【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具）

副标题：Cloud Service Extended Support 实例中抓取网络包

通常，在生产环境中，为了保证系统环境的安全和纯粹，是不建议安装其它软件或排查工具（如果可以安装，也是需要走审批流程）。

本文将介绍一种，不用安装Wireshark / tcpdump 等工具，使用Windows系统自带的 netsh trace 命令来获取网络包的步骤：

 

第一步：RDP进入Cloud Service Extended Support的实例中

第二步：用管理员权限打开CMD窗口，执行如下命令：

 netsh trace start persistent=yes capture=yes tracefile=<folder>\network_package_1123.etl

注：tracefile 为网络包保存文件路径和名称，<folder>\network_package_1123.etl 中<folder>文件夹名需要根据实际路径进行修改， 如 C:\logs\

第三步：等待1-2分钟， 执行  netsh trace stop ，停止抓包

 

等待文件生成后，复制到本地环境中。

第四步：转换网络包格式

在本地环境中，使用Etl2pcapng.exe(https://github.com/microsoft/etl2pcapng/releases/tag/v1.11.0)  小工具把文件转换为 wireshark 格式并打开分析网络包。转换命令：

 Etl2pcapng.exe " <folder>\network_package_1123.etl"  "<folder>\network_package_1123.pcapng" 

使用Wireshark就可以查看网络包进行分析！

 

参考资料

• Etl2pcapng.exe : https://github.com/microsoft/etl2pcapng/releases/tag/v1.11.0
• https://techcommunity.microsoft.com/blog/iis-support-blog/capture-a-network-trace-without-installing-anything--capture-a-network-trace-of-/376503
• https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/converting-etl-files-to-pcap-files/1133297

 

[END]