Главная » Linux

Windows 10 встроенный сниффер

Содержание
  1. Packet Monitor (PktMon) — встроенный сниффер траффика в Windows 10
  2. ИТ База знаний
  3. Полезно
  4. Навигация
  5. Серверные решения
  6. Телефония
  7. Корпоративные сети
  8. Курс по сетям
  9. Пошаговый ввод в домен Windows 10
  10. Основные команды cmd в Windows
  11. Поднимаем контроллер домена на Windows 2008 R2
  12. 10 крутых вещей, которые можно сделать с помощью Windows PowerShell
  13. Установка и настройка диспетчера ресурсов файлового сервера (File Server Resource Manager) в Windows Server 2016
  14. Windows Server 2016: создаем пользователя и даем RDP права
  15. Вывод Windows 10 из домена
  16. Как использовать анализатор пакетов PktMon в Windows 10
  17. Сетевой анализатор пакетов pktmon.exe в Windows 10
  18. Как запустить Packet Monitor в Windows 10?
  19. Что может PktMon?
  20. Как использовать PktMon для мониторинга сетевого трафика
  21. Создание фильтра
  22. Начать мониторинг
  23. Экспорт лога в читаемый формат
  24. Мониторинг в реальном времени
  25. Как использовать сетевой сниффер PktMon.exe в Windows 10
  26. Сетевой инструмент Sniffer pktmon.exe в Windows 10
  27. Что может сделать PktMon?
  28. Как использовать PktMon для мониторинга сетевого трафика

Packet Monitor (PktMon) — встроенный сниффер траффика в Windows 10

Встроенный анализатор (сниффер) сетевого трафика Packet Monitor (PktMon.exe) появился еще в Windows 10 1809 и Windows Server 2019. В последнем билде Windows 10 2004 (May 2020 Update), функционал анализатора пакета был существенно расширен (появилась поддержка захвата пакетов в реальном времени, и поддержка формата PCAPNG для простого импорта в анализатор сетевого трафика Wireshark). Таким образом в Windows появился функционал захвата сетевого трафика, аналогичный tcpdump, и его можно смело использовать системными и сетевыми администраторам для диагностики работы сети.

Packet Monitor позволяет получить всю сетевую активность, проходящую через сетевой интерфейс компьютера на уровне каждого пакета.

Справку по использованию параметров pktmon.exe можно получить, набрав команду в командной строке.

Основные команды утилиты Packet Monitor:

  • filter — управление фильтрами пакетов
  • comp – управление зарегистрированными компонентами;
  • reset — сброс счетчиков;
  • start – запустить мониторинг пакетов;
  • stop— остановить сбор пакетов;
  • format – конвертировать лог файл трафика в текстовый формат;
  • pcapng – конвертация в формат pcapng;
  • unload – выгрузить драйвер PktMon.

Чтобы получить справку по субкоманде, укажите ее имя:

Попробуем собрать дамп трафика, который приходит на некоторые запущенные службы компьютера. Допустим, нам нужно проанализировать трафик FTP (TCP порты 20, 21) и HTTP (порты 80 и 443).

Создадим фильтр пакетов для 4 TCP портов (также можно мониторить UDP и ICMP трафик):

pktmon filter add -p 20 21
pktmon filter add HTTPFilt –p 80 443

Выведем список имеющихся фильтров:

pktmon filter list

Чтобы запустить фоновый сбор трафика, выполните команду:

pktmon start –etw

pktmon start —etw -p 0 -c 9

где значение аргумента c – номер (ID) нужного сетевого интерфейса, полученного с помощью:

pktmon comp list

Фильтр пакетов начнет запись всего трафика, соответствующего заданным фильтрам в файл C:\Windows\System32\PktMon.etl (максимальный размер 512 Мб). Чтобы остановить запись дампа, выполните команду:

Также сбор сетевых пакетов прекращается после перезегрузки Windows.

Теперь вы можете сконвертировать файл с дампом трафика из формата ETL в обычный текст:

pktmon format PktMon.etl -o c:\ps\packetsniffer.txt

pktmon PCAPNG PktMon.etl -o c:\ps\packetsniffer.pcapng

Полученный дамп трафика можно анализировать в текстовом виде, загрузить ETL файл в установленный на компьютере администратора Microsoft Network Monitor или WireShark (в форматер PCAPNG).

