Packet Monitor (PktMon.exe) - Hoe te gebruiken in Windows 10

PktMon.exe ( Packet Monitor) is een nieuwe netwerkanalysator of netwerkdiagnose- en pakketbewakingsprogramma. Door het netwerk te analyseren en te beluisteren, kunnen beheerders kwetsbaarheden in applicaties of latentie in het netwerk zelf identificeren. Een zeer handige tool voor beheerders, want eerder in Windows 10 moest je luisteren en het netwerk analyseren met tools van derden, die op hun beurt betaald konden worden. Laten we eens kijken hoe we de Packet Monitor-tool kunnen gebruiken.

Wat kan PktMon doen?

  • filter - Beheer pakketfilters.
  • comp - Beheer van geregistreerde componenten.
  • reset - Tellers op nul zetten.
  • start - Start monitoringpakketten.
  • stop - Stop met monitoren.
  • format - Converteer logbestand naar tekst.
  • unload - Verwijder de PktMon-driver.

Volledige hulp bij het invoeren van de pktmon help- opdracht .

pktmon filter help

Hoe PktMon te gebruiken om netwerkverkeer te controleren

Laten we eens kijken naar het volgende voorbeeld: 1) maak een filter voor poortbewaking, 2) start de bewaking, 3) exporteer gegevens naar het logboek.

Stap 1 . Het pktmon-filter add help- commando zal ons een hulp tonen waarin we ontdekken dat we Ethernet-, IP-, TCP- en Encapsulation-pakketten kunnen controleren.

pktmon voegt filterhulp toe

Stap 2 . Laten we na het lezen van de help aannemen dat we de TCP-poort: 49975 zullen controleren. In mijn voorbeeld is dit de poort van het YandexDisk-programma. Maak een pakketfilter met het commando pktmon filter add -p [port], waar -pis de TCP / UDP-header.

  • pktmon filter add -p 49975- voeg een filter toe.
  • pktmon filter list - bekijk indien nodig de lijst met toegevoegde poorten / filters.
  • pktmon filter remove - verwijder alle filters.

pktmon filter toevoegen en checklist

Stap 3 . Laten we beginnen met het monitoren van pakketten, die een logbestand op de opgegeven locatie zullen aanmaken. U zult handmatig moeten stoppen met het gebruik van "stop" om het loggen te stoppen, of het zal vanzelf eindigen nadat het systeem opnieuw is opgestart.

  • pktmon start --etw -p 0

pktmon start met monitoren

Stap 4 . Het logbestand wordt opgeslagen in het bestand PktMon.ETL, dat met de volgende opdracht kan worden geconverteerd naar een leesbaar formaat.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Het logbestand staat op het pad C: \ Windows \ System32, je kunt het in het kladblok bekijken.
  • Voor een beter begrip raad ik u aan om het hulpprogramma Microsoft Network Monitor te gebruiken.

Export log naar leesbaar formaat

Belangrijke opmerking : Microsoft begint met het uitrollen van ondersteuning voor real-time monitoring in Windows 10, versie 2004 .