[Windows7] PC でパケットキャプチャ

今日はパケットキャプチャしてみたよ！
もちろん仕事だよ！

OS : Windows7 64bit

目的
自分の PC に来たパケットをキャプチャして、
スクリプトで編集できる形式（text）のファイルが欲しい。

用意するもの
・Microsoft Message Analyzer
・Wireshark

どっちも無料。
そしてどっちも英語。
だけど、まぁ多分大丈夫。

手順

コマンドプロンプトを管理者権限で開く
メニュー → アクセサリ → コマンドプロンプトのアイコンを右クリック
　　管理者で開く

パケットをキャプチャ
netsh trace start capture=yes traceFile="C:\file_%date:/=%_%time::=%.etl"
netsh trace stop で終了

以下のような２ファイルが作成される
例) file_20141014_235900.00.etl, file_20141014_235900.00.cab

traceFileオプションを指定しない場合は、
　%TEMP%\NetTraces フォルダー内に NetTrace.etl, NetTrace.cab ができる

Microsoft Message Analyzer で変換
Microsoft Message Analyzer で *.etl ファイルを開く
Save As → Export で、*.cap で保存

Wireshark で変換
Wireshark で *.cap を開く
Print → Plain Text
　　　　　Browse... で出力ファイルを指定して Print

最終結果はこんな感じ。
No. Time Source Destination Protocol Length Info
　　　1 0.000000000 fe80::xxxx:xxxx:xxxx:xxxx ff02::x:x LLMNR 86 Standard query 0xaf28 A isatap

Frame 1: 86 bytes on wire (688 bits), 86 bytes captured (688 bits)
Ethernet II, Src: xxxx-_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: IPv6mcast_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 6, Src: xxxx::xxxx:xxxx:xxxx:xxxx (xxxx::xxxx:xxxx:xxxx:xxxx), Dst: ff02::x:x (ff02::x:x)
User Datagram Protocol, Src Port: xx (xx), Dst Port: xx (xx)
Link-local Multicast Name Resolution (query)

No. Time Source Destination Protocol Length Info
　　　2 0.000033600 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx LLMNR 66 Standard query 0xaf28 A isatap

Frame 2: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
Ethernet II, Src: Hewlett-_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: IPv4mcast_fc (xx:xx:xx:xx:xx:xx)
Internet Protocol Version 4, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
User Datagram Protocol, Src Port: xx (xx), Dst Port: xx (xx)
Link-local Multicast Name Resolution (query)
...