Сниффер трафика в Windows 10: запуск и использование
Программа была добавлена в одном из обновлений, но пользователей об этом не уведомили.
Исследователи одного из интернет порталов нашли в операционной системе Windows 10 новый функционал. Скорей всего корпорация Microsoft добавила его в одном из последних обновлений, тем не менее, по каким-то причинам не стала уведомлять пользователей об этом. Программа представляет собою функционал диагностики сети и отслеживания пакетов данных. Утилита имеет название pktmon. Расположение файла можно обнаружить в папке system32 на диске С.
Интересным является тот факт, что никакой информации и упоминании об внедренном функционале на электронном ресурсе компании Microsoft не обнаружено. Эксперты обнаружившие данное приложение смогли разобраться в нем, к тому же позже было замечено, что к нему прилагается специальный справочник по использованию. В интернете уже можно найти десяток примеров использования программы, которые в теории могут помочь с некоторыми процессами и статистикой для системных администраторов. Пользователи же, которые не имеют прав администратора – не смогут получить доступ к программе.
По факту, в операционную систему Windows 10 добавили аналог TCPdump. Тем не менее, полученную информацию можно использовать в функционале других, более продвинутых, приложений. К примеру, ими могут стать Microsoft Monitor Network или Wireshark. Стоит подметить, что информационная справка к pktmon написана весьма детально и подробно, прежде чем приступать к работе с программой настоятельно рекомендуется ознакомиться со справочником.
Какие функции встроены в программу pktmon
Утилита позволяет настроить фильтры пакетов трафика, кроме того просматривать или корректировать уже настроенные фильтры или же удалять их, если возникнет такая необходимость. Все действия производятся в командной строке посредствам команд, описанным в инструкции. Чтобы остановить «захват» нужно будет ввести завершающую команду. После этого все полученные данные можно будет перевести в формат текста. В файле будет храниться краткая информация о трафике сети.
Как оказалось, позже, в одном из последующих обновлений операционной системы Windows функционал pktmon был обновлен и дополнен. Теперь в программу встроен механизм перехвата пакетов, и конвертации их с одного формата в другой. Далее полученные данные можно будет анализировать при помощи утилиты Wireshark.
Напомним, недавно в сети появились новости о том, что последнее обновление операционной системы Windows 10 приводит к проблемам с вашим ПК . В частности, упоминаются неполадки с ярлыками и звуком. Кроме того, стало известно, что Microsoft больше не будет поддерживать 32-битные операционные системы . Последнее касается и приложений такого же типа.
В Windows 10 появился собственный сниффер трафика pktmon, как запустить и пользоваться
Исследователи портала Bleeping Computer обнаружили, что компания Microsoft в составе обновления Windows 10 October 2018 Update без информирования пользователей добавила в ОС незаметную программу для диагностики сети и мониторинга пакетов под названием pktmon (Packet Monitor). Ее можно найти по этому пути: C:\Windows\system32\pktmon.exe.
Причем, информации об этой программе на сайте Microsoft нигде нет. Есть только описание в самой программе, там написано, что это «Monitor internal packet propagation and packet drop reports». Специалисты Bleeping Computer смогли научиться использовать pktmon, тем более у программы есть встроенный справочник. Также они опубликовали в своем исследовании несколько примеров активации разных возможностей pktmon для системных администраторов. Пользователи без административных прав не могут запускать эту программу.
Фактически, в Windows 10 появился встроенный аналог tcpdump, мощного и популярного инструмента для перехвата и анализа сетевых пакетов. Правда pktmon в настоящее время имеет ограниченный производителем функционал, который еще дорабатывается специалистами Microsoft. Причем полученные и сохраненные данные из pktmon уже сейчас можно использовать и в более функциональных приложениях, например, Microsoft Network Monitor или Wireshark. Вдобавок встроенная справочная документация приложения pktmon достаточно подробная, и лучше с ней ознакомиться, перед тем как начать экспериментировать с возможностями этой программы.
При использовании pktmon для мониторинга сетевого трафика необходимо настроить в программе фильтры пакетов на нужных портах, например, использовать команду «pktmon filter add -p 20». Для просмотра фильтров пакетов нужно использовать команду «pktmon filter list». Для удаления фильтров есть команда «pktmon filter remove».
