Windows: Capturar tráfico

En ocasiones el administrador de sistemas requiere realizar capturas de tráfico para poder analizar y solucionar problemas.

A partir de Windows 7 y Windows Server 2008 R2 disponemos de la posibilidad de capturar tráfico sin instalar software de terceros en el equipo utilizando el comando: netsh trace

Funcionamiento básico de netsh trace:

Su funcionamiento es muy sencillo, veamos un ejemplo:

1) Creamos un directorio, en el ejemplo C:\SYSADMIT

2) Ejecutamos el capturador de tráfico:

netsh trace start persistent=yes capture=yes tracefile=C:\SYSADMIT\Trazas-Red.etl

3) Detenemos el capturador de tráfico:

netsh trace stop

* Si quisiéramos ver el estado de la captura antes de detenerla, bastaría con ejecutar: netsh trace show status
 

4) Resultados generados en C:\SYSADMIT:

* Fichero ETL: Trazas capturadas (Event Trace Log).

* Fichero CAB: En su interior veremos ficheros de report.

Interior fichero CAB:

Si descomprimimos el fichero CAB, veremos toda una serie de ficheros correspondientes a los reports generados.

Entre los formatos de los ficheros de los reports veremos: TXT, XML, EVTX (Visor de eventos), entre otros.

También encontraremos el fichero: report.html con enlaces a los reports generados, muy útil para disponer de un índice de los mismos.

El contenido del fichero report.html tiene un aspecto similar a este:

Configuración general

    OS Information

    Credential Providers

Configuración de red

    Environment Information

    Adapter Information

    DNS Information

    Neighbor Information

Configuración inalámbrica

    WLAN Auto-Config Eventlog

Windows Connect Now

    WCN Information

Firewall de Windows

    Windows Firewall Configuration

    Windows Firewall Effective Rules

    Connection Security Eventlog

    Connection Security Eventlog (Verbose)

    Firewall Eventlog

    Firewall Eventlog (Verbose)

Configuración Winsock

    Winsock LSP Catalog

Uso compartido de archivos

    File Sharing Configuration

Volcados de memoria de claves del Registro

    Credential Providers

    Credential Provider Filters

    API Permissions

    WlanSvc HKLM Dump

    WinLogon Notification Subscribers

    Network Profiles

Archivos de seguimiento

    Primary Event Trace Log (ETL)

Interior fichero ETL:

El fichero ETL generado puede ser analizado con "Microsoft Message Analyzer", herramienta gratuita que podemos descargar de la web de Microsoft.

Con  "Microsoft Message Analyzer" podremos analizar el tráfico capturado, filtrarlo, etc..

Vista ejecución de "Microsoft Message Analyzer":

Con "Microsoft Message Analyzer" también podemos exportar el fichero ETL a formato CAP. Con formato CAP podremos leer el fichero desde Wireshark.

Algunos consejos de uso de netsh trace:

1) Examinar los parámetros disponibles:

Algunos ejemplos de parámetros disponibles que podemos encontrar:

persistent: Los valores posibles son yes o no, el valor por defecto es no. Si configuramos el valor persistent a yes, conseguiremos que la captura siga aunque reiniciemos el equipo. Solo se detendrá la captura cuando ejecutemos: netsh trace stop

maxSize: Valor en MB correspondiente al fichero generado, el valor por defecto es de 250. Si configuramos 0, corresponde a ilimitado.

fileMode: Circular, significa que la captura, al llegar al valor especificado como maxSize por defecto 250MB, empezará a sobreescribirse la información.

2) Filtrar el tráfico en la propia captura:

Si filtramos el tráfico en la propia captura conseguiremos un tamaño de fichero muy mas manejable para su posterior análisis.

Si ejecutamos el comando:

netsh trace show CaptureFilterHelp

veremos todas las parámetros disponibles de filtrado.

Algunos ejemplos sobre la posibilidad de filtrado:

- Indicar el interfaz de red a utilizar en la captura.
- Filtrado por dirección MAC: Origen, destino o ambas.
- Filtrado por IP origen / destino.
- Filtrado por IPv4 o IPv6.
- Filtrado TCP / UDP. 

También es posible concatenar filtros.