Quando ha rilasciato l'aggiornamento di Windows 10 di ottobre 2018, Microsoft ha aggiunto silenziosamente a Windows 10 uno sniffer di pacchetti di rete sotto forma di riga di comando integrata chiamata Pktmon . Successivamente, Microsoft ha aggiunto alcune funzionalità a questo strumento per renderlo più semplice da utilizzare per gli utenti.
Un tracciante di pacchetti, o analizzatore di rete, è un programma che consente di monitorare il traffico di rete che passa attraverso i dispositivi di rete del computer fino al livello del singolo pacchetto.
Pktmon: strumento di monitoraggio della rete integrato in Windows 10
Quando è stato rilasciato per la prima volta, Pktmon supportava solo il formato Event Trace Log (ETL), un formato di registro proprietario creato da Microsoft. Successivamente, Microsoft ha aggiunto il supporto per i file di registro PCAPNG e il monitoraggio in tempo reale, di cui parleremo in questo articolo.
Per utilizzare Pktmon, devi avviare il prompt dei comandi con diritti di amministratore su Windows 10, poiché il programma richiede diritti di amministratore. Per ricevere istruzioni su come utilizzare il programma, immettere pktmon help nel prompt dei comandi .
documentazione della guida di pktmon
Per ottenere ulteriori istruzioni di aiuto su un comando specifico, inserisci il comando pktmon [nome comando] help . Ad esempio, per visualizzare la documentazione sul comando "comp" , inserire:
pktmon comp help
Utilizza il comando di aiuto
Puoi utilizzare la guida per visualizzare le istruzioni per i sottocomandi, ad esempio:
pktmon comp list help
Per familiarizzare con Pktmon, guardare il tutorial è il modo più utile, quindi dovresti provare ad imparare prima di utilizzare effettivamente questo strumento.
Come utilizzare lo strumento di monitoraggio della rete Pktmon
Rispetto a uno strumento di monitoraggio della rete con un'interfaccia utente grafica, potrebbe essere necessario più tempo per abituarsi all'interfaccia della riga di comando di Pktmon.
Prima di poter monitorare i pacchetti, devi prima creare un filtro utilizzando il comando pktmon filter add , che specifica il traffico che desideri monitorare.
Ad esempio, puoi monitorare tutto il traffico di rete sulla tua rete con il comando:
pktmon filter add -i 192.168.1.0/24
…oppure monitora il traffico DNS con:
pktmon filter add -t UDP -p 53
Se non hai capito come farlo, dovresti usare il comando pktmon filter add help per imparare come creare un filtro.
In questo articolo, l'autore ha creato un filtro per monitorare il traffico DNS come descritto sopra. Per vedere i filtri che hai creato, inserisci il comando:
pktmon filter list
Vengono elencati i filtri di monitoraggio creati
Per iniziare a monitorare il traffico DNS su tutte le interfacce di rete e visualizzare l'attività in tempo reale, utilizzerai il seguente comando:
pktmon start --etw -p 0 -l real-time
L'esempio precedente utilizza l' argomento -p 0 , quindi cattura l'intero pacchetto. È inoltre possibile specificare un'interfaccia di rete specifica da monitorare utilizzando l' argomento -c seguito dall'ID dell'indice dell'interfaccia. Per ottenere un elenco di interfacce di rete e ID di indice (ifIndex), puoi utilizzare il comando:
pktmon comp list
Quando inizi a monitorare il traffico, vedrai i pacchetti DNS catturati visualizzati in tempo reale nel prompt dei comandi, come mostrato di seguito.
Monitora il traffico DNS in tempo reale
Per interrompere il monitoraggio del traffico, premi Ctrl + C . Al termine, verrà creato un file di registro PktMon.etl nella directory in cui è stato eseguito Pktmon.
Tuttavia, i file ETL non sono una buona scelta perché molte applicazioni non li supportano. È possibile convertire un file ETL in un file PCAPNG utilizzando il comando pktmon pcapng . Ad esempio, per convertire PktMon.etl in un file PCAPNG denominato PktMon.pcapng , inserisci il seguente comando:
pktmon pcapng PktMon.etl -o PktMon.pcapng
Una volta convertito il file di registro nel formato PCANPNG, puoi caricarlo in un programma come Wireshark per ottenere informazioni dettagliate su ciascuna richiesta DNS.
Analizza i log di Pktmon con Wireshark
Come puoi vedere, Pktmon è uno strumento estremamente potente che ti consente di ottenere informazioni dettagliate sul tipo di traffico che attraversa la tua rete.
Allo stesso tempo, Pktmon può essere complicato da usare, quindi dovresti familiarizzare con la documentazione della guida prima di eseguire il comando.