Inhalt

Einen Netzwerk Trace ohne Wireshark erstellen

Wireshark ist ein mächtiges Tool, um Netzwerkdaten zu analysieren. Jedoch ist es auch ein weiteres Tool das regelmäßig mit Updates versorgt werden muss und das für das Mitschneiden der Netzwerkdaten auf zusätzliche Software (Npcap) angewiesen ist.

Aber Windows bringt von Haus die notwendigen Tools mit, um einen Netzwerkmitschnitt zu erstellen. Und mit einem kleinen Zusatztool wird aus der erstellten etl Datei auch problemlos eine pcap Datei. Eine Installation von Wireshark und Npcap ist somit den Mitschnitt der Daten nicht notwendig.

netsh

netsh ist ein sehr altes Tool in Windows und der Befehl netsh trace ist genau was wir suchen. Hiermit lässt sich der Trace Provider ndiscap steuern.

trace start

netsh trace start report=disabled capture=yes tracefile=C:\NetworkTraceFull.etl

Die einzelnen Parameter haben folgende Auswirkung:

  • trace start - Startet den eigentlichen Trace und wird mir den nachfolgenden Parametern weiter konfiguriert.
  • report=disabled - Verhindert das die Daten anschließend noch in eine cab Datei zusammengefasst werden.
  • capture=yes - Definiert das die Netzwerkdaten aufgezeichnet werden sollen.
  • tracefile=C:\NetworkTrace.etl - Wenn nicht anders angegeben wird der Standardpfad “%LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl” genutzt.

trace stop

Nachdem die gewünschten Daten erfasst wurden kann der Trace beendet werden.

netsh trace stop

Die erstellte etl Datei muss nur noch für die weitere Analyse vorbereitet werden.

Erweiterte Filtermethoden

Soll der Datenverkehr weiter eingeschränkt werden, um nur die Verbindung zu und von einer bestimmten Maschine zu analysieren, können Capture Filter genutzt werden.

Nur den Datenverkehr mit einer IP Adresse

netsh trace start report=disabled capture=yes tracefile=C:\NetworkTraceIPAddress.etl IPv4.Address=161.97.153.201

Eine IP Adresse nicht berücksichtigen

netsh trace start report=disabled capture=yes tracefile=C:\NetworkTraceNotIPAddress.etl IPv4.Address=!(161.97.153.201)
Tipp
Wenn die IP Adresse der Adminworkstation angegeben wird, werden die eigenen PSRemoting oder RDP Pakete nicht aufgezeichnet. Dies erleichtert die weitere Analyse.

Weitere Filter

Eine komplette Liste mit allen Filtern bietet der Befehl

netsh trace show CaptureFilterHelp

etl2pcapng

Für die Konvertierung ins pcapng Format nutzen wir das Tool etl2pcapng. Die Installation des Microsoft Message Analyzer ist damit überflüssig.

Das Projekt bietet Binaries zum Download an.

Es müssen nur zwei Werte angegeben werden. Der Dateipfad der ETL Datei und der Ausgabeort der PCAP Datei.

etl2pcapng.exe "C:\NetworkTraceIPAddress.etl" "C:\NetworkTraceIPAddress.pcap"

/einen-netzwerk-trace-ohne-wireshark-erstellen/images/etl2pcapng.png

Warnung
Eine eventuell vorhandene Zieldatei wird ohne Nachfragen überschrieben.

Analyse

Für die weitere Analyse kann jetzt jedes Tool das mit pcap Dateien umgehen kann genutzt werden. z.B. Wireshark Portable in einer virtuellen Maschine.

Die Warnmeldung das keine capture Treiber vorhanden sind kann somit getrost ignoriert werden.

/einen-netzwerk-trace-ohne-wireshark-erstellen/images/WiresharkPortable.png