Packet Monitor (PktMon) — встроенный сниффер траффика в Windows 10

Встроенный анализатор (сниффер) сетевого трафика Packet Monitor (PktMon.exe) появился еще в Windows 10 1809 и Windows Server 2019. В последнем билде Windows 10 2004 (May 2020 Update), функционал анализатора пакета был существенно расширен (появилась поддержка захвата пакетов в реальном времени, и поддержка формата PCAPNG для простого импорта в анализатор сетевого трафика Wireshark). Таким образом в Windows появился функционал захвата сетевого трафика, аналогичный tcpdump, и его можно смело использовать системными и сетевыми администраторам для диагностики работы сети.

Packet Monitor позволяет получить всю сетевую активность, проходящую через сетевой интерфейс компьютера на уровне каждого пакета.

Справку по использованию параметров pktmon.exe можно получить, набрав команду в командной строке.

Основные команды утилиты Packet Monitor:

• filter — управление фильтрами пакетов
• comp – управление зарегистрированными компонентами;
• reset — сброс счетчиков;
• start – запустить мониторинг пакетов;
• stop— остановить сбор пакетов;
• format – конвертировать лог файл трафика в текстовый формат;
• pcapng – конвертация в формат pcapng;
• unload – выгрузить драйвер PktMon.

Чтобы получить справку по субкоманде, укажите ее имя:

Попробуем собрать дамп трафика, который приходит на некоторые запущенные службы компьютера. Допустим, нам нужно проанализировать трафик FTP (TCP порты 20, 21) и HTTP (порты 80 и 443).

Создадим фильтр пакетов для 4 TCP портов (также можно мониторить UDP и ICMP трафик):

pktmon filter add -p 20 21
pktmon filter add HTTPFilt –p 80 443

Выведем список имеющихся фильтров:

pktmon filter list

Чтобы запустить фоновый сбор трафика, выполните команду:

pktmon start –etw

pktmon start —etw -p 0 -c 9

где значение аргумента c – номер (ID) нужного сетевого интерфейса, полученного с помощью:

pktmon comp list

Фильтр пакетов начнет запись всего трафика, соответствующего заданным фильтрам в файл C:\Windows\System32\PktMon.etl (максимальный размер 512 Мб). Чтобы остановить запись дампа, выполните команду:

Также сбор сетевых пакетов прекращается после перезегрузки Windows.

Теперь вы можете сконвертировать файл с дампом трафика из формата ETL в обычный текст:

pktmon format PktMon.etl -o c:\ps\packetsniffer.txt

pktmon PCAPNG PktMon.etl -o c:\ps\packetsniffer.pcapng

Полученный дамп трафика можно анализировать в текстовом виде, загрузить ETL файл в установленный на компьютере администратора Microsoft Network Monitor или WireShark (в форматер PCAPNG).

Чтобы удалить все созданные фильтры Packet Monitor, выполните:

pktmon filter remove

Вы можете использовать PktMon для мониторинга сетевого трафика в реальном времени. Для этого используется параметр -l real-time . В этом режиме захваченные сетевые пакеты отображаются в консоли, и не пишутся в фоновом режиме в лог файл.

pktmon start —etw -p 0 -l real-time

Если у вас наблюдается drop пакетов на сетевом интерфейсе, PacketMon может показать причину дропов (например, некорректный MTU или VLAN).

Также вы можете использовать PktMon в Windows Admin Center через расширения. Собранные данные с компьютеров и серверов при диагностике сетевых проблем можно использовать для анализа в более мощных программах анализа сетевого трафика, таких как Microsoft Network Monitor или Wireshark.

Сбор данных с помощью сетевого монитора Collect data using Network Monitor

В этом разделе вы узнаете, как использовать Microsoft Network Monitor 3.4, который является средством захвата сетевого трафика. In this topic, you will learn how to use Microsoft Network Monitor 3.4, which is a tool for capturing network traffic.

Network Monitor — это архивный анализатор протокола, который больше не находится в разработке. Network Monitor is the archived protocol analyzer and is no longer under development. Анализатор сообщений Майкрософт — это замена сетевого монитора. Microsoft Message Analyzer is the replacement for Network Monitor. Дополнительные сведения см. в руководстве по операционной работе анализатора сообщений Майкрософт. For more details, see Microsoft Message Analyzer Operating Guide.

Чтобы начать работу, скачайте средство Network Monitor. To get started, download Network Monitor tool. При установке сетевого монитора он устанавливает драйвер и подключает его к всем сетевым адаптерам, установленным на устройстве. When you install Network Monitor, it installs its driver and hooks it to all the network adapters installed on the device. На свойствах адаптеров можно увидеть то же самое, что и на следующем изображении: You can see the same on the adapter properties, as shown in the following image:

Когда во время установки драйвер подключается к карте сетевого интерфейса (NIC), NIC повторно получает новый интерфейс, что может вызвать кратковременный сбой в сети. When the driver gets hooked to the network interface card (NIC) during installation, the NIC is reinitialized, which might cause a brief network glitch.

Для захвата трафика To capture traffic

Запустите netmon в повышенном состоянии, выбрав run as Administrator. Run netmon in an elevated status by choosing Run as Administrator.

Сетевой монитор открывается со всеми сетевыми адаптерами. Network Monitor opens with all network adapters displayed. Выберите сетевые адаптеры, в которых необходимо захватить трафик, нажмите кнопку Новыйзахват и нажмите кнопку Начните. Select the network adapters where you want to capture traffic, click New Capture, and then click Start.

Воспроизведите проблему, и вы увидите, что Network Monitor захватывает пакеты на проводе. Reproduce the issue, and you will see that Network Monitor grabs the packets on the wire.

Выберите Стопи перейдите в файл > сохранить результаты. Select Stop, and go to File > Save as to save the results. По умолчанию файл будет сохранен в качестве файла «.cap». By default, the file will be saved as a «.cap» file.

Сохраненный файл запечатлел весь трафик, который пропускается в выбранные сетевые адаптеры на локальном компьютере и из него. The saved file has captured all the traffic that is flowing to and from the selected network adapters on the local computer. Однако вы заинтересованы только в том, чтобы посмотреть трафик/пакеты, связанные с конкретной проблемой подключения, с которой вы столкнулись. However, your interest is only to look into the traffic/packets that are related to the specific connectivity problem you are facing. Чтобы увидеть только связанный трафик, необходимо отфильтровать сетевой захват. So you will need to filter the network capture to see only the related traffic.

Часто используемые фильтры Commonly used filters

• Ipv4.address==»client ip» и ipv4.address==»server ip» Ipv4.address==»client ip» and ipv4.address==»server ip»
• Tcp.port== Tcp.port==
• Udp.port== Udp.port==
• Icmp Icmp
• Arp Arp
• Property.tcpretranmits Property.tcpretranmits
• Property.tcprequestfastretransmits Property.tcprequestfastretransmits
• Tcp.flags.syn==1 Tcp.flags.syn==1

Если вы хотите отфильтровать захват для определенного поля и не знать синтаксис для этого фильтра, щелкните правой кнопкой мыши это поле и выберите Добавить выбранное значение для **отображения фильтра ** **. If you want to filter the capture for a specific field and do not know the syntax for that filter, just right-click that field and select Add the selected value to Display Filter.

Сетевые трассировки, которые собираются с помощью команд netsh, встроенных в Windows, являются расширением «ETL». Network traces which are collected using the netsh commands built in to Windows are of the extension «ETL». Однако эти файлы ETL можно открыть с помощью сетевого монитора для дальнейшего анализа. However, these ETL files can be opened using Network Monitor for further analysis.

Энциклопедия Windows

Все об использовании и настройке Windows

• Windata
• »
• Мир Windows
• »
• Локальная сеть
• » Утилита Windows Network Monitor

Утилита Windows Network Monitor

Если утилита Network Diagnostics является программой, запускаемой пользователем, Network Monitor (Сетевой монитор) является инструментом, предназначенным для администратора.

Утилита Network Monitor позволяет перехватывать и анализировать сетевые пакеты, а так же просматривать статистику данных, передаваемых в локальной подсети компьютера, на котором выполняется программа Network Monitor.

Одной из основных причин использования специализированных утилит-снифферов в сетях масштаба предприятия, является ограниченность функциональности утилиты Network Monitor. Например, система, на которой выполняется утилита Network Monitor, может перехватывать и анализировать только те пакеты, которые циркулируют в локальной подсети. А чего же вы хотели от бесплатной утилиты?

Утилита Network Monitor может перехватывать такие пакеты:

• Обычные пакеты от сервера, на котором выполняет утилита Network Monitor
• Пакеты групповой отправки в локальной подсети
• Широковещательные пакеты в локальной подсети

Утилита Network Monitor не является ничем иным, чем облегченной версией Microsoft Systems Management Server (SMS), которая работает более быстро и поддерживает перехват и анализ пакетов, предназначенных для удаленной системы.

Для наблюдения за системой с помощью Network Monitor необходимо установить и включить драйвер Network Monitor Driver. Драйвер устанавливается и включается по умолчанию в системе Windows Server 2003/2008. В операционной системе Windows XP и в более ранних версиях операционной системы Windows требуется ручная установка и включение драйвера.

