彰 村地, profile picture
Uploaded by彰 村地
PPTX, PDF19,150 views

Windows の標準コマンドでパケット キャプチャ

2015/4/27 第27回「ネットワークパケットを読む会(仮)」でのセッション用スライドです

Embed presentation

Downloaded 47 times
Windows の標準コマンドで パケット キャプチャ hebikuzure aka Murachi Akira This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
About me • 村地 彰 aka hebikuzure • http://www.murachi.net/ • http://www.hebikuzure.com/ • https://hebikuzure.wordpress.com/ • MicrosoftMVP(InternetExplorer)Apr.2011~ 2015/4/27 2© 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27
標準機能でパケット キャプチャ • UNIX / Linux 系なら TCPDUMP • Windows では? 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 3
Windows なら netsh • netsh コマンドでパケット キャプチャ • Windows 7 / Windows Server 2008 R2 以降で機能追加 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 4
書式 netsh trace start [[scenario=]< scenario1, scenario2>] [[globalKeywords=]keywords] [[globalLevel=]level] [[capture=]yes|no] [[report=]yes|no] [[persistent=]yes|no] [[traceFile=]path¥filename] [[maxSize=]filemaxsize][fileMode=]single|circular|append] [[overwrite=]yes|no][[correlation=]yes|no|disabled][capturefilters] [[provider=]providerIdOrName][[keywords=]keywordMaskOrSet] [[level=]level] [[provider=]provider2IdOrName] [[keywords=]keyword2MaskOrSet] [[level=]level2] ... netsh trace start /? でヘルプ表示 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 5
キャプチャの開始 • 管理者コマンド プロンプトを起動 • netsh trace start capture=yes • ・・・キャプチャ取得・・・ • netsh trace stop でキャプチャ終了 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 6
キャプチャ データの保存 • キャプチャ データは etl ファイルに記録 – etl : event trace log • 既定の保存場所 %LOCALAPPDATA%¥temp¥netTraces¥netTrace.etl • 保存場所の変更はstart のオプションで traceFile=(etl ファイルのパスとファイル名) 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 7
キャプチャ データの解析 • ネットワーク キャプチャの etl を読める ツール –Microsoft Message Analyzer –Microsoft Network Monitor 3.3 / 3.4 • Wireshark で解析する場合 • Microsoft Message Analyzer で開き、 cap 形式にエクスポート 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 8
2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 9
DEMO 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 10
参考情報 • ネットワーク診断とトレース https://technet.microsoft.com/ja-jp/library/ee624046(v=ws.10).aspx • The Cable Guy: Windows 7 のネットワーク診断とトレース https://technet.microsoft.com/ja-jp/magazine/ff625276.aspx • Capture a Network Trace without installing anything (& capture a network trace of a reboot) http://blogs.msdn.com/b/canberrapfe/archive/2012/03/31/capture-a-network- trace-without-installing-anything-works-for-shutdown-and-restart-too.aspx • So you want to use Wireshark to read the netsh trace output .etl? http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use- wireshark-to-read-the-netsh-trace-output-etl.aspx • Network tracing (packet sniffing) built-in to Windows Server 2008 R2 and Windows Server 2012. http://blogs.technet.com/b/yongrhee/archive/2012/12/01/network-tracing- packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012.aspx 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 11

More Related Content

PPTX
自宅インフラの育て方 第2回
by富士通クラウドテクノロジーズ株式会社
 
PDF
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
byTetsuya Yokoyama
 
PDF
余ったPCをルータに変える、ソフトウェアルータ「SEIL/x86」
byIIJ
 
PDF
Kubernetesによる機械学習基盤への挑戦
byPreferred Networks
 
PPTX
Snipe itで始めるit資産管理
byNozue Tomohiko
 
PDF
Oci object storage deep dive 20190329 ss
byKenichi Sonoda
 
ODP
GNU AGPLv3について(On GNU AGPLv3)
by真行 八田
 
PDF
診断ツールの使い方(Owasp zapの場合)
byshingo inafuku
 
自宅インフラの育て方 第2回
by富士通クラウドテクノロジーズ株式会社
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
byTetsuya Yokoyama
 
余ったPCをルータに変える、ソフトウェアルータ「SEIL/x86」
byIIJ
 
Kubernetesによる機械学習基盤への挑戦
byPreferred Networks
 
Snipe itで始めるit資産管理
byNozue Tomohiko
 
Oci object storage deep dive 20190329 ss
byKenichi Sonoda
 
GNU AGPLv3について(On GNU AGPLv3)
by真行 八田
 
診断ツールの使い方(Owasp zapの場合)
byshingo inafuku
 

What's hot

PPTX
目視パケット解析入門
by彰 村地
 
PPTX
フロー技術によるネットワーク管理
byMotonori Shindo
 
PDF
単なるキャッシュじゃないよ!?infinispanの紹介
byAdvancedTechNight
 
PDF
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
byJuniper Networks (日本)
 
