В Windows 10 появился собственный сниффер трафика pktmon, как запустить и пользоваться
Исследователи портала Bleeping Computer обнаружили, что компания Microsoft в составе обновления Windows 10 October 2018 Update без информирования пользователей добавила в ОС незаметную программу для диагностики сети и мониторинга пакетов под названием pktmon (Packet Monitor). Ее можно найти по этому пути: C:\Windows\system32\pktmon.exe.
Причем, информации об этой программе на сайте Microsoft нигде нет. Есть только описание в самой программе, там написано, что это «Monitor internal packet propagation and packet drop reports». Специалисты Bleeping Computer смогли научиться использовать pktmon, тем более у программы есть встроенный справочник. Также они опубликовали в своем исследовании несколько примеров активации разных возможностей pktmon для системных администраторов. Пользователи без административных прав не могут запускать эту программу.
Фактически, в Windows 10 появился встроенный аналог tcpdump, мощного и популярного инструмента для перехвата и анализа сетевых пакетов. Правда pktmon в настоящее время имеет ограниченный производителем функционал, который еще дорабатывается специалистами Microsoft. Причем полученные и сохраненные данные из pktmon уже сейчас можно использовать и в более функциональных приложениях, например, Microsoft Network Monitor или Wireshark. Вдобавок встроенная справочная документация приложения pktmon достаточно подробная, и лучше с ней ознакомиться, перед тем как начать экспериментировать с возможностями этой программы.
При использовании pktmon для мониторинга сетевого трафика необходимо настроить в программе фильтры пакетов на нужных портах, например, использовать команду «pktmon filter add -p 20». Для просмотра фильтров пакетов нужно использовать команду «pktmon filter list». Для удаления фильтров есть команда «pktmon filter remove».
Чтобы отслеживать пакеты на конкретных устройствах необходимо определить ID сетевого адаптера с помощью команды «pktmon comp list». Далее можно начинать перехватывать нужные пакеты: pktmon start —etw -p 0 -c 13, где «-p 0» — аргумент для захвата всего пакета, а «-c 13» — захват только с адаптера с ID 13. Данные будут записываться в файл pktMon.etl:
Для остановки работы процедуры захвата нужно ввести команду «pktmon stop». Далее можно преобразовать полученный файл в текстовый формат: pktmon PktMon.etl -o ftp.txt. Там будет записана в краткой форме информация о сетевом трафике:
Полностью файл pktMon.etl можно открыть и анализировать, например, с помощью Microsoft Network Monitor.
Оказывается, что в новом обновлении Windows 10 May 2020 Update (Windows 10 версии 2004) Microsoft также обновила инструмент pktmon. Теперь с его помощью можно будет перехватывать пакеты в режиме реального времени и даже конвертировать файлы с расширением ETL в формат PCAPNG, которые можно исследовать в программе для захвата и анализа сетевого трафика Wireshark.
Ранее в начале мая 2020 года Microsoft перенесла на конец мая 2020 начало развертывания большого майского обновления Windows 10 May 2020 Update (версия 2004) для обычных пользователей. Компания планировала выпустить это обновление 12 мая 2020 года. Теперь этот срок сдвинут по соображениям безопасности еще на две недели из-за необходимости исправить выявленную в последний момент уязвимость нулевого дня в Windows 10.
Как в Windows 10 отследить приложения, которые используют сеть?
Читайте, как в Windows 10 просмотреть данные об использовании сети приложениями и определить какие программы загружают вашу сеть. Рассмотрим только встроенные в ситему инструменты.
Введение
Основной поток обмена разнообразными пакетами данных, получение и отправка различных образцов сообщений, обновлений и улучшений операционной системы и установленных на устройстве приложений происходит посредством разновидности сетевых соединений, включая как международную сеть «Интернет» , так и локальные компьютерные сети. Различные разрешенные приложения могут нагружать сеть, снижая производительность компьютера, а также возможны скрытые обращения от приложений, доступ которых к сети запрещен, например, вредоносные вирусные программы. Поэтому пользователи заинтересованы в возможности получать сведения об использовании сети установленными приложениями.
И операционная система «Windows 10» может вести учет и предоставлять пользователям сводный информационный реестр о том, какие из, установленных на компьютере, приложений используют сеть прямо сейчас и сколько данных они передают. А также дополнительно ознакомить со списком приложений, которые использовали сеть в течение последних тридцати дней.
Используя представленные в данной статье способы, пользователи смогут получить исходные данные о полном использовании всех доступных сетей. Независимо от того, взаимодействует ли приложение с удаленным сервером в «Интернете» или другим компьютером в подключенной локальной сети, сведения все равно будет представлены как использование вашего сетевого подключения.
Примечание. Если пользователи столкнулись с проблемой, когда операционная система «Windows 10» не способна определить компьютеры сетевого окружения, либо конкретное пользовательское компьютерное устройство не отображается в означенном кругу, то руководство «Windows 10 не видит компьютеры в локальной сети, что делать?» на нашем видеоканале позволит исправить возникшую неполадку.