Для установки драйвера Network Monitor Driver необходимо выполнить такую последовательность действий.

1. В Панели управления (Control Panel) выполните двойной щелчок на значке Сетевые соединения (Network Connections).

2. Кликните правой кнопкой на соединении, за которым необходимо наблюдать, и выберите Свойства (Properties).

3. Кликните на кнопке Установить (Install).

4. Выберите Протокол (Protocol) и кликните на кнопке Добавить (Add).

5. Выберите Network Monitor Driver и кликните на кнопке OK.

6. После этого Network Monitor Driver должен отображаться на вкладке Общие (General) диалогового окна Свойства соединения (Connection Properties).

7. Кликните на кнопке Закрыть (Close) в диалоговом окне Свойства сетевого соединения (Network Connection Properties).

8. Закройте диалоговое окно Сетевые соединения (Network Connection).

Сам по себе Network Monitor Driver не выполняет никакой работы. Для наблюдения за данными, передаваемыми по сети необходимо воспользоваться пакетом Network Monitor Tools. Эти утилиты невозможно установить на рабочей станции под управлением Windows XP, поэтому их установка и использование допускается только для операционной системы Windows Server 2003/2008 и на более ранних версиях серверной операционной системы Windows.

Вот последовательность действий по установке пакета Network Monitor Tools:

1. Выберите Пуск > Панель управления (Start > Control Panel).

2. Выполните двойной щелчок на значке Установка и удаление программ (Add/Remove Programs).

3. Кликните на кнопке Установка и удаление компонентов Windows (Add/Remove Windows Components).

4. Выполните двойной щелчок на ссылке Средства управления и наблюдения (Management and Monitoring Tools).

5. Установите флажок напротив Network Monitor Tools и кликните на кнопке OK.

6. В диалоговом окне Мастер компонентов Windows (Windows Components Wizard) кликните на кнопке Далее (Next).

7. При необходимости, вставьте в привод установочный компакт-диск операционной системы Windows Server и кликните на кнопке OK.

8. После завершения работы мастера кликните на кнопке Готово (Finish).

9. Закройте диалоговое окно Установка и удаление программ (Add/Remove Programs).

10. Закройте Панель управления (Control Panel).

После этого пакет Network Monitor Tools можно открыть, выбрав Пуск > Администрирование > Network Monitor Tools (Start > Administrative Tools > Network Monitor Tools). Сразу после открытия программы, выберите сетевое соединение, за которым будет вестись наблюдение, после этого пакет готов к использованию.

Понимание принципов работы Network Monitor происходит гораздо проще, если знать базовую терминологию. Вот основные понятия этого пакета.

• Перехват (Capture) — использование пакета Network Monitor для прослушивания и сохранения данных передаваемых по сети от и к определенному сетевому интерфейсу.
• Буфер перехвата (Capture Buffer) — область оперативной памяти, которая используется для временного хранения перехваченных данных, пока они не записаны на диск.
• Размер буфера перехвата (Capture Buffer Size) — размер оперативной памяти, в мегабайтах, выделенной для Буфера перехвата. По умолчанию, для этих целей выделяется 1МВ оперативной памяти. Для увеличения объема данных, перехвачиваемых в сети, компания Microsoft рекомендует установить размер буфера перехвата на 16МВ меньшим объема физической оперативной памяти на компьютере.
• Триггер перехвата (Capture Trigger) — средство Network Monitor, позволяющее настроить начало перехвата при появлении определенного типа данных.
• Фильтр перехвата (Capture Filter) — используется для ограничения данных, которые подвергаются перехвату. Сетевой монитор продолжает анализировать все пакеты, проходящие через сетевой интерфейс, чтобы определить его соответствие критериям фильтра. Следовательно, использование фильтрации создает повышенную нагрузку на центральный процессор.
• Фильтр отображения (Display Filter) — фильтр отображения позволяет фильтровать перехваченные пакеты и отображать только соответствующие указанному критерию. Захват всех пакетов с отображением только необходимых снижает нагрузку на центральный процессор, но, в свою очередь, требует использования большего объема дискового пространства.

Изучив базовые понятия можно рассмотреть вариант использования Network Monitor для перехвата данных, передаваемых по сети.

После открытия окна Network Monitor кликните на меню Capture и выберите команду Start для начала перехвата данных. После завершения еще раз кликните на меню Capture и выберите Stop and View.

В окне Capture Summary будет представлена основная информация о перехваченных пакетах. Для получения дополнительной информации необходимо выполнить двойной щелчок на интересующем пакете.