telegram
🪟windows

Packet Monitor (PktMon.exe) - Как использовать в Windows 10

PktMon.exe (Packet Monitor) - новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. При помощи анализа и прослушивания сети, администраторы могут выявить уязвимость в приложениях или задержку в самой сети. Очень полезный инструмент для администраторов, так как раньше в Windows 10 приходилось прослушивать и анализировать сеть при помощи сторонних инструментов, которые в свою очередь могли быть платными. Давайте разберем, как пользоваться инструментом Packet Monitor.

Что может делать PktMon?

  • filter - Управление фильтрами пакетов.
  • comp - Управление зарегистрированными компонентами.
  • reset - Сброс счетчиков до нуля.
  • start - Начать мониторинг пакетов.
  • stop - Остановить мониторинг.
  • format - Преобразовать файл журнала в текст.
  • unload - Выгрузить драйвер PktMon.

Полная справка при вводе команды pktmon help.

pktmon filter help

Как использовать PktMon для мониторинга сетевого трафика

Разберем следующий пример: 1) создать фильтр для мониторинга порта, 2) начать мониторинг, 3) экспорт данных в журнал.

Шаг 1. Команда pktmon filter add help покажет нам справку в которой мы обнаружим, что можем контролировать пакеты Ethernet, IP, TCP и Инкапсуляции.

pktmon добавление фильтра помощь

Шаг 2. После ознакомления справки, предположим, что мы будем отслеживать TCP-порт: 49975. На моем примере это порт программы ЯндексДиска. Создаем фильтр пакетов командой pktmon filter add -p [port], где -p это заголовок TCP/UDP.

  • pktmon filter add -p 49975- добавляем фильтр.
  • pktmon filter list - если нужно, то посмотреть список добавленных портов/фильтров.
  • pktmon filter remove - удалить все фильтры.

pktmon добавление фильтра и проверка списка

Шаг 3. Начнем мониторинг пакетов, который создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать "stop", чтобы остановить запись в журнал, или он закончится сам, после перезагрузки системы.

  • pktmon start --etw -p 0

pktmon начать мониторинг

Шаг 4. Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в читаемый формат с помощью следующей команды.

  • pktmon format PktMon.etl -o port-monitor-49975.txt
  • Файл журнала будет по пути C:\Windows\System32, вы его можете просматривать в блакноте.
  • Чтобы лучше понять, советую воспользоваться утилитой Microsoft Network Monitor.

Экспорт журнала в читаемый формат

Важное примечание: Microsoft начнет развертывать поддержку мониторинга в реальном времени в Windows 10 версии 2004.