Используйте приложение «Диспетчер задач» , чтобы ознакомиться с текущим использованием сети
В операционной системе «Windows 10» пользователям для прямого изучения и просмотра перечня запущенных приложений, которые используют вашу сеть прямо сейчас, а также уточнения непосредственного количества данных, которые они обновляют, отправляют или загружают, необходимо воспользоваться возможностями системного предустановленного прикладного приложения «Диспетчер задач» .
Получить доступ к означенному приложению «Диспетчер задач» можно многими различными способами. Мы остановимся на нескольких самых распространенных и наиболее удобных вариантах.
Способ 1. Нажмите совместно комбинацию клавиш «Ctrl + Alt + Delete» и в кратком меню принудительного выхода выберите раздел «Диспетчер задач» .
Способ 2. Щелкните правой кнопкой мыши по кнопке «Пуск» , расположенной на «Панели задач» в нижнем левом углу рабочего стола, или нажмите совместно сочетание клавиш «Windows + X» и откройте меню «Опытного пользователя» . Из списка предложенных вариантов доступных действий выберите раздел «Диспетчер задач» .
Способ 3. Щелкните правой кнопкой мыши по свободному пространству «Панели задач» и во всплывающем контекстном меню управления выберите из вариантов параметров панели раздел «Диспетчер задач» .
Способ 4. Откройте диалоговое окно «Выполнить» , используя совместное нажатие комбинации клавиш «Windows + R» , в поле «Открыть» введите команду «taskmgr» , нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для исполнения, и приложение «Диспетчер задач» будет запущено незамедлительно.
Способ 5. Вероятно, самый быстрый способ добиться мгновенного отображения системного приложения «Диспетчер задач» , который состоит в использовании совместной комбинации клавиш «Ctrl + Shift + Esc» , позволяющий выполнить прямой переход в искомое приложение. Также такой способ успешно работает при использовании удаленного рабочего стола или во время работы в виртуальной машине (в отличие от способа, в котором задействовано сочетание клавиш «Ctrl + Alt + Delete» ).
После запуска приложения «Диспетчер задач» во вкладке «Процессы» щелкните заголовок графы «Сеть» , чтобы отсортировать список запущенных процессов по уровню использования сети.
Просмотрев список, пользователи смогут определить, какие приложения используют сеть и ознакомиться с величиной пропускной способности для каждого конкретного подключения.
Примечание. Если список вкладок приложения «Диспетчер задач» не отображается и содержит лишь перечень запущенных приложений, то нажмите на кнопку «Подробнее» для перехода к расширенной форме представления содержимого приложения.
С технической точки зрения, в отмеченной графе указан не полный список приложений. Если запущенный процесс не использует много сетевых ресурсов, то система учета «Windows 10» округляет значение пропускной способности до «0 Мбит / с» (мегабит в секунду), и не всегда отображает его в представленном списке. Данный способ только помогает быстро определить, какие процессы используют заметный объем пропускной способности.
Запустите приложение «Монитор ресурсов» для получения детальных сведений
«Монитор ресурсов» представляет собой предустановленный системный инструмент, дополненный графическим интерфейсом, осуществляющий сбор разнообразной информации, обрабатывающий и представляющий для дальнейшей оценки пользователям подробные сведения об использовании операционной системой и различными запущенными приложениями ресурсов компьютерного устройства, включая процессор, оперативную память «RAM» , обмен данными по сетевому соединению, внутренние дисковые хранилища информации, а также максимально контролирует активные процессы и службы.
Часть функций по контролю за ресурсами системы присутствуют в привычном приложении «Диспетчер задач» , но для более подробной информации и статистического обзора, необходимо использовать данный инструмент. Кроме того, в режиме реального времени «Монитор ресурсов» позволяет наблюдать за конкретными процессами (в том числе испытывающих проблемы с исполнением и не реагирующих не обращение системы), идентифицировать, использующие сетевое подключение, приложения и файлы, и отслеживать их исполнение.
Для получения более подробной информации откройте приложение «Монитор ресурсов» , используя любой известный способ. Мы представим на выбор два распространенных способа из доступного многообразия возможных вариантов.
Способ 1. Откройте любым, из представленных ранее, способом приложение «Диспетчер задач» и выберите вкладку «Производительность» . В левом нижнем углу окна нажмите на текстовую ссылку «Открыть монитор ресурсов» , и требуемое приложение контроля за использованием ресурсов будет запущено.
Способ 2. Совместным нажатием комбинации клавиш «Windows + R» добейтесь отображения диалогового окна «Выполнить» , в котором в строке «Открыть» введите команду «perfmon /res» и нажмите на кнопку «ОК» или клавишу «Ввод» на клавиатуре для исполнения. Приложение «Монитор ресурсов» будет открыто незамедлительно.
