개요
netsh trace 명령어는 윈도우에서 tcpdump, wireshark 와 같은 네트워크 트래픽을 캡쳐할수 있는 유틸리티이다. 1부에서는 netsh trace 명령어에 대해 알아보고 2부에서는 netsh trace 명령어로 캡쳐한 파일을 Microsoft Network Monitor 툴을 이용하여 트래픽을 분석 하는 방법에 대해 알아본다.
1. netsh trace start 옵션
* dos(powershell) 실행시 관리자 모드로 실행
예1) 패킷 캡쳐(필터링 없이 모든 패킷 캡쳐)
netsh trace start capture=yes
예2) 파일을 C:\trace.etl 에 저장(미 지정시 %LOCALAPPDATA%\Temp\NetTraces\NetTrace.etl” 저장됨)
netsh trace start capture=yes tracefile=C:\trace.etl
예3) ipv4 주소가 1.1.1.1인 패킷에 대해서만 저장
netsh trace start capture=yes ipv4.address=1.1.1.1 tracefile=C:\trace.etl
예4) 패킷을 캡쳐할 인터페이스지정(captureinterface='인터페이스 이름' or 인터페이스 GUID)
netsh trace start capture=yes ipv4.address=1.1.1.1 tracefile=C:\trace.etl captureinterace={52DCF2AD-36F6-4504-BC13-61299A70F6CD}
* 인터페이스 이름 및 GUID는 netsh trace show interface 명령어로 확인 가능
예5) 지정한 tcp 프로토콜에 대해서만 필터링 적용
netsh trace start capture=yes tracefile=C:\trace.etl protocol=tcp
* 추가 예 protocol=6, protocol=(6,17), protocl=!(icmp,udp)
예6) 부팅후에도 계속해서 패킷 캡쳐
netsh trace start capture=yes tracefile=C:\trace.etl persistent=yes
2. netsh trace 중지
- netsh trace stop
3. netsh trace 모니터링
- netsh trace show status
'운영체제 > Windows' 카테고리의 다른 글
| DFSR 이벤트 ID 4012 조치 (0) | 2021.09.05 |
|---|---|
| netsh trace 를 이용한 패킷 캡쳐 - 2부. Microsoft Network Monitor 툴 활용 (0) | 2021.06.15 |
| Windows iSCSI 스토리지 요청에 사용될 네트워크 주소 바인딩 (0) | 2021.04.20 |
| 윈도우 네트워크 어댑터 통계확인 (0) | 2020.12.11 |
| [Active Directory] Active Directory 도메인 컨트롤러 서버 메타 데이터 정리 (0) | 2020.11.26 |
