Situatie
Microsoft a adăugat în mod silențios un pachet sniffer la Windows 10 în actualizarea din octombrie 2018. Instrumentul se numește PktMon.exe și funcționează în același mod ca oricare alt Packer sau Network Sniffer, inclusiv WireShark și Microsoft Network Monitor .
Locația fișierului exe al Windows 10 Packer Monitor este: C:\Windows\system32\pktmon.exe
În acest ghid, vă voi arăta cum să executați comenzile de bază și să exportați fișierul jurnal de captare a pachetelor în formate ETL și PCAPNG.
Solutie
Pasi de urmat
Deschideți promptul de comandă cu privilegii de administrare.
Pentru a începe să folosiți Pktmon, introduceți pur și simplu: pktmon help
Această comandă va arăta diferitele opțiuni de utilizare a acesteia. În mod evident, suntem interesați să-l folosim ca filtru de pachete. Pentru a verifica diferitele opțiuni de filtrare, aici este comanda:
pktmon filter help
Monitorizarea traficului FTP cu Pktmon
Să presupunem că doriți să filtrați monitorizarea traficului FTP pe porturile 20 și 21. Iată comenzile:pktmon filter add -p 20
pktmon filter add -p 21
Pentru a vizualiza filtrele de pachete pe care tocmai le-ați creat, utilizați această comandă:pktmon filter list
Pentru a începe monitorizarea și înregistrarea pachetelor de rețea care trec prin porturile FTP 20 și 21, utilizați comanda pktmon start.După ce executați această comandă, va monitoriza și înregistra toate pachetele dintr-un fișier numit Pktmon.etl. Rețineți că va înregistra doar primii 128 de octeți ai unui pachet.
Pentru a captura întregul pachet, puteți utiliza -p 0argumentele:
pktmon start --etw -p 0
Pentru a opri procesul de captare a pachetelor, va trebui să introduceți pktmon stopcomanda.
Puteți, de asemenea, converti fișierul Pktmon.etl într-un format reactiv uman precum fișierul .txt folosind această comandă:pktmon format PktMon.etl -o filename.txt
Cum să capturați pachete pentru o anumită interfață de rețea:
Dacă doriți să capturați pachetul pentru o anumită interfață de rețea, să spunem cardul dvs. Ethernet, puteți utiliza pktmon comp listcomanda pentru a enumera toate interfețele de rețea.
Acum, pentru a capta pachetele de pe această interfață de rețea specifică, va trebui să utilizați -c 9argumentul. „9” este ID-ul interfeței de rețea.
pktmon start --etw -p 0 -c 10
Cum să efectuați monitorizarea în timp real a pachetelor
După cum am menționat anterior, actualizarea Microsoft Mai 2020 a adăugat două caracteristici foarte utile monitorului Windows Packet. Una dintre ele este monitorizarea în timp real a pachetelor. Pentru a activa monitorul de pachete în timp real, trebuie să treceți -l real-timeargumentul în comandă.
pktmon start --etw -p 0 -l real-time
Cum se poate converti în format de fișier PCAPNG
Dacă doriți ca fișierele dvs. de jurnal să fie citite în alte instrumente de filtrare a pachetelor terțe, atunci trebuie să le convertiți în formatul de fișier PCAPNG.
Microsoft a inclus această caracteristică în pktmon la actualizarea din mai 2020. Pentru a ascunde fișierul .etl la .pcapng, trebuie doar să executați comanda:
pktmon pcapng [filename.etl] -o [filename.pcapng]Desigur, există opțiuni mai avansate pe care le puteți utiliza pentru a personaliza în continuare rezultatele filtrării pachetelor. Cu toate acestea, acest instrument este excelent dacă nu doriți să utilizați instrumente și software externe și folosiți instrumente interne Windows pentru a monitoriza traficul de rețea IN / OUT pe computer.
Leave A Comment?