Захват трафика с помощью PowerShell

Захват трафика в PowerShell

Те, кто в теме информационной безопасностью знает, как захватить трафик с помощью сниффера WireShark. Но мало кто знает, что можно захватить трафик с помощью PowerShell. В этой небольшой статье, рассмотрим простой скрипт для захвата трафика в PowerShell, который называется QuickPcap.

Еще по теме: Сканер портов на PowerShell

Захват трафика с помощью PowerShell

Для работы нашего скрипта и захвата трафика в PowerShell, будем использовать установленную в Windows утилиту netsh. Вот простой код захвата трафика в течении 90 секунд:

Как и в Wireshark, нам нужно указать, с какого интерфейса мы хотим перехватить трафик. В приведенном выше примере 192.168.1.167 — это активный интерфейс, трафик с которого я хочу захватить. Но давайте автоматизируем эту задачу.

Предположим, что мы не знаем IP-адрес интерфейса. Мы можем получить локальный адрес IPv4 и сохранить его как переменную:

Теперь собираем все вместе:

Отлично. Мы запилили автоматический захват пакетов без установки Wireshark. Единственный элемент, который нужно настроить — таймер захвата (сна).

Мы захватили трафик и сохранили в файл .etl, но нам нужен .pcap. Для этого прибегнем к простой утилите для конвертации etl2pcapng.

Вот и все. Теперь мы можем собирать пакеты на хостах Windows без добавления каких-либо дополнительных инструментов. Затем мы можем эти файлы открыть во всеми нами любимом анализаторе пакетов.

Я объединил все вышеперечисленное в файл QuickPcap.ps1.

Захват трафика PowerShell Windows

Захват и конвертация выполняются как один непрерывный процесс, но их легко представить как отдельные элементы автоматизации, которые обрабатываются с помощью сценариев разными процессами.

Еще по теме: Способы обфускации PowerShell

ВКонтакте
OK
Telegram
WhatsApp
Viber

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *