Analys av nätverkstrafik kan utföras via verktyg för paketspårning (eng. packet sniffing). Som namnet antyder övervakar dessa verktyg nätverkets trafik på paketnivå, och ett flertal alternativ existerar för moderna operativsystem som Microsoft Windows, Linux och Mac OS. För Linux-baserade operativsystem finns stöd detta inbyggt i kärnan, medan övriga plattformar förlitar sig på tredjepartsverktyg som Wireshark.

pktmon-help.jpg

Nu rapporterar tekniksajten Bleepingcomputer att Microsoft i hemlighet introducerat stöd för paketspårning i Windows 10 i och med oktober-uppdateringen år 2019. Verktyget i fråga heter pktmon och går att finna enligt sökvägen C:\Windows\system32\pktmon.exe. Beskrivningen anger att verktyget "övervakar nätverkstrafik och rapporterar förlorade paket".

Pktmon nämns ingenstans i Microsofts dokumentation för Windows 10, vilket tvingar Bleepingcomputer att ta till verktygets inbyggda hjälpsektion för att förstå sig på dess funktionalitet. Pktmon aktiveras genom Windows-terminalen, som behöver exekveras med administrator-behörighet. Bleepingcomputer illustrerar verktygets nytta genom att skapa två paketfilter som övervakar trafiken över TCP-portarna 20 och 21.

pktmon filter add -p 20
pktmon filter add -p 21
pktmon filter list
pktmon start --etw

De första två raderna kommandon ovan skapar övervakningsfilter för TCP-portarna 20 och 21. Det tredje kommandot visar de paketfilter som skapats och kommando nummer fyra initierar paketövervakningen. När övervakningen avslutas med kommandot pktmon stop samlas infångad rådata om nätverkstrafiken i loggfilen PktMon.etl. Denna rådata behöver sedan konverteras till läsbar form via kommandot pktmon format PktMon.etl -o resultat.txt.

PktMon_resultat-text.jpg
PktMon_network-monitor.jpg

Även det konverterade formatet är något svårtolkat, och kan med fördel tolkas via ETL-kompatibla verktyg som exempelvis Microsoft Network Monitor. I den stundande maj-uppdateringen av Windows 10, med versionsnummer 2004, utökas PktMon med ytterligare funktionalitet. Det blir bland annat möjligt att visa övervakade nätverkspaket i realtid, och även att konvertera ETL-filer till PCAPNG-formatet som bland annat används i Wireshark.

PktMon finns alltså tillgängligt i oktober-uppdateringen av Windows 10, och de utökade funktionerna tillkommer i Windows 10 2004 som väntas släppas i slutet av maj månad år 2020.

Läs mer om Windows 10: