent=yes capture=yes tracefile=$cesta"
Read-Host "Stiskni enter pro ukončení logování"
Invoke-Expression "netsh trace stop"

Pro zjednodušení analýzy provozu doporučuji využít MS Network Monitor, ale je možné využít cokoliv jiného. Dále se bude popis využívat zmíně Network Monitor.

1. Otevřeme záskaný záznam síťového provozu

2. V menu Tools otevřeme položku Option
3. Zvolíme katru Parser Profiles
4. Vybereme možnost Windows a klikenem na Set As Active

Nyní již můžeme podrobně analyzovat veškerý zachycený síťový provoz.