Analyse des Netzwerkverkehrs eines Servers ohne Installation von Tools
Es kann aus den verschiedensten Gründen sinnvoll sein den Netzwerkverkehr eines Gerätes zu analysieren. Aber gerade wenn es sich bei diesem Gerät um einen Server handelt, möchte man oftmals kein zusätzliches Programm installieren um den Server nicht unnötig zu belasten und weil die Installation von Programmen häufig einen Neustart erfordert.
Insbesondere wenn es um ein selten benötigtes Szenario wie den Mitschnitt von Netzwerkverkehr geht, wäre es schön kein zusätzliches Programm wie NetMon oder Wireshark installieren zu müssen. Glücklicherweise ist es seit Windows Server 2008 und Windows 7 möglich darauf zu verzichten und den Netzwerkverkehr mit Bordmitteln aufzuzeichnen.
In folgendem Beispiel zeige ich wie der Netzwerkverkehr eines Servers über die Eingabeaufforderung mitgeschnitten werden kann:
1. Zunächst starte ich die Eingabeaufforderung
2. Mit netsh trace start capture=yes tracefile=c:\TestCapture.etl starte ich den Mitschnitt
Wird kein Pfad angegeben, wird die Datei im temporären Verzeichnis abgelegt.
3. Abschließend beende ich den Mitschnitt mit netsh trace stop
Wie hier zu sehen, wurde der Mitschnitt am angegebenen Pfad gespeichert. Zusätzlich wurde dort auch eine .cab Datei abgelegt. Diese Datei enthält weiterführende Informationen zur Konfiguration des Computers. Um die abgelegte .etl Datei zu öffnen benötigen wir nun NetMon. Dazu kopiere ich den Log auf einen PC auf dem NetMon installiert ist. Sollte NetMon nirgendwo installiert sein, lässt es sich unter [1] herunterladen.
Bevor wir den Trace analysieren können, müssen wir den Parser umstellen. Dazu wechseln wir unter Tools => Options => Parser Profiles und wählen Windows aus. Abschließend klicken wir auf Set As Active.
Nun können wir den Trace über File => Open => Capture öffnen.
Wenn der Netzwerkverkehr vom Systemstart gespeichert werden soll, kann man persistent=yes zum netsh Befehl hinzufügen. Dann muss der Trace nach dem Systemstart nur wie oben beschrieben beendet werden.
Selbstverständlich lässt sich die .etl Datei auch als .cap Datei speichern.
[1] https://www.microsoft.com/en-us/download/details.aspx?id=4865
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4