حل چالش ثبت نام در سایت HackTheBox

 
  بازدید : 11516

شنبه 25 بهمن 1398 زمان : 9:23 

1
2
3
4
5

ضبط کردن ترافیک شبکه به کمک ابزار Netsh در CMD

هنگامی‌که قادر به نصب برنامه Wireshark یا Microsoft Network Monitor یا سایر نرم افزار‌های مانیتورینگ شبکه در یک سرور نیستید، می‌توانید با اجرای برنامه netsh.exe که به صورت پیش فرض داخل ویندوز قرار دارد و از طریق command line قابل دسترس و اجرا می‌باشد، تمامی‌ترافیک‌های داخل شبکه خود را در حالت‌های مختلف ضبط کنید. از این عمل برای شنود (Sniff) عملکرد شبکه نیز می‌توان استفاده کرد. پس در این مقاله با نحوه “ضبط کردن ترافیک شبکه” آشنا خواهید شد.

netsh چیست؟

ضبط کردن ترافیک شبکه با ابزار CMD

netsh یا Network Shell یک ابزار اسکریپتی یا نوعی برنامه نویسی خط فرمان است که امکان نمایش اطلاعات مربوط به شبکه خود که در حال اجرا هستند را فراهم می‌کند و به شما اجازه می‌دهد پیکربندی‌های کامپیوتر خود را که داخل شبکه ارتباطی قرار دارد یعنی به شبکه متصل و در حین کار کردن باشد را تغییر دهید. با اجرای این ابزار یا دستور می‌توان از بخش‌های مختلف در پرونده‌های دسته‌‌‌ای یا اسکریپت‌ها نیز استفاده کرد و حتی کامپیوترهای از راه دور و محلی local را می‌توان با استفاده از دستورات netsh پیکربندی کرد.

مراحل انجام ضبط کردن ترافیک شبکه در ویندوز

برای این کار لازم است ابتدا با سطح دسترسی administrator وارد محیط cmd شوید. سپس با زدن کلیدهای ترکیبی windows+R از صفحه کلید یا keyboard وارد پنجره Run شده سپس دستور cmd را تایپ کرده و کلیدهای Ctrl+Shift+Enter را به صورت همزمان می‌فشاریم، زدن این کلید‌ها معادل اجرای برنامه با Run as administrator می‌باشد. در محیط command Prompt دستورات زیر را اجرا می‌کنیم.

netsh trace start capture=yes tracefile=c:dedsec.etl fileMode=single maxSize=250

با این دستور فایلی با پسوند etl در مسیر تعیین شده درایور C با نام dedsec.etl ایجاد شده که تا 250 مگابایت ظرفیت برای نگهداری اطلاعات ضبط شده یا کپچرشده از تمام ترافیک‌های شبکه به صورت کدگذاری شده به کار می‌رود.

چنانچه حجم این فایل کامل شود ضبط ترافیک شبکه متوقف می‌شود و اگر قصد توقف دستی را داشته باشیم میتوانیم با دستور زیر عملیات ضبط ترافیک شبکه را به اتمام برسانیم.

netsh trace stop

با اجرای دستور بالا یک فایل با پسوند Cab برای ما در همان مسیر ایجاد خواهد شد که این فایل را می‌توانیم با برنامه‌های مانیتوریگ مثل وایرشاک نیز اجرا کنیم در ضمن فایل ایجاد شده عملیات ضبط تمام ترافیک شبکه که با پسوند etl بود را می‌توان با برنامه Event Viewer در ویندوز باز کرد و اطلاعات مربوط به هر Log را دید.

برای دیدن وضعیت ترافیک شبکه از دستور زیر استفاده می‌کنیم:

netsh trace show status

برای دیدن تنظیمات بیشتری که قابلیت اعمال در ضبط ترافیک شبکه را دارند از دستور زیر استفاده می‌کنیم.

netsh trace show capturefilterHelp

چناچه قصد ضبط تمام ترافیک‌های بین سرور محلی و آدرس مقصد را داشته باشیم مطابق دستور زیر عمل می‌کنیم:

netsh trace start capture=yes Ethernet.Type=IPv4 IPv4.Address=x.x.x.x tracefile=c:temptrace.etl

اگرچه قصد ضبط کردن ترافیک یک پروتکل خاصی را داشته باشییم میتوانیم شماره پروتکل مربوطه را مطابق دستور زیر وارد کنیم.

netsh trace start capture=yes protocol=17 tracefile=c:temptrace.etl

در دستور بالا تمام ترافیک‌های پروتکل UDP که با شماره 17 مشخص شده است ضبط میشود. حجم پیش فرض برای توقف فایل ضبط ترافیک etl معادل 250مگابایت می‌باشد.

چنانچه کارت شبکه کامپیوتر یا سرور شما دارای چندین رابط یا اینترفیس مختلف اعم از Lan وWireless باشد و قصد ضبط کردن تمام ترافیک یک رابط خاصی را داشته باشید به صورت زیر عمل می‌کنیم.

netsh trace start capture=yes tracefile=c:temptrace.etl CaptureInterface=”Local Area Connection”

dedsec will give you the truth

join us

Let's block ads! (Why?)