Microsoft při vydání aktualizace Windows 10 z října 2018 v tichosti přidal do Windows 10 sniffer síťových paketů v podobě vestavěného příkazového řádku s názvem Pktmon . Poté společnost Microsoft do tohoto nástroje přidala některé funkce, které uživatelům usnadní používání.
Sledování paketů nebo síťový analyzátor je program, který vám umožňuje sledovat síťový provoz procházející síťovými zařízeními vašeho počítače až na úroveň jednotlivých paketů.
Pktmon: Vestavěný nástroj pro monitorování sítě ve Windows 10
Při prvním vydání Pktmon podporoval pouze formát Event Trace Log (ETL), což je proprietární formát protokolu vytvořený společností Microsoft. Později Microsoft přidal podporu souborů protokolu PCAPNG a monitorování v reálném čase, o čemž se dozvíme v tomto článku.
Chcete-li používat Pktmon, musíte v systému Windows 10 spustit příkazový řádek s právy správce , protože program vyžaduje práva správce. Pokyny k použití programu získáte zadáním nápovědy pktmon do příkazového řádku .
dokumentace nápovědy pktmon
Chcete-li získat další pokyny nápovědy ke konkrétnímu příkazu, zadejte příkaz pktmon [název příkazu] help . Chcete-li například zobrazit dokumentaci k příkazu "comp" , zadejte:
pktmon comp help
Použijte příkaz help
Pomocí nápovědy můžete zobrazit pokyny pro dílčí příkazy, například:
pktmon comp list help
Chcete-li se seznámit s Pktmon, sledování tutoriálu je nejužitečnějším způsobem, takže byste se měli pokusit naučit se před skutečným použitím tohoto nástroje.
Jak používat nástroj pro monitorování sítě Pktmon
Ve srovnání s nástrojem pro monitorování sítě s grafickým uživatelským rozhraním vám může trvat déle, než si zvyknete na rozhraní příkazového řádku Pktmon.
Než budete moci monitorovat pakety, musíte nejprve vytvořit filtr pomocí příkazu pktmon filter add , který určuje provoz, který chcete monitorovat.
Můžete například sledovat veškerý síťový provoz ve vaší síti pomocí příkazu:
pktmon filter add -i 192.168.1.0/24
…nebo sledovat provoz DNS pomocí:
pktmon filter add -t UDP -p 53
Pokud jste nepřišli na to, jak to udělat, měli byste použít příkaz pktmon filter add help, abyste se naučili, jak vytvořit filtr.
V tomto článku autor vytvořil filtr pro sledování provozu DNS, jak je popsáno výše. Chcete-li zobrazit filtry, které jste vytvořili, zadejte příkaz:
pktmon filter list
Jsou uvedeny vytvořené monitorovací filtry
Chcete-li zahájit sledování provozu DNS na všech síťových rozhraních a zobrazit aktivitu v reálném čase, použijte následující příkaz:
pktmon start --etw -p 0 -l real-time
Výše uvedený příklad používá argument -p 0 , takže zachycuje celý paket. Můžete také určit konkrétní síťové rozhraní, které chcete monitorovat, pomocí argumentu -c následovaného indexovým ID rozhraní. Chcete-li získat seznam síťových rozhraní a indexových ID (ifIndex), můžete použít příkaz:
pktmon comp list
Když začnete sledovat provoz, uvidíte zachycené pakety DNS zobrazené v reálném čase v příkazovém řádku, jak je uvedeno níže.
Sledujte provoz DNS v reálném čase
Chcete-li zastavit sledování provozu, stiskněte Ctrl + C . Po dokončení se v adresáři, kde jste spustili Pktmon, vytvoří soubor protokolu PktMon.etl .
Soubory ETL však nejsou dobrou volbou, protože mnoho aplikací je nepodporuje. Soubor ETL můžete převést na soubor PCAPNG pomocí příkazu pktmon pcapng . Chcete-li například převést PktMon.etl na soubor PCAPNG s názvem PktMon.pcapng , zadejte následující příkaz:
pktmon pcapng PktMon.etl -o PktMon.pcapng
Jakmile je soubor protokolu převeden do formátu PCANPNG, můžete jej načíst do programu, jako je Wireshark , abyste získali podrobné informace o každém požadavku DNS.
Analyzujte protokoly Pktmon pomocí Wireshark
Jak můžete vidět, Pktmon je extrémně výkonný nástroj, který vám umožní získat přehled o typu provozu, který prochází vaší sítí.
Zároveň může být použití Pktmonu komplikované, takže byste se měli před spuštěním příkazu seznámit s nápovědou.