Wireshark скачать бесплатно для Windows
Алексей Максимов показывает, как перехватывать сетевой трафик с сервера без Network Monitor/Wireshark .
В системах Windows для захвата и последующего анализа сетевого трафика многие из нас пользуются такими известными инструментами как Network Monitor или Wireshark. Захват трафика через эти инструменты в наблюдаемой системе предполагает установку дополнительных компонент, выстраивающихся в функции сетевого обмена. Начиная с Windows 7 / Windows Server 2008 R2 у нас появилась возможность выполнять захват трафика встроенными в систему средствами, то есть мы можем выполнить захват трафика на интересующей нас системе не выполняя непосредственную установку дополнительных программных средств, а полученный в результате захвата файл сетевого дампа в дальнейшем анализировать на той системе где установлены соответствующие средства анализа, например на рабочей станции администратора с установленным Network Monitor.
Для того, чтобы активировать захват сетевого трафика проходящего через все сетевые интерфейсы на интересующей нас системе выполним команду с правами Администратора:
При этом каталог, который мы указываем в качестве сохранения файла захвата должен существовать в файловой системе, иначе мы получим ошибку ‘The system cannot find the path specified‘.
Если обследуемая система имеет несколько сетевых интерфейсов и нас интересует трафик только на определённом интерфейсе, то синтаксис команды будет выглядеть примерно так:
Захват трафика запущен и после того, как мы выполнили необходимые манипуляции, например воспроизвели изучаемую проблему из-за которой мы и решили анализировать трафик, останавливаем захват трафика командой:
В результате будет сгенерирован ETL файл а также CAB архив содержащий дополнительные данные, которые могут потребоваться для анализа сетевых проблем.
Полученный ETL файл копируем на рабочую станцию Администратора, запускаем Network Monitor и открываем файл из меню File > Open > Capture
Загруженные данные будут разложены на фреймы с малопонятной структурой, да ещё и с предупреждением в описании практически каждого фрейма типа ‘Windows stub parser: Requires full Common parsers. See the «How Do I Change Parser Set Options(Version 3.3 or before) or Configure Parser Profile (Version 3.4)» help topic for tips on loading these parser sets‘. Для того чтобы получить более или менее читаемый вид, нужно применить так называемый Parser Profile. Через меню Tools > Options откроем свойства Parser Profiles и назначим в качестве активного профиля — Windows
После этого данные трассировки будут перечитаны и представлены в более удобоваримой форме и теперь можно «забуриваться» в анализ...
Дополнительная информация:
The troubleshooters and problem solvers — Network tracing (packet sniffing) built-in to Windows Server 2008 R2 and Windows Server 2012 Blog IT, IS, etc... — Network trace without NetMon, WireShark, etc... Blog IT, IS, etc... — Network trace without NetMon, wireShark, etc... Part 2
Wireshark — бесплатная функциональная программа-сниффер на Windows, предназначенная для анализа сетевого трафика компьютерных сетей различного типа, включая PPP, Ethernet, FDDI, Token-Ring и многие другие. Wireshark представляет собой достаточно простую в использовании утилиту с низкими системными требованиями, которая обладает широким функционалом и является удобной в работе.
Приложение обеспечивает удобство работы с захваченными пакетами благодаря возможности их фильтрации и поиска по разнообразным критериям. Дополнительное удобство обеспечивает функциональный графический интерфейс Wireshark, в котором осуществляется подсветка пакетов различных протоколов. Кроме того, утилита дает широкие возможности по ведению пользовательской статистики.
