こんにちはやまぱんです。
今回はWindowsマシンでパケットキャプチャを取って、Wiresharkで見る手順をメモします。
Windowsマシンでパケットキャプチャ
0.管理者権限のコマンドプロンプトで下記のコマンドを実施してキャッシュ情報削除します。
ipconfig /flushdns
nbtstat -R
certutil -urlcache * delete1.管理者権限のコマンドプロンプトで netsh コマンドを使用してパケットキャプチャーを実施します。
netsh trace start capture=yes
2.管理者権限のコマンドプロンプトで netsh コマンドを使用してパケットキャプチャーを終了します。
netsh trace stop
- C:\Users\<ユーザー名>\AppData\Local\Temp\NetTraces\NetTrace.etl に、パケットキャプチャーファイルが出来ます。
WireSharkで見るために変換
-
etl2pcapng のサイト(https://github.com/microsoft/etl2pcapng/releases) から zip ファイルをダウンロードし、展開します。
-
以下のコマンドを実行し、変換します。
etl2pcapng.exe <パケットキャプチャーファイル> <出力ファイル>
-
変換後のファイルが Wireshark で開けることを確認します。
