windowsでデフォルトのツールだけで頑張ってパケットキャプチャをする
ちょっと仕事でwindowsサーバーで動く商用のシステムからhttpsのクエリストリングとか調べてよ!って言われてどーすんのよこれって思って調べながらやってみたので、メモレベルで残す
前提条件
- powershellが動かせる環境があること
- windowsサーバ自体には管理者権限でアクセスできること
パケットキャプチャ
netshコマンドを使う - 開始
netsh trace start capture=yes
- 終了
netsh trace stop
コマンドそれぞれで結構時間がかかる
デフォルトだと以下のパスに出来上がる。
C:\Users\<ユーザー名>\AppData\Local\Temp\NetTraces\NetTrace.etl
pcapに変換
github上とかにも結構ある。自分はこれを使ってpowershellで変換した。
tsharkで確認
wireshearkがGUIで使える環境があればいいが、tsharkならGUIで確認することができる。
tshark -r <filename>
でパケットを確認することができる。