Как использовать сетевой сниффер PktMon.exe в Windows 10

Windows 10 предлагает встроенный инструмент сетевого анализатора PktMon.exe для мониторинга внутреннего распространения пакетов и отчетов. Этот инструмент может помочь вам отслеживать сеть и поможет вам устранить причину задержки в сети, выявить уязвимые приложения. При использовании с дополнительным набором инструментов, может предоставить советы по лучшению этих показателей.

Какие функции встроены в программу pktmon

Утилита позволяет настроить фильтры пакетов трафика, кроме того просматривать или корректировать уже настроенные фильтры или же удалять их, если возникнет такая необходимость. Все действия производятся в командной строке посредствам команд, описанным в инструкции. Чтобы остановить «захват» нужно будет ввести завершающую команду. После этого все полученные данные можно будет перевести в формат текста. В файле будет храниться краткая информация о трафике сети.

Информационный файл pktmon

Какие функции встроены в программу pktmon

Как оказалось, позже, в одном из последующих обновлений операционной системы Windows функционал pktmon был обновлен и дополнен. Теперь в программу встроен механизм перехвата пакетов, и конвертации их с одного формата в другой. Далее полученные данные можно будет анализировать при помощи утилиты Wireshark.

Напомним, недавно в сети появились новости о том, что последнее обновление операционной системы Windows 10 приводит к проблемам с вашим ПК. В частности, упоминаются неполадки с ярлыками и звуком. Кроме того, стало известно, что Microsoft больше не будет поддерживать 32-битные операционные системы. Последнее касается и приложений такого же типа.

Сетевой инструмент Sniffer в Windows 10

или Packet Monitor — это новый сетевой анализатор или средство диагностики сети и мониторинга пакетов. Он находится в папке «Системы», что означает, что вы можете вызвать его из командной строки, командной строки или PowerShell.

Если программа напоминает вам о Netsh Trace Command, то вы правы. Команда Netsh Trace помогает включить и настроить трассировку сети, чтобы помочь при устранении проблем с сетевым подключением.

Что может сделать PktMon?

Если вы запустите Help в командной строке. Вот что вы получаете:

  • filter: управление фильтрами пакетов.
  • comp: Управление зарегистрированными компонентами.
  • reset: Сброс счетчиков до нуля.
  • start: начать мониторинг пакетов.
  • stop: остановить мониторинг.
  • format: преобразовать файл журнала в текст.
  • unload: выгрузить драйвер PktMon.

И если вам нужна дополнительная помощь по конкретной команде, вы можете запустить справку для этой команды. Вот как это выглядит:

Сетевой инструмент Sniffer в Windows 10

pktmon filter help pktmon filter { list | add | remove } [OPTIONS | help]

Commands list Display active packet filters. add Add a filter to control which packets are reported. remove Removes all filters.

Читайте также:  Медленно работает компьютер Windows XP что делать?

Как использовать PktMon для мониторинга сетевого трафика

Вот пример того, как использовать его на простом примере.

  1. Создать фильтр для мониторинга порта
  2. Начать мониторинг
  3. Экспорт журнала в читаемый формат

В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере, который может часто иметь проблемы.

1. Создайте фильтр

Основная опция, которая позволяет вам отслеживать трафик — это «фильтр». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты сообщаются на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции. Если вы запустите нижеупомянутую программу, вы получите полную информацию о том, что вы можете сделать с фильтром.

pktmon filter add help

Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся отслеживать TCP-порт № 1088. Это может быть порт, используемый вашим пользовательским приложением, который дает сбой, и PktMon может помочь вам выяснить, является ли проблема с сетью.

Откройте командную строку или PowerShell с правами администратора

Сетевой инструмент Sniffer в Windows 10

Создайте фильтр пакетов с помощью команды: «pktmon filter add -p [port]»

pktmon filter add -p 1088

Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.

Чтобы удалить все фильтры, выполните команду «pktmon filter remove»

2. Начните мониторинг

Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов

pktmon start —etw — p 0

Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется вручную прекратить использовать аргумент «stop», чтобы остановить запись в журнал, или он закончится, когда компьютер выключится. Если вы запустите команду с «-p 0», то она будет захватывать только 128 байтов пакета.

Log filename: C:\Windows\system32\ Logging mode: Circular Maximum file size: 512 MB

3. Экспорт журнала в читаемый формат

Сетевой инструмент Sniffer в Windows 10

Файл журнала сохраняется в файле , который можно преобразовать в удобочитаемый формат с помощью следующей команды

pktmon format -o

Сделав это, пока вы открываете файл в блокноте и читаете его, чтобы иметь смысл, вам придется использовать Microsoft Network Monitor. Он может напрямую читать файл ETL.

Тем не менее, ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени, что ожидалось в Windows 10 2004 — но я пока не вижу такой возможности.

Методы защиты

На любую атаку есть свои методы защиты, иначе бы и не было возможности скрыться от всего этого. Вот основные фронты обороны:

  • Специальные ARP-мониторы. Например, arpwatch и BitCometAntiARP. Их суть – установить соответствие между IP и MAC, а в случае подмены принять решение (заблокировать).
  • Создание виртуальных сетей VLAN. Т.е. можно выделить доверенные сегменты сети и «гостевые». В рамках сегмента проведение атаки будет возможным.
  • VPN подключения – PPTP и PPPoE.
  • Шифрование трафика. Например, используя IPSec.
Читайте также:  Как удалить папку Windows.old и можно ли это делать

Мониторинг трафика в Windows 10 без использования сторонних инструментов

Последняя версия Виндовс имеет новые полезные функции, в том числе возможность отследить расходование трафика в рамках системы без помощи других софтов.

В приложении «Параметры»

Порядок действий:

  1. Нажать на кнопку Пуск в компьютере.
  2. Открыть Параметры, раздел Сеть и интернет.
  3. Выбрать в меню Использование данных и Сведения об использовании.
  4. На экране появится детальный отчет о расходе байтов, также список программок, которые подключаются к интернету для обновлений.
Мониторинг трафика в Windows 10 без использования сторонних инструментов

Для постоянного доступа указанный раздел можно сохранить на дисплее. Пользователю нужно нажать на значок и Закрепить его в меню или Панели задач.

С помощью Диспетчера задач

Другой способ проверки:

  • Вызвать правой кнопкой мышки Диспетчер задач.
  • Найти вкладку Журнал приложений.
  • Нажать на него. Просмотреть утилиты, наиболее активно влияющие на общий трафик.

Передача данных отражается в виде таблиц и графиков

С помощью Монитора ресурсов

Монитор ресурсов — встроенный инструмент Windows. Он проводит мониторинг процессора и оперативной памяти, также оценивает уровень использования сети и дисков. Частично его функции реализует Диспетчер задач. Утилита запускается с помощью команды perfmon (res) либо через Администрирование в Панели управления. Аналогично появится окошко с подробной статистикой и анализом информации.

Мониторинг трафика в Windows 10 без использования сторонних инструментов

Текущие процессы отображаются в соответствующих разделах. Софт позволяет приостановить и отключить ненужные действия системы. Монитор ресурсов может найти сведения о каждом файле в сети Internet.

Важно! Существуют подобные программы и на iPhone, например Учет трафика. Стоит обращать внимание в таких утилитах, какие встроенные покупки включены и какая система у телефона должна быть. Для простых вариантов достаточно иметь iOS от версии 6 и выше.

Как использовать PktMon для мониторинга сетевого трафика

  1. Создать фильтр для мониторинга порта
  2. Начать мониторинг
  3. Экспорт журнала в читаемый формат
  4. В этом примере предполагается, что вы хотите отслеживать номер порта на компьютере.

Создайте filter PktMon

Основная опция, которая позволяет вам отслеживать трафик — это «filter». Используя эту опцию, вы можете создать фильтр, чтобы контролировать, какие пакеты сообщаются на основе кадра Ethernet, заголовка IP, заголовка TCP и инкапсуляции.

Если вы запустите нижеупомянутую команду, вы получите полную информацию о том, что вы можете сделать.

pktmon filter add help

Итак, возвращаясь к нашей теме, давайте предположим, что мы собираемся контролировать порт TCP 1088. Это может быть порт, используемый вашим пользовательским приложением, который дает сбой, и PktMon может помочь вам выяснить в чем проблема.

Откройте командную строку или PowerShell с правами администратора

Создайте фильтр пакетов с помощью команды: pktmon filter add -p [port]

pktmon filter add -p 1088

Затем вы можете запустить команду «pktmon filter list», чтобы увидеть список добавленных фильтров.

Чтобы удалить все фильтры, выполните команду «pktmon filter remove»

Начать мониторинг PktMon

Поскольку это не автоматическая программа, работающая в фоновом режиме, а работающая по требованию, вам нужно запустить мониторинг вручную. Запустите следующую команду, чтобы начать мониторинг пакетов

pktmon start —etw — p 0

Он запустит мониторинг и создаст файл журнала в указанном месте. Вам придется ввести команду «stop», чтобы остановить запись в журнал. Если вы запустите команду с «-p 0», то она будет захватывать только 128 байтов пакета.

Читайте также:  Как отключить автоматическое обновление Windows 10 навсегда

Log filename: C:\Windows\system32\ mode: CircularMaximum file size: 512 MB

Экспорт журнала PktMon в читаемый формат

Журнал сохраняется в файле , который можно преобразовать в удобочитаемый формат с помощью следующей команды:

pktmon format -o Пока вы открываете файл в блокноте и читаете его, можете скачать Microsoft Network Monitor он может напрямую открывать файл ETL.

Ожидается, что Microsoft начнет развертывать поддержку мониторинга в реальном времени, что ожидалось в Windows 10 2004.

Как использовать новый инструмент Network Sniffer в Windows 10 Windows 10 v2004: теперь доступна для всех Windows начала установку старых и неподходящих драйверов на некоторые устройства Синий экран после обновления Windows 10 Как изменить порядок загрузки в Windows 10 Восстановление системы не было успешно завершено — HP Windows 10

Инструмент восстановления файлов Windows

Microsoft также внедрила новый инструмент для командной строки Windows 10 File Recovery, который позволяет восстановить удаленные файлы с жесткого диска, USB-накопителей и SD-карт.

«Случайно удалили важный файл? Отформатировали жесткий диск? Не знаете, что делать с поврежденными данными? Windows File Recovery может помочь восстановить личные данные», — говорится в описании бесплатного инструмента.

Инструмент представляет собой исполняемый файл командной строки с именем Справку можно увидеть ниже:

Инструмент восстановления файлов Windows

Windows 10 File Recovery

По умолчанию, в Windows File Recovery Tool есть три режима работы —«Default», «Segment» и «Signature», каждый со своими особенностями.

Scapy

Сайт: Платформа: *nix, есть порт под Windows

Must-have для любого хакера, представляющий собой мощнейшую тулзу для интерактивной манипуляции пакетами. Принять и декодировать пакеты самых различных протоколов, ответить на запрос, инжектировать модифицированный и собственноручно созданный пакет — все легко! С ее помощью можно выполнять целый ряд классических задач, вроде сканирования, tracorute, атак и определения инфраструктуры сети. В одном флаконе мы получаем замену таких популярных утилит, как: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и т.д. В то же самое время Scapy позволяет выполнить любое, даже самое специфическое задание, которое никогда не сможет сделать уже созданное другим разработчиком средство. Вместо того чтобы писать целую гору строк на Си, чтобы, например, сгенерировать неправильный пакет и сделать фаззинг какого-то демона, достаточно накидать пару строчек кода с использованием Scapy! У программы нет графического интерфейса, а интерактивность достигается за счет интерпретатора Python. Чуть освоишься, и тебе уже ничего не будет стоить создать некорректные пакеты, инжектировать нужные фреймы , совмещать различные подходы в атаках (скажем, ARP cache poisoning и VLAN hopping) и т.д. Разработчики сами настаивают на том, чтобы возможности Scapy использовались в других проектах. Подключив ее как модуль, легко создать утилиту для различного рода исследования локалки, поиска уязвимостей, Wi-Fi инжекции, автоматического выполнения специфических задач и т.д.