Сниффер трафика в Windows 10: запуск и использование
Программа была добавлена в одном из обновлений, но пользователей об этом не уведомили.
Исследователи одного из интернет порталов нашли в операционной системе Windows 10 новый функционал. Скорей всего корпорация Microsoft добавила его в одном из последних обновлений, тем не менее, по каким-то причинам не стала уведомлять пользователей об этом. Программа представляет собою функционал диагностики сети и отслеживания пакетов данных. Утилита имеет название pktmon. Расположение файла можно обнаружить в папке system32 на диске С.
Интересным является тот факт, что никакой информации и упоминании об внедренном функционале на электронном ресурсе компании Microsoft не обнаружено. Эксперты обнаружившие данное приложение смогли разобраться в нем, к тому же позже было замечено, что к нему прилагается специальный справочник по использованию. В интернете уже можно найти десяток примеров использования программы, которые в теории могут помочь с некоторыми процессами и статистикой для системных администраторов. Пользователи же, которые не имеют прав администратора – не смогут получить доступ к программе.
По факту, в операционную систему Windows 10 добавили аналог TCPdump. Тем не менее, полученную информацию можно использовать в функционале других, более продвинутых, приложений. К примеру, ими могут стать Microsoft Monitor Network или Wireshark. Стоит подметить, что информационная справка к pktmon написана весьма детально и подробно, прежде чем приступать к работе с программой настоятельно рекомендуется ознакомиться со справочником.
Какие функции встроены в программу pktmon
Утилита позволяет настроить фильтры пакетов трафика, кроме того просматривать или корректировать уже настроенные фильтры или же удалять их, если возникнет такая необходимость. Все действия производятся в командной строке посредствам команд, описанным в инструкции. Чтобы остановить «захват» нужно будет ввести завершающую команду. После этого все полученные данные можно будет перевести в формат текста. В файле будет храниться краткая информация о трафике сети.
Как оказалось, позже, в одном из последующих обновлений операционной системы Windows функционал pktmon был обновлен и дополнен. Теперь в программу встроен механизм перехвата пакетов, и конвертации их с одного формата в другой. Далее полученные данные можно будет анализировать при помощи утилиты Wireshark.
Напомним, недавно в сети появились новости о том, что последнее обновление операционной системы Windows 10 приводит к проблемам с вашим ПК . В частности, упоминаются неполадки с ярлыками и звуком. Кроме того, стало известно, что Microsoft больше не будет поддерживать 32-битные операционные системы . Последнее касается и приложений такого же типа.
Как использовать сетевой Sniffer PktMon.exe в Windows 10
Windows 10 предлагает встроенный инструмент сетевого анализатора PktMon.exe — для мониторинга и отчетов пакетов. Этот инструмент может помочь вам отслеживать сеть и поможет вам, устранить причину задержки в сети, выявить уязвимые приложения. В этом посте мы покажем, как вы можете использовать новый инструмент сетевого анализатора (PktMon.exe) в Windows 10.
Сетевой инструмент Sniffer pktmon.exe в Windows 10
PktMon.exe или Packet Monitor — это новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. Он находится в папке Systems, это означает, что вы можете вызвать его из командной строки или PowerShell.
Если программа напоминает вам о Netsh Trace Command, то вы правы. Команда Netsh Trace помогает включить и настроить трассировку сети, чтобы помочь при устранении проблем с сетевым подключением.
Что может сделать PktMon?
Если вы запустите PktMon.exe Help в командной строке. Вот что вы получаете:
- filter: Управление фильтрами пакетов.
- comp: Управление зарегистрированными компонентами.
- reset: Сброс счетчиков до нуля.
- start: Начать мониторинг пакетов.
- stop: Остановить мониторинг.
- format: Преобразовать файл журнала в text.
- unload: Выгрузить драйвер PktMon.
И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:
pktmon filter help
pktmon filter < list | add | remove >[OPTIONS | help]
list — показать активные фильтры пакетов
add — добавить фильтр, чтобы контролировать, какие пакеты переданы
remove — удаляет все фильтры
Как использовать PktMon для мониторинга сетевого трафика
Вот пример того, как использовать его на простом примере.
- Создать фильтр для мониторинга порта
- Начать мониторинг
- Экспорт журнала в читаемый формат
В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере, который может часто иметь какие-то проблемы.
Основная опция, которая позволяет вам отслеживать трафик — это «filter». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты передаются на основе Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую программу, вы получите полную информацию о том, что вы можете сделать с фильтром.
pktmon filter add help
Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся отслеживать TCP-порт № 1088. Это может быть порт, используемый вашим приложением, который дает сбой, и PktMon может помочь вам выяснить, является ли проблема с сетью.
Откройте командную строку или PowerShell с правами администратора
Создайте фильтр пакетов с помощью команды: «pktmon filter add -p [port]»
pktmon filter add -p 1088
Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.
Чтобы удалить все фильтры, выполните команду «pktmon filter remove»
2. Начать мониторинг
Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам необходимо запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов
pktmon start —etw — p 0
Это запустит мониторинг и создаст файл журнала в указанном месте. Вам придется вручную остановить используя аргумент «stop», чтобы остановить запись в журнал, или он закончится, когда компьютер выключится. Если вы запустите команду с «-p 0», она будет захватывать только 128 байтовые пакеты.
Имя файла журнала: C:\Windows\system32\PktMon.etl
Режим регистрации: Circular
Максимальный размер файла: 512 MB
3. Экспорт журнала в читаемый формат
Файл журнала сохраняется в файле PktMon.ETL, который можно преобразовать в удобочитаемый формат с помощью следующей команды
pktmon format PktMon.etl -o port-monitor-1088.txt
Ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени — но я пока не вижу такой возможности.
Снифферы
Malcolm
Инструмент с открытым исходным кодом для анализа и визуализации трафика.
ThreatEye
Платформа для проведения экспертизы сети.
Gurucul Network Behavior Analytics
Решение для анализа сетевого трафика на базе технологии машинного обучения.
MALCOLM
Информационная панель, отображающая метрики HTTPS- трафика, проходящего через сеть Cloudflare .
MITMEngine
Библиотека с открытым исходным кодом, предназначенная для детектирования перехвата HTTPS-трафика.
NetworkMiner
Пассивный сетевой сниффер.
Wireshark
Wireshark – анализатор сетевых протоколов, который позволяет вам фиксировать и в интерактивном режиме просматривать содержание сетевых фреймов.
O&K Print Watch
Утилита для контроля и управления печати на принтерах.
SmartSniff
SmartSniff — крошечная бесплатная утилита, предназначенная для перехвата и просмотра TCP/IP-пакетов, передаваемых через сетевые адаптеры между клиентскими и серверными машинами.
York — это сниффер для сетевого трафика и анализатор сетевых пакетов в одной программе.
HTTP Analyzer
Сниффер перехватывающий в реальном времени http-заголовки
Radium-Keylogger
SniffPass
SniffPass — утилита, анализирующая трафик, проходящий через сетевой адаптер.
SoftPerfect Network Protocol Analyzer
SoftPerfect Network Protocol Analyzer — анализатор сетевых протоколов (снифер) для анализа, отладки, управления и мониторинга сетевых соединений.
Print Inspector
Мощная программа для управления печатью в локальной сети. Print Inspector позволяет отменить или приостановить любое задание на одном из принтеров в сети, просмотреть свойства распечатанного документа, возобновить работу с того места, где она была остановлена, или же начать печать сначала.
Cain & Abel
Инструмент для быстрого восстановления паролей в среде windows.
tPacketCapture
Пакетный снифер для Android, использующий VPN вместо root-доступа.