Читайте также:  Astra linux special edition виртуализация

Чтобы удалить все созданные фильтры Packet Monitor, выполните:

pktmon filter remove

Вы можете использовать PktMon для мониторинга сетевого трафика в реальном времени. Для этого используется параметр -l real-time . В этом режиме захваченные сетевые пакеты отображаются в консоли, и не пишутся в фоновом режиме в лог файл.

pktmon start —etw -p 0 -l real-time

Если у вас наблюдается drop пакетов на сетевом интерфейсе, PacketMon может показать причину дропов (например, некорректный MTU или VLAN).

Также вы можете использовать PktMon в Windows Admin Center через расширения. Собранные данные с компьютеров и серверов при диагностике сетевых проблем можно использовать для анализа в более мощных программах анализа сетевого трафика, таких как Microsoft Network Monitor или Wireshark.

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Курс по сетям

Пошаговый ввод в домен Windows 10

Основные команды cmd в Windows

Поднимаем контроллер домена на Windows 2008 R2

10 крутых вещей, которые можно сделать с помощью Windows PowerShell

Установка и настройка диспетчера ресурсов файлового сервера (File Server Resource Manager) в Windows Server 2016

Windows Server 2016: создаем пользователя и даем RDP права

Вывод Windows 10 из домена

Еженедельный дайджест

Как использовать анализатор пакетов PktMon в Windows 10

Windows 10 предлагает встроенный инструмент сетевого анализатора PktMon.exe для мониторинга внутреннего распространения пакетов и отчетов о сбрасывании пакетов. Этот инструмент может помочь вам исследовать сеть и помочь устранить причину задержки в сети, выявить уязвимые приложения и, при использовании с дополнительным набором инструментов, может предоставить представление о главных показателях.

Обучайся в Merion Academy

Пройди курс по сетевым технологиям

Начать

В то время как пользователи Linux всегда имели инструмент tcpdump для отслеживания сети, пользователям Windows приходилось устанавливать сторонние программы, такие как Microsoft Network Monitor и Wireshark.

Сетевой анализатор пакетов pktmon.exe в Windows 10

PktMon или Packet Monitor — это новый сетевой анализатор (сниффер) или средство диагностики сети и мониторинга пакетов. Он находится в папке System ( C:\Windows\system32\pktmon.exe. ), что означает, что вы можете вызвать его из командной строки, при помощи утилиты Run или PowerShell.

Как запустить Packet Monitor в Windows 10?

Для запуска Packet Monitor сначала необходимо открыть окно командной строки.

  1. Нажмите Ctrl + R , чтобы открыть Run и введите cmd , затем нажмите Enter или нажмите кнопку OK.
  2. В командной строке введите pktmon.exe и нажмите Enter.

Что может PktMon?

Если вы запустите справку PktMon, введя в командной строке pktmon help , вот что вы получите:

  • filter: управление фильтрами пакетов
  • comp: управление зарегистрированными компонентами
  • reset: сброс счетчиков до нуля
  • start: начать мониторинг пакетов
  • stop: остановить мониторинг
  • format: преобразовать файл логов в текст
  • unload: выгрузить драйвер PktMon.
Читайте также:  Как убрать нагрузку с диска windows 10

И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:

Как использовать PktMon для мониторинга сетевого трафика

Рассмотрим как использовать PktMon. В этом примере предполагается, что вы хотите отслеживать порт на компьютере, который часто имеет проблемы. Для этого необходимо:

  1. Создать фильтр для мониторинга порта
  2. Начать мониторинг
  3. Экспортировать логи в читаемый формат

Создание фильтра

Основная опция, которая позволяет вам отслеживать трафик — это filter . Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты будут под наблюдением, на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую команду, вы получите полную информацию о том, что вы можете сделать с фильтром.

Итак, возвращаясь к нашей теме, давайте предположим, что нам нужен порт TCP 1088 . Это может быть порт, используемый вашим пользовательским приложением, который начал сбоить.

Откройте командную строку или PowerShell с правами администратора и создайте фильтр пакетов с помощью команды: pktmon filter add -p [port]

Чтообы удалить все фильтры, выполните команду pktmon filter remove

Начать мониторинг

Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов:

Она запустит мониторинг и создаст файл с логами в указанном месте. Вам нужно будет вручную останавливать мониторинг, используя аргумент stop , чтобы остановить ведение лога, или это само закончится, когда компьютер выключится. Если вы запустите команду с -p 0 , то она будет захватывать только 128 байтов пакета.

После выполнения pktmon записывает все пакеты на ВСЕХ сетевых интерфейсах устройства. Чтобы захватывать весь пакет и только с определенного устройства Ethernet, вы можете использовать аргументы -p 0 (захват всего пакета) и -c 13 (захват только с адаптера с идентификатором 13). Чтобы определить ID вашего адаптера, вы можете запустить команду pktmon comp list

Экспорт лога в читаемый формат

Файл журнала сохраняется в файле PktMon.ETL , который можно преобразовать в удобочитаемый формат с помощью следующей команды:

Таким образом мы на выходе получаем .txt файл с логами, который можно открыть в блокноте. Однако чтобы извлечь выгоду из полученных данных, стоит скачать и установить Microsoft Network Monitor и использовать его для просмотра файла ETL. Используя Network Monitor, вы можете увидеть полный пакет, который был отправлен, включая любую текстовую информацию.

Мониторинг в реальном времени

Microsoft также добавила возможность конвертировать файлы ETL в формат PCAPNG, чтобы их можно было использовать в таких программах, как Wireshark.

После преобразования файла в формат PCAPNG их можно открыть в Wireshark.

Как использовать сетевой сниффер PktMon.exe в Windows 10

Windows 10 предлагает встроенный инструмент сетевого анализатора — PktMon.exe — для мониторинга внутреннего распространения пакетов и отчетов о сбрасывании пакетов. Этот инструмент может помочь вам выслеживать. Сеть и поможет вам устранить причину задержки в сети, выявить уязвимые приложения и, при использовании с дополнительным набором инструментов, может предоставить представление о лучших показателях. В этом посте мы покажем, как вы можете использовать новый инструмент сетевого анализатора (PktMon.exe) в Windows 10.

Читайте также:  Windows 10 не видит usb модем мтс

Сетевой инструмент Sniffer pktmon.exe в Windows 10

PktMon.exe или Packet Monitor — это новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. Он находится в папке «Системы», что означает, что вы можете вызвать его из командной строки, командной строки или PowerShell.

Если программа напоминает вам о Netsh Trace Command, то вы правы. Команда Netsh Trace помогает включить и настроить трассировку сети, чтобы помочь при устранении проблем с сетевым подключением.

Что может сделать PktMon?

Если вы запустите PktMon.exe Help в командной строке. Вот что вы получаете:

  • filter: управление фильтрами пакетов.
  • comp: Управление зарегистрированными компонентами.
  • reset: Сброс счетчиков до нуля.
  • start: начать мониторинг пакетов.
  • stop: остановить мониторинг.
  • format: преобразовать файл журнала в текст.
  • unload: выгрузить драйвер PktMon.

И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:

Как использовать PktMon для мониторинга сетевого трафика

Вот пример того, как использовать его на простом примере.

  1. Создать фильтр для мониторинга порта
  2. Начать мониторинг
  3. Экспорт журнала в читаемый формат

В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере, который может часто иметь проблемы.

1. Создайте фильтр

Основная опция, которая позволяет вам отслеживать трафик — это «фильтр». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты сообщаются на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую программу, вы получите полную информацию о том, что вы можете сделать с фильтром.

Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся отслеживать TCP-порт № 1088. Это может быть порт, используемый вашим пользовательским приложением, который дает сбой, и PktMon может помочь вам выяснить, является ли проблема с сетью.

Откройте командную строку или PowerShell с правами администратора

Создайте фильтр пакетов с помощью команды: « pktmon filter add -p [port] »

Затем вы можете запустить команду « pktmon filter list », чтобы увидеть список добавленных фильтров.

Чтобы удалить все фильтры, выполните команду « pktmon filter remove »

2. Начните мониторинг

Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов

Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать аргумент «stop», чтобы остановить запись в журнал, или он закончится, когда компьютер выключится. Если вы запустите команду с «-p 0», то она будет захватывать только 128 байтов пакета.

3. Экспорт журнала в читаемый формат

Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в удобочитаемый формат с помощью следующей команды

Сделав это, пока вы открываете файл в блокноте и читаете его, чтобы иметь смысл, вам придется использовать Microsoft Network Monitor. Он может напрямую читать файл ETL.

Тем не менее, ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени, что ожидалось в Windows 10 2004 — но я пока не вижу такой возможности.

Оцените статью
© 2024 Советы по настройке компьютера