时间:2020-05-21 08:54:55 来源:系统堂 游览量: 次
微软发布在Win10 64位系统的工具(包显示器),允许管理员监视和记录网络流量。这只是现在才变得更广为人知,可能是因为该功能是几天前为内部人员描述的。
根据Bleeping Computer的说法,自Windows 2018年10月10日更新(版本1809)以来,微软已经集成了该工具。所以我看了一下这是怎么回事。可以在Windows子文件夹中找到程序pktmon.exe和其他帮助文件:
C: Windows system32
在Windows中,该工具还可以注册一个驱动程序文件pktmon.s ys。
自Win10 64位系统 October 2018 Update(Version 1809)起,该工具是否已真正集成,由于缺少安装,我无法进行临时检查。但是在Win10 64位系统版本1903中,该工具在install.wim中可用。
数据包监视器作为控制台程序
该pktmon.exe程序是一个命令行应用程序,它可以由管理员调用(包监视器没有处于正常的用户权限提示打开的命令中找到)。如果在管理命令提示符处运行pktmon命令,它将显示以下帮助信息。
该命令报告为“内部数据包转发和数据包丢失监视报告”,并用于网络诊断。帮助页面列出了该程序的可能命令。
Bleeping Computer写道,Microsoft尚未描述该工具,他们没有找到任何东西。但是在2020年5月13日,星期三,Microsoft发表了Techcommunity文章,Windows Insiders现在可以通过HTTPS测试DNS。本文中详细描述了命令行实用程序pktmon.exe,用于测试Windows Insider内部版本19628和更高版本中的DOH功能。以下命令重置PacketMon已安装的所有网络流量过滤器。
pktmon filter remove
以下命令为端口53添加了网络流量过滤器。在当前示例中,这是用于经典DNS的端口(使用基于HTTPS的DNS时,该端口不再进行任何传输)。
pktmon filter add -p 53
可以使用以下命令在命令提示符处检索已注册过滤器的列表。
pktmon filter list
下图显示了用于注册过滤器和现有过滤器的命令的输出。
要开始实时记录数据流量(在计算机的所有网络适配器上),请执行以下命令:
pktmon start --etw -m real-time
来自端口53的所有网络数据包都在命令行上输出。您还可以使用以下命令:
pktmon start --etw
将数据记录保存到文件PktMon.etl中。该文件在以下位置创建:
C: Windows system32
默认情况下,仅保存数据包的前128个字节。该命令为etl文件保留512 MB的内存,并在必要时覆盖最旧的值。
Bleeping Computer 写道,您可以使用参数-p 0(捕获整个数据包)和-c 13(仅从ID 13的适配器捕获)捕获网络数据包,尤其是从网络适配器捕获数据包。可以使用以下命令列出现有网络适配器的ID。
pktmon comp list
要停止记录网络数据包,请在命令提示符下键入以下命令。
pktmon stop
可以将存储在C: Windows system32 下的PktMon.etl文件中的记录导入Windows事件查看器中,然后进行查看。或者,可以使用以下命令将.etl文件转换为文本文件。
pktmon format PktMon.etl –o c:test.txt
然后可以在文本编辑器中加载和评估此文本文件。以下是此类协议的摘录(紧凑形式)。
Bleeping Computer 建议安装Microsoft网络监视器, 并使用它显示.etl文件。
在Win10 64位系统 May 2020更新(2004版)中,Microsoft扩展了Pktmon工具的功能。然后,Pktmon可以实时显示受监视的数据包,并将ETL文件转换为PCAPNG格式。可以在Bleeping Computer中找到更多详细信息。
目前,我不确定整个事情到底有多有用。如果要监视网络流量,可以使用Wireshark。您可以在此页面上下载适用于Windows和macOS的软件。