PDF
WebRTCの技術解説 公開版
byContest Ntt-west
 
PDF
Java EE から Quarkus による開発への移行について
byShigeru Tatsuta
 
PPTX
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
PDF
[오픈테크넷서밋2022] 국내 PaaS(Kubernetes) Best Practice 및 DevOps 환경 구축 사례.pdf
byOpen Source Consulting
 
PPTX
KubernetesのRBACを掘り下げてみる(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
OpenStackで始めるクラウド環境構築入門
byVirtualTech Japan Inc.
 
PPTX
[社内勉強会]ELBとALBと数万スパイク負荷テスト
byTakahiro Moteki
 
PDF
Oracle Spatial 概要説明資料
byオラクルエンジニア通信
 
PDF
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
PDF
プロダクト開発してわかったDjangoの深〜いパーミッション管理の話 @ PyconJP2017
byhirokiky
 
PDF
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
PDF
Mavenの真実とウソ
byYoshitaka Kawashima
 
PPTX
MongoDBが遅いときの切り分け方法
byTetsutaro Watanabe
 
PDF
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
byRecruit Technologies
 
PPTX
Kubernetes introduction
byDAEBUM LEE
 
PPTX
OSを手作りするという趣味と仕事
byuchan_nos
 
目視パケット解析入門
by彰 村地
 
フロー技術によるネットワーク管理
byMotonori Shindo
 
単なるキャッシュじゃないよ!?infinispanの紹介
byAdvancedTechNight
 
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
byJuniper Networks (日本)
 
WebRTCの技術解説 公開版
byContest Ntt-west
 
Java EE から Quarkus による開発への移行について
byShigeru Tatsuta
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
[오픈테크넷서밋2022] 국내 PaaS(Kubernetes) Best Practice 및 DevOps 환경 구축 사례.pdf
byOpen Source Consulting
 
KubernetesのRBACを掘り下げてみる(Kubernetes Novice Tokyo #17 発表資料)
byNTT DATA Technology & Innovation
 
OpenStackで始めるクラウド環境構築入門
byVirtualTech Japan Inc.
 
[社内勉強会]ELBとALBと数万スパイク負荷テスト
byTakahiro Moteki
 
Oracle Spatial 概要説明資料
byオラクルエンジニア通信
 
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
プロダクト開発してわかったDjangoの深〜いパーミッション管理の話 @ PyconJP2017
byhirokiky
 
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
Mavenの真実とウソ
byYoshitaka Kawashima
 
MongoDBが遅いときの切り分け方法
byTetsutaro Watanabe
 
RDB技術者のためのNoSQLガイド NoSQLの必要性と位置づけ
byRecruit Technologies
 
Kubernetes introduction
byDAEBUM LEE
 
OSを手作りするという趣味と仕事
byuchan_nos
 

Viewers also liked

PPTX
Message Analyzer でパケット キャプチャー
by彰 村地
 
PPTX
Wireshark入門 (2014版)
by彰 村地
 
PPTX
Wireshark入門(2)
by彰 村地
 
PPTX
Win10Pcap を使って見る
by彰 村地
 
PPTX
Rmote Packet Capture Protocol を使って見る
by彰 村地
 
PPTX
Message Analyzer 再入門【1】
by彰 村地
 
PPTX
Excel でパケット分析 - グラフ化
by彰 村地
 
PPTX
Microsoft Message Analyzer の紹介
by彰 村地
 
PPTX
Wireshark入門(3)
by彰 村地
 
PPTX
Wireshark入門(4)
by彰 村地
 
PPTX
実際に流れているデータを見てみよう
by彰 村地
 
PPTX
フレッシャーズのためのパケット解析入門
by彰 村地
 
PDF
Windowsのパケットモニタ作成
byShinichi Hirauchi
 
PPTX
COD2013「ネットワーク パケット解析・基本の基本」
by彰 村地
 
PPTX
Wireshark入門
by彰 村地
 
PPTX
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
PPTX
Message Analyzer 再入門【2】
by彰 村地
 
