Trucs & Astuces : Capturer les paquets IP avec Netcap

Q : Il m’arrive parfois de capturer des paquets Ethernet sur des machines Windows XP, à des fins de dépannage. Malheureusement, il semble que XP soit dépourvu de l’outil Network Monitor intégré que l’on trouve dans Windows Server. De plus, je veux capturer le trafic à partir de la ligne de commande en utilisant un script batch déclenché par un événement et ne peux pas le faire dans Network Monitor. Tous les analyseurs de réseau du commerce sont trop onéreux pour cette utilisation occasionnelle. D’où ma question : existet- il des utilitaires de capture de paquets, en shareware et faciles à installer, pour XP, exécutables à partir de la ligne de commande ou d’un script batch ?

R : Figurez-vous qu’il existe un utilitaire de capture en réseau gratuit pour XP, fourni par… Bill Gates lui-même. Windows XP inclut un utilitaire facultatif appelé netcap.exe, que vous pouvez installer en même temps que le package Support Tools livré avec XP. Suivez simplement les instructions de l’article technique Microsoft 306794, « How to Install the Support Tools from the Windows XP CDROM » (support.microsoft.com/?kbid=3067- 94).

Après l’installation, vous pourrez exécuter le programme netcap à partir de la ligne de commande, pour capturer 1 Mo (par défaut) de paquets :

netcap /n : 1
Le commutateur « /n : 1 » spécifie le numéro NIC à partir duquel s’effectuera la capture. Vous pouvez capturer à partir des NIC Ethernet et Wireless, ainsi qu’à partir des NIC virtuels créés par les connecteurs commutés Windows. Pour obtenir la liste des NIC, utilisez la commande ipconfig.

Par défaut, netcap stocke les paquets capturés sur disque dans le dossier UserProfile\Local Settings\Temp que vous pourrez visualiser par la suite à l’aide de Network Monitor. Pour rediriger la sortie vers un répertoire différent, utilisez les commutateurs /c ou /tcf.

Si vous voulez que netcap capture les paquets en continu jusqu’à ce que vous l’arrêtiez (en actionnant la barre d’espacement), utilisez le commutateur /t :

netcap /t n

Au fur et à mesure que le tampon se remplira, les nouveaux paquets remplaceront les plus anciens. Pour capturer plus de 1 Mo, spécifiez la taille du tampon en utilisant le commutateur /b :

netcap /n:1 /b:50

Parfois vous souhaiterez simplement capturer les derniers n octets du trafic pour un certain laps de temps. Vous utiliserez alors le commutateur /L :

netcap /L:01:00:00

L’argument de /L est la durée de capture sous la forme

HH:MM:SS.

Netcap est un outil puissant mais il n’est pas installé par défaut dans XP pour une bonne raison : la sécurité. En effet, un utilisateur malveillant, ou un virus, pourrait utiliser netcap pour espionner le trafic de l’application et du système d’exploitation, au grand dam des données sensibles. Donc, quand vous avez fini d’utiliser netcap, supprimez-le par le commutateur /remove.

netcap /remove