Чтобы отслеживать пакеты на конкретных устройствах необходимо определить ID сетевого адаптера с помощью команды «pktmon comp list». Далее можно начинать перехватывать нужные пакеты: pktmon start —etw -p 0 -c 13, где «-p 0» — аргумент для захвата всего пакета, а «-c 13» — захват только с адаптера с ID 13. Данные будут записываться в файл pktMon.etl:
Для остановки работы процедуры захвата нужно ввести команду «pktmon stop». Далее можно преобразовать полученный файл в текстовый формат: pktmon PktMon.etl -o ftp.txt. Там будет записана в краткой форме информация о сетевом трафике:
Полностью файл pktMon.etl можно открыть и анализировать, например, с помощью Microsoft Network Monitor.
Оказывается, что в новом обновлении Windows 10 May 2020 Update (Windows 10 версии 2004) Microsoft также обновила инструмент pktmon. Теперь с его помощью можно будет перехватывать пакеты в режиме реального времени и даже конвертировать файлы с расширением ETL в формат PCAPNG, которые можно исследовать в программе для захвата и анализа сетевого трафика Wireshark.
Ранее в начале мая 2020 года Microsoft перенесла на конец мая 2020 начало развертывания большого майского обновления Windows 10 May 2020 Update (версия 2004) для обычных пользователей. Компания планировала выпустить это обновление 12 мая 2020 года. Теперь этот срок сдвинут по соображениям безопасности еще на две недели из-за необходимости исправить выявленную в последний момент уязвимость нулевого дня в Windows 10.
Сниффер для windows phone
Для функционирования программы необходимы права root пользователя.
Краткое описание:
Позволяет просматривать и анализировать пакеты, проходящие через ваш сетевой интерфейс.
Описание:
Небольшой пакетный сниффер. Входит в состав другого моего проекта (®Network utilites(Test version)). Отобразит пакеты, проходящие через ваш сетевой интерфейс, дампы пакетов можно просматривать встроенным Hex viewer’ом. Так же возможна работа с .pcap файлами(открытие, сохранение). Сохраненные pcap файлы вы сможете найти в папке /sdcard/android/data/com.myprog.packetsniffer/pcap/. Возможна фильтрация по протоколу, IP адресу отправителя и получателя, по номеру порта(в случае TCP или UDP), а так же пакетов, содержащих HTTP запросы/ответы
Запустив сниффер(menu->Start), вы увидите пакеты, идущие через ваш сетевой интерфейс. Если у вас ничего не отображается, значит в данный момент через ваш сетевой интерфейс ничего не идет, можете попробовать пропинговать свое устройство, или, к примеру, открыть браузер и куда нибудь зайти.
Чтобы просмотреть содержимое пакета, используйте тап по элементу списка с записью о интересующем вас пакете.
Используйте menu->Save, чтобы сохранить полученные дампы в .pcap файл, и menu->Open, чтобы открывать .pcap файлы. Сохраненные .pcap файлы вы сможете открывать так же и сторонними анализаторами траффика(тем же десктопным Wireshark). Храниться сохраненные файлы будут в папке /sdcard/android/data/com.myprog.packetsniffer/pcap/
Обязательно завершайте работу сниффера(menu->Stop) перед выходом из программы, иначе нативная программа так и будет выполняться, даже после завершения работы Java оболочки.
В настройках(menu->Settings) вы можете задать сетевой интерфейс, на котором слушать(по умолчанию wlan0)
Свои пожелания и хотелки пишите в теме, отчеты о багах так же приветствуются.
Требуется Android: 2.3 (на более ранних не тестировал)
Русский интерфейс: Да
Разработчик: First Row
версия: 1.8 ®Packet Sniffer (Пост #41901252)
версия: 1.7 ®Packet Sniffer (Пост #41643286)
версия: 1.6 ®Packet Sniffer (Пост #41622964)
версия: 1.5 ®Packet Sniffer (Пост #40393591)
версия: 1.4 ®Packet Sniffer (Пост #38149225)
версия: 1.3 ®Packet Sniffer (Пост #38037982)
версия: 1.2 ®Packet Sniffer (Пост #37898525)
версия: 1.1 ®Packet Sniffer (Пост #37802160)
версия: 1.0 
PacketSniffer.apk ( 1,14 МБ )
Сообщение отредактировал First Row — 11.10.15, 18:24