Un packet sniffer o analizzatore di protocollo è un particolare software che è in grado di analizzare la tipologia e il contenuto dei pacchetti dati in transito combinando ed estraendo tutte le informazioni più utili.Nel suo intervento Microsoft spiega come usare Packetmon (pktmon.exe) per verificare l’effettiva attivazione del protocollo DNS over HTTPS (DoH) a livello di sistema operativo.
L’utilità Packetmon può essere utilizzata per venire incontro a molteplici necessