数据包监视器 (PktMon) – Windows 10 中的内置数据包嗅探器

数据包监控 (

PktMon.exe

）是Windows 10 1809和Windows Server 2019中引入的内置网络流量分析器（嗅探器）。在Windows 10 May 2020 Update（版本2004）中，实现了Packet Monitor的许多新功能（现在支持实时数据包捕获，PCAPNG格式支持轻松导入到Wireshark流量分析器）。因此，Windows有一个类似于捕获网络数据包的功能

tcpdump

，系统或网络管理员可以使用它来诊断网络运行和性能。

数据包监视器允许您在网络数据包级别获取通过计算机网络接口的所有网络活动。

早些时候，

netsh trace

命令用于捕获网络流量并检查 Windows 中的数据包。

您可以获得以下方面的帮助

pktmon.exe

通过在命令提示符下运行该工具来选择和语法。

以下是基本的数据包监控命令：

• filter——管理数据包过滤器

• comp - 管理注册组件

• 重置——重置数据包计数器

• start - 开始数据包监控

• stop —停止数据包监控

• 格式 - 将流量日志文件转换为文本格式

• pcapng - 转换为 pcapng 格式

• 卸载 -卸载 PktMon 驱动程序

要获取有关子命令的帮助，请输入其名称：

pktmon filter

让我们尝试收集 Windows 10 设备上某些正在运行的服务的流量转储。假设我们要分析 FTP（TCP 端口 20、21）和 HTTP（端口 80 和 443）流量。

为 TCP 端口创建数据包过滤器（此外，您还可以跟踪 UDP 和 ICMP 流量）：

pktmon filter add -p 20 21
pktmon filter add HTTPFilter -p 80 443

显示活动过滤器列表：

pktmon filter list

要运行后台流量捕获，请运行以下命令：

pktmon start -etw

Log file name: C:\Windows\System32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB
Active measurement started.

在此模式下，pktmon 从所有网络接口收集数据，但仅记录数据包的前 128 个字节。要完全捕获特定计算机接口上的数据包，请使用以下命令：

pktmon start --etw -p 0 -c 9

其中c值是您可以使用以下命令获取的网络接口的ID：

pktmon comp list

数据包过滤器将写入与您设置的过滤器匹配的所有流量

C:\Windows\System32\PktMon.etl

（其最大文件大小为 512 MB）。要停止转储记录，请运行以下命令：

pktmon stop

此外，Windows 重新启动后，网络数据包将停止收集。

然后您可以将流量转储文件从 ETL 转换为纯文本格式：

pktmon format PktMon.etl -o c:\ps\packetsniffer.txt

或者

pktmon PCAPNG PktMon.etl -o c:\ps\packetsniffer.pcapng

您可以分析文本格式的流量转储，或将 ETL 文件导入到管理员计算机上安装的 Microsoft 网络监视器或 WireShark（PCAPNG 格式）。

要删除您创建的所有数据包监视器过滤器，请运行以下命令：

pktmon filter remove

您可以使用 PktMon 实时跟踪网络流量。为此，请使用

-l real-time

范围。在此模式下，捕获的数据包将显示在控制台中，并且不会在后台写入日志文件。

pktmon start --etw -p 0 -l real-time

要停止流量收集，请按

Ctrl+C

。

如果您在网络接口中发现数据包丢失（丢弃），PacketMon 可以向您显示原因（例如，MTU 或 VLAN 不正确）。

您还可以使用扩展在 Windows Admin Center 中使用 PktMon。诊断网络问题时从计算机或服务器收集的数据可能会用于分析网络流量的功能更强大的软件，例如 Microsoft Network Monitor 或 Wireshark。