Réaliser une capture réseau sans rien installer sur Windows

Netsh, l’outil intégré à Windows

Sur les systèmes Microsoft Windows, il est possible de réaliser une capture réseau sans installer d’outils.
Cela est particulièrement utile sur les serveurs de production où il n’est pas possible d’installer de logiciel (chez des clients par exemple) ou ceux dépourvus d’interface graphique (Windows Server en mode Core ou Nano).

Les systèmes Microsoft intègre par défaut l’utilitaire netsh qui permet de réaliser un grand nombre d’actions.

Bien que l’article n’indique que la partie capture réseau, netsh est un outil très puissant (gestion pare-feu, modification MTU, etc.).Pour réaliser une capture réseau, ouvrir une CMD ou PowerShell en mode administrateur :

netsh trace start capture=yes persistent=yes

Le paramètre persistent=yes est facultatif, il permet de prendre une trace au redémarrage de l’ordinateur. Pour arrêter la capture :

netsh trace stop

Par défaut les captures sont sauvegardées dans C:\Users\<compte admin>\AppData\Local\Temp\NetTraces\NetTrace.etl

Ce fichier s’ouvre avec Microsoft Message Analyzer.