Microsoft pri vydaní aktualizácie Windows 10 z októbra 2018 potichu pridal do Windows 10 sniffer sieťových paketov v podobe vstavaného príkazového riadku s názvom Pktmon . Potom spoločnosť Microsoft pridala do tohto nástroja niektoré funkcie, ktoré používateľom uľahčia používanie.
Sledovanie paketov alebo sieťový analyzátor je program, ktorý vám umožňuje monitorovať sieťový prenos prechádzajúci cez sieťové zariadenia vášho počítača až po úroveň jednotlivých paketov.
Pktmon: Vstavaný nástroj na monitorovanie siete Windows 10
Pri prvom vydaní Pktmon podporoval iba formát Event Trace Log (ETL), čo je proprietárny formát denníka vytvorený spoločnosťou Microsoft. Neskôr Microsoft pridal podporu protokolových súborov PCAPNG a monitorovanie v reálnom čase, o čom sa dozvieme v tomto článku.
Ak chcete používať Pktmon, musíte spustiť príkazový riadok s právami správcu v systéme Windows 10, pretože program vyžaduje práva správcu. Ak chcete získať pokyny na používanie programu, zadajte do príkazového riadka pomoc pktmon .

dokumentácia pomoci pktmon
Ak chcete získať ďalšie pomocné pokyny pre konkrétny príkaz, zadajte príkaz pktmon [názov príkazu] help . Ak chcete napríklad zobraziť dokumentáciu o príkaze "comp" , zadajte:
pktmon comp help

Použite príkaz help
Pomocou pomocníka môžete zobraziť pokyny pre čiastkové príkazy, napríklad:
pktmon comp list help
Na zoznámenie sa s Pktmonom je najužitočnejším spôsobom sledovanie tutoriálu, takže by ste sa mali pokúsiť naučiť sa predtým, ako tento nástroj skutočne použijete.
Ako používať nástroj na monitorovanie siete Pktmon
V porovnaní s nástrojom na monitorovanie siete s grafickým používateľským rozhraním vám môže trvať dlhšie, kým si zvyknete na rozhranie príkazového riadku Pktmon.
Predtým, ako budete môcť monitorovať pakety, musíte najprv vytvoriť filter pomocou príkazu pktmon filter add , ktorý špecifikuje prevádzku, ktorú chcete monitorovať.
Môžete napríklad monitorovať všetku sieťovú prevádzku vo vašej sieti pomocou príkazu:
pktmon filter add -i 192.168.1.0/24
...alebo monitorovať prenos DNS pomocou:
pktmon filter add -t UDP -p 53
Ak ste neprišli na to, ako to urobiť, mali by ste použiť príkaz pktmon filter add help, aby ste sa naučili, ako vytvoriť filter.
V tomto článku autor vytvoril filter na sledovanie prevádzky DNS, ako je opísané vyššie. Ak chcete zobraziť filtre, ktoré ste vytvorili, zadajte príkaz:
pktmon filter list

Vytvorené monitorovacie filtre sú uvedené v zozname
Ak chcete spustiť monitorovanie prevádzky DNS na všetkých sieťových rozhraniach a zobraziť aktivitu v reálnom čase, použijete nasledujúci príkaz:
pktmon start --etw -p 0 -l real-time
Vyššie uvedený príklad používa argument -p 0 , takže zachytí celý paket. Môžete tiež zadať špecifické sieťové rozhranie na monitorovanie pomocou argumentu -c , za ktorým nasleduje indexové ID rozhrania. Ak chcete získať zoznam sieťových rozhraní a indexových ID (ifIndex), môžete použiť príkaz:
pktmon comp list
Keď začnete monitorovať prenos, uvidíte zachytené pakety DNS zobrazené v reálnom čase v príkazovom riadku, ako je uvedené nižšie.

Monitorujte prenos DNS v reálnom čase
Ak chcete zastaviť sledovanie premávky, stlačte Ctrl + C . Po dokončení sa v adresári, v ktorom ste spustili Pktmon, vytvorí protokolový súbor PktMon.etl .
Súbory ETL však nie sú dobrou voľbou, pretože mnohé aplikácie ich nepodporujú. Súbor ETL môžete previesť na súbor PCAPNG pomocou príkazu pktmon pcapng . Ak chcete napríklad previesť súbor PktMon.etl na súbor PCAPNG s názvom PktMon.pcapng , zadajte nasledujúci príkaz:
pktmon pcapng PktMon.etl -o PktMon.pcapng
Keď sa súbor denníka skonvertuje do formátu PCANPNG, môžete ho načítať do programu, ako je Wireshark , aby ste získali podrobné informácie o každej požiadavke DNS.

Analyzujte protokoly Pktmon pomocou Wireshark
Ako môžete vidieť, Pktmon je mimoriadne výkonný nástroj, ktorý vám umožňuje získať prehľad o type prevádzky prebiehajúcej vo vašej sieti.
Súčasne môže byť používanie Pktmonu komplikované, takže pred spustením príkazu by ste sa mali oboznámiť s dokumentáciou pomocníka.