PPTX
パケット解析ノススメ
by彰 村地
 
PPTX
Browser andsecurity2015
by彰 村地
 
PPTX
HTML はネットワークを いかに変えてきたか
by彰 村地
 
Message Analyzer でパケット キャプチャー
by彰 村地
 
Wireshark入門 (2014版)
by彰 村地
 
Wireshark入門(2)
by彰 村地
 
Win10Pcap を使って見る
by彰 村地
 
Rmote Packet Capture Protocol を使って見る
by彰 村地
 
Message Analyzer 再入門【1】
by彰 村地
 
Excel でパケット分析 - グラフ化
by彰 村地
 
Microsoft Message Analyzer の紹介
by彰 村地
 
Wireshark入門(3)
by彰 村地
 
Wireshark入門(4)
by彰 村地
 
実際に流れているデータを見てみよう
by彰 村地
 
フレッシャーズのためのパケット解析入門
by彰 村地
 
Windowsのパケットモニタ作成
byShinichi Hirauchi
 
COD2013「ネットワーク パケット解析・基本の基本」
by彰 村地
 
Wireshark入門
by彰 村地
 
HTML5 Web アプリケーションのセキュリティ
by彰 村地
 
Message Analyzer 再入門【2】
by彰 村地
 
パケット解析ノススメ
by彰 村地
 
Browser andsecurity2015
by彰 村地
 
HTML はネットワークを いかに変えてきたか
by彰 村地
 

Similar to Windows の標準コマンドでパケット キャプチャ

PDF
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
PDF
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
PDF
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
PDF
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
PDF
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
PPTX
Network miner 使ってみた
by彰 村地
 
PDF
import dpkt したよ #ssmjp 2014/02/28
byth0x0472
 
ODP
tcpdumpとtcpreplayとtcprewriteと他。
by(^-^) togakushi
 
PPTX
パケット キャプチャで学ぶ SMB (CIFS) の基本
by彰 村地
 
PPTX
Windows 8 でパケットキャプチャ
by彰 村地
 
PPTX
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
PDF
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
PDF
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
PDF
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
byPanda Yamaki
 
PPTX
Windows クライアントのトラブルシューティングあれこれ
by彰 村地
 
PPTX
Pakeana 06
by彰 村地
 
PDF
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
PDF
Wireshark, measure the net
byKiyoshi Ogawa
 
PDF
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
PPTX
Ia 2016-12-15
byRuo Ando
 
CTF for ビギナーズ ネットワーク講習資料
bySECCON Beginners
 
Hokkaido.cap#1 Wiresharkの使い方(基礎編)
byPanda Yamaki
 
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
パケットキャプチャの勘どころ Ssmjp 201501
by稔 小林
 
Hokkaido.cap #osc11do Wiresharkを使いこなそう!
byPanda Yamaki
 
Network miner 使ってみた
by彰 村地
 
import dpkt したよ #ssmjp 2014/02/28
byth0x0472
 
tcpdumpとtcpreplayとtcprewriteと他。
by(^-^) togakushi
 
パケット キャプチャで学ぶ SMB (CIFS) の基本
by彰 村地
 
Windows 8 でパケットキャプチャ
by彰 村地
 
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
Hokkaido.cap#10 実践パケット解析まとめ
byPanda Yamaki
 
Hokkaido.cap#3 ケーススタディ(基礎編)
byPanda Yamaki
 
Hokkaido.cap#8 ケーススタディ(セキュリティ解析:後編)
byPanda Yamaki
 
Windows クライアントのトラブルシューティングあれこれ
by彰 村地
 
Pakeana 06
by彰 村地
 
Hokkaido.cap#7 ケーススタディ(セキュリティ解析:前編)
byPanda Yamaki
 
Wireshark, measure the net
byKiyoshi Ogawa
 
パケットキャプチャの定番! Wiresharkのインストールとミニ紹介
byShin Tanigawa
 
Ia 2016-12-15
byRuo Ando
 

More from 彰 村地

PPTX
Process Monitor の使い方
by彰 村地
 
PPTX
Windows 11 がやってくる - IT管理者の準備と対策
by彰 村地
 
PPTX
Internet Explorer サポート提供終了で変わること変わらないこと
by彰 村地
 
PPTX
(管理者向け) Microsoft Edge の展開と管理の手法
by彰 村地
 
PPTX
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
by彰 村地
 
PPTX
Windows 365 のテクノロジーとインフラストラクチャー
by彰 村地
 
PPTX
見せてもらおうか、新しい Microsoft Edge の性能とやらを
by彰 村地
 
PPTX
Java で開発する Azure Web Apps アプリケーション
by彰 村地
 
PPTX
System Resource Utilization Monitor を知ろう
by彰 村地
 
PPTX
O365 ユーザーのための Azure Storage 入門
by彰 村地
 
PPTX
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
by彰 村地
 
PPTX
EcmaScript 仕様書を読もう
by彰 村地
 
PPTX
About Project Spartan
by彰 村地
 
PPTX
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
by彰 村地
 
PPTX
Web standard 2019_0216
by彰 村地
 
PPTX
How tousemicrosoftsearch 20200725
by彰 村地
 
Process Monitor の使い方
by彰 村地
 
Windows 11 がやってくる - IT管理者の準備と対策
by彰 村地
 
Internet Explorer サポート提供終了で変わること変わらないこと
by彰 村地
 
(管理者向け) Microsoft Edge の展開と管理の手法
by彰 村地
 
アドレスバーにURL打ち込んでからページが表示されるまでに 何が起こっているか
by彰 村地
 
Windows 365 のテクノロジーとインフラストラクチャー
by彰 村地
 
見せてもらおうか、新しい Microsoft Edge の性能とやらを
by彰 村地
 
Java で開発する Azure Web Apps アプリケーション
by彰 村地
 
System Resource Utilization Monitor を知ろう
by彰 村地
 
O365 ユーザーのための Azure Storage 入門
by彰 村地
 
Azure Network Watcher / Azure仮想ネットワークの監視と情報収集
by彰 村地
 
EcmaScript 仕様書を読もう
by彰 村地
 
About Project Spartan
by彰 村地
 
(Web に関わる人に知っておいてほしい)Web ブラウザー 最新事情
by彰 村地
 
Web standard 2019_0216
by彰 村地
 
How tousemicrosoftsearch 20200725
by彰 村地
 

Windows の標準コマンドでパケット キャプチャ

  • 1.
    Windows の標準コマンドで パケット キャプチャ hebikuzureaka Murachi Akira This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
  • 2.
    About me • 村地彰 aka hebikuzure • http://www.murachi.net/ • http://www.hebikuzure.com/ • https://hebikuzure.wordpress.com/ • MicrosoftMVP(InternetExplorer)Apr.2011~ 2015/4/27 2© 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27
  • 3.
    標準機能でパケット キャプチャ • UNIX/ Linux 系なら TCPDUMP • Windows では? 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 3
  • 4.
    Windows なら netsh •netsh コマンドでパケット キャプチャ • Windows 7 / Windows Server 2008 R2 以降で機能追加 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 4
  • 5.
    書式 netsh trace start[[scenario=]< scenario1, scenario2>] [[globalKeywords=]keywords] [[globalLevel=]level] [[capture=]yes|no] [[report=]yes|no] [[persistent=]yes|no] [[traceFile=]path¥filename] [[maxSize=]filemaxsize][fileMode=]single|circular|append] [[overwrite=]yes|no][[correlation=]yes|no|disabled][capturefilters] [[provider=]providerIdOrName][[keywords=]keywordMaskOrSet] [[level=]level] [[provider=]provider2IdOrName] [[keywords=]keyword2MaskOrSet] [[level=]level2] ... netsh trace start /? でヘルプ表示 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 5
  • 6.
    キャプチャの開始 • 管理者コマンド プロンプトを起動 •netsh trace start capture=yes • ・・・キャプチャ取得・・・ • netsh trace stop でキャプチャ終了 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 6
  • 7.
    キャプチャ データの保存 • キャプチャデータは etl ファイルに記録 – etl : event trace log • 既定の保存場所 %LOCALAPPDATA%¥temp¥netTraces¥netTrace.etl • 保存場所の変更はstart のオプションで traceFile=(etl ファイルのパスとファイル名) 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 7
  • 8.
    キャプチャ データの解析 • ネットワークキャプチャの etl を読める ツール –Microsoft Message Analyzer –Microsoft Network Monitor 3.3 / 3.4 • Wireshark で解析する場合 • Microsoft Message Analyzer で開き、 cap 形式にエクスポート 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 8
  • 9.
    2015/4/27 © 2015Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 9
  • 10.
    DEMO 2015/4/27 © 2015Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 10
  • 11.
    参考情報 • ネットワーク診断とトレース https://technet.microsoft.com/ja-jp/library/ee624046(v=ws.10).aspx • TheCable Guy: Windows 7 のネットワーク診断とトレース https://technet.microsoft.com/ja-jp/magazine/ff625276.aspx • Capture a Network Trace without installing anything (& capture a network trace of a reboot) http://blogs.msdn.com/b/canberrapfe/archive/2012/03/31/capture-a-network- trace-without-installing-anything-works-for-shutdown-and-restart-too.aspx • So you want to use Wireshark to read the netsh trace output .etl? http://blogs.technet.com/b/yongrhee/archive/2013/08/16/so-you-want-to-use- wireshark-to-read-the-netsh-trace-output-etl.aspx • Network tracing (packet sniffing) built-in to Windows Server 2008 R2 and Windows Server 2012. http://blogs.technet.com/b/yongrhee/archive/2012/12/01/network-tracing- packet-sniffing-built-in-to-windows-server-2008-r2-and-windows-server-2012.aspx 2015/4/27 © 2015 Murachi Akira - CC BY-NC-ND - ネットワーク パケットを読む会(仮) #27 11