我有一个看似简单的问题,但很难找到答案。
该站点具有高度安全的 Windows Server 2019 安装,并且与其连接的设备在某个 TCP 端口上运行。
我需要从该端口输出的原始数据样本,这些数据需要几分钟的时间,然后转储到二进制文件中。它需要尽可能原始(即,它需要类似于我们从本地 .NET 应用程序连接到同一端口时从 TCP 流中读取的数据)。
这是高度最好仅使用内置的 Windows 工具来实现这一点(即netsh),但最坏的情况windump或telnet也是可以的。
答案1
是的,你可以用 netsh 来做到这一点:
以管理员身份运行此命令:
netsh trace start capture=yes tracefile=c:\temp\trace.etl
然后,停止捕获netsh trace stop并抓取.etl文件。
下载etl2pcapng在您的计算机上,并使用它来转换 pcapng 格式的 .etl 文件:etl2pcapng.exe in.etl out.pcapng
最后,使用 Wireshark 或类似程序打开 pcapng 文件。
请注意,如果服务器至少运行 Windows Server 2019 Update 2004,则可以使用朴克顿也。