Pull to refresh

Comments 21

А как там раньше без него обходились?

Я не виндоюзер, но помню, была такая либа winpcap, и никсовый wireshark. Это оно же? Если да, то почему было бы просто не допилить имеющееся?
почему было бы просто не допилить имеющееся?


Лицензия, например? Сторонний софт нельзя просто взять.

А так Network Monitor был же. Наверное, понадобилась консольная версия.
www.winpcap.org/misc/features.htm
Free. WinPcap is released under the BSD open source licence. This means that you have total freedom to modify and use it with your application, even if it's commercial. The binary and source code are available here.

Как бы есть эталонная либа, поверх которой написанные классические тулы. МС же начали топить за опенсурс, за developer experience. Состыковали бы

Не в их стиле, вы же знаете. Если это написали не они, то софт обладает фатальным недостатком.

Кстати, интересно, есть ли внутри Windows что-то без ихнего копирайта?
BSD шные сокеты до недавнего времени. Потом переписали всё таки, насколько я знаю.
Интеренсо. Не знал о такой штуке в Windows 10. И хорошо конечно, что она появилась.
Но всё таки IMHO это не полноценная замена wireshark-у.
Слабенькая находка. Со времен 7-ки есть:
Netsh trace start capture=yes CaptureInterface="Wi-Fi " IPv4.Address=192.168.1.1  tracefile=D:\trace.etl" maxsize=11

Кроме того, Network Monitor, Message Analyzer теперь deprecated, хотя поставить, конечно можно. Мне нравится Network Monitor, потому что в нем видна привязка трафика к pid процесса.
Наверное, более правильным будет использование etl2pcapng
Ну да, действительно в 2004 можно сделать так
pktmon filter add -t udp -p 53
pktmon start --etw -l real-time | select-string "www.ru" 

и даже
pktmon pcapng log.etl [-o log.pcapng]

Какое достижение! Убить мощнейший Microsoft Message Analyzer, которому аналогов нет вообще, ликвидировать даже сервер библиотек для него (сколько центов сэкономили?!), а потом клепать примитивные костыли из трёх функций.

Если кто не знал, в Windows 8.1/10 встроена система, позволяющая даже удалённо перехватывать и анализировать traffic, не добавляя в стек потенциально деструктивные фильтры вроде NPCap. То есть даже в production можно traffic перехватить удалённо, если нужно. И ядро программы, которая это умела (Message Analyzer), разрабатывал, похоже, один человек (ещё куча отделов делала плагины-анализаторы каждый для сообщений своего ПО), который где-то в 2016 году уволился(?). Среди программистов Microsoft, наверное, не нашлось никого, кто мог бы продолжить разработку, потому что через несколько лет менеджмент принял решение проект закрыть и даже уничтожить сервер с сотнями плагинов для анализа трафика всего мыслимого ПО Microsoft.

И вот кто-то из инженеров, видимо, подпольно, раз это не документировали, добавил мини-обёртку над «осиротевшей» системой перехвата traffic-а — работать-то как-то надо.
Прекращение Message Analyzer очень меня удивило, вроде флагман был. Кто мешал его выложить на github, если нет желания и возможности самим разрабатывать.

К слову, NPCap еще ни разу в prod не вызвала проблем, хотя тоже не люблю лишние фильтры. Возможно потому, что в этой библиотеке не должно быть функций воздействующих на трафик.
Я в своей практике достаточно навидался проблем с WinPCap при повышении нагрузки, так что не стал бы рекомендовать и новый NPCap в production тоже. Всё равно ведь каждый пакет проходит через сторонний драйвер, пусть теперь и используя NDIS6 Filter API. Возможность некорректно обработать пакет — не вернуть его в дальнейшую обработку, насколько я понимаю, никуда не далась, а именно это и происходило, видимо, в случае «глюков» WinPCap.
Спасибо. Не помните, как внешне проявлялись эти проблемы? Обычно я Wireshark удаляю, или использую зеркалирование трафика в VMware, но иногда нахожу машины, где забыл.
Чаще всего, насколько я помню, при возрастании нагрузки вылетал BSoD, после удаления WinPCap симптом пропадал. Были, опять же, насколько я помню, более сложные «плавающие» проблемы, которые решались сносом WinPCap, но подробностей за давностью лет не помню. Последние годы особо не встречал *PCap на production и проблем с ними тоже.
Интересно узнать, отображает ли оно телеметрию самой системы.
Все действия MS необходимо рассматривать только с одной точки зрения — как на этом можно срубить бабла.
Например, ISA/FTMG, очень неплохой продукт (кстати, так-же, купленый,) интегрально перестал приносить бабки, и его за_рыли. Хотя в составе Hyper-V, мог бы быть интересен.
Так-же MS приходиться лавировать вокруг их антимонопольного законодательства, пример Citrix. MS могла бы его «ушатать» в один прием, но им необходимо удерживать на плаву некоторое количество конкурентов. Иначе попилят.
Для конвертации нужно использовать «format», т.е. команда:
pktmon PktMon.etl -o ftp.txt
должна быть:
pktmon format PktMon.etl -o ftp.txt
Sign up to leave a comment.

Other news