Теперь в окне приложения под лентой главного меню отыщите и перейдите на вкладку «Сеть» . В основном окне вкладки в панели «Процессы с сетевой активностью» будет представлен полный список процессов, отправляющих и получающих наборы пакетных данных по сети. А также в отдельной графе пользователи смогут получить сведения о средней скорости передачи данных каждого конкретного учтенного процесса за последнюю минуту, выраженные в «байт/с» (байт в секунду).
Табличный реестр сведений показывает все запущенные процессы, использующие даже небольшую пропускную способность сети, которая в «Диспетчере задач» имела бы нулевое значение или отсутствовала бы полностью.
В дополнительных панелях пользователи могут ознакомиться с данными сетевой активности, включающими идентификатор процесса и адрес, к которому данный процесс подключен, получить сведения о «TCP-подключениях» и прослушиваемых портах.
Также, как и в списке приложений «Диспетчера задач» , так и в перечне процессов сетевой активности «Монитора ресурсов» , пользователи, нажатием правой кнопкой мыши по интересующему приложению, могут выбрать во всплывающем контекстном меню раздел «Поиск в Интернете» , чтобы получить значительно больше информации о происходящем процессе.
Просмотр данных об использовании сети приложениями за последние тридцать дней
Операционная система «Windows 10» оснащена разнообразными настройками, способными управлять и контролировать исполнение различных процессов. Основной набор системных инструментов в полной мере представлен в приложении «Параметры» . В соответствующем разделе приложения пользователи могут отследить, какие приложения непосредственно используют сеть и сколько данных они передают. Чтобы отыскать и ознакомиться с такой информацией, пользователям потребуется открыть приложение «Параметры» , используя любой, из известных или наиболее удобный, способ. В качестве примера мы представим три возможных варианта доступа к искомому приложению.
Способ 1. Нажмите на кнопку «Пуск» , расположенную в левом нижнем углу рабочего стола на «Панели задач» и откройте главное пользовательское меню «Windows» . В левой боковой панели нажмите на кнопку «Параметры» , представленную в виде шестеренки. Или в основном списке доступных приложений отыщите, при помощи колеса прокрутки компьютерной мыши или бегунка полосы прокрутки, и выберите раздел «Параметры» для вызова одноименного приложения.
Способ 2. Щелкните кнопку отображения панели «Центр уведомлений Windows» , расположенную на «Панели задач» в нижнем правом углу рабочего стола. Затем во всплывающей боковой панели выберите кнопку быстрого действия «Все параметры» для мгновенного отображения соответственного приложения.
Способ 3. Нажмите совместно комбинацию клавиш «Windows + I» для быстрого прямого перехода к приложению «Параметры» (наиболее легкий и простой способ).
Теперь в окне приложения выберите из доступных вариантов раздел «Сеть и Интернет» . Затем в левой боковой панели настроек перейдите в раздел «Использование данных» . Потом в правой панели окна в разделе «Обзор» нажмите на текстовую ссылку «Просмотр сведений об использовании отдельно для каждого приложения» .
Пользователям будет представлена новая страница, содержащая в табличной форме комбинированный отчет, включающий перечень приложений, использовавших сетевое подключение в течение последних тридцати дней, и, улучшающую визуальное восприятие, графическую шкалу с цифровым значением объема полученных и отправленных пакетов данных.
В разделе «Показать использование с» можно выбрать конкретный вид соединения, непосредственно с помощью кабеля или беспроводной способ передачи данных «Wi-Fi» . И ниже расположенный список будет отображать приложения, использовавшие установленный вид соединения ( «Ethernet» или «Wi-Fi» ).
Приложения будут упорядочены по величине числовых значений по убыванию, отображая в верхней части списка приложения с максимальными показателями, которые, вероятно, пользователи используют чаще всего. В конце списка будут представлены приложения, которые редко подключаются к «Интернету» или локальной сети, и не осуществляют получение или передачу большого количества данных.
Заключение
Персональные компьютерные устройства значительно упрощают пользователям исполнение ими собственных обязанностей, облегчают удаленное взаимодействие друг с другом и помогают автоматизировать многие процессы, связанные с созданием, обработкой, передачей и обменом информацией, а также упорядочивают за ней учет и контроль.
Компьютеры оснащаются продвинутыми суперсовременными комплектующими, которые позволяют использовать множество разнообразным мощных программных инструментов. Применяемые приложения не только отвечают за взаимодействие пользователей с информацией, но и обеспечивают доступ к значительным массивам данных, расположенный в сети.
Часто, приложения самостоятельно выходят как в международную сеть, так и контактируют с удаленными узлами по локальной сети. И в такой ситуации пользователям важно уметь определять список приложений, оказывающим влияние на пропускную способность сети, и получать подробные сведения о объеме входящего и исходящего потокового обмена данными. Применяя способы, представленные в данной статье, пользователи смогут вести учет всех приложений и собирать данные о полном использовании сетевых ресурсов, контролировать пропускную способность сети и полноценно реагировать на возможные действия запущенных процессов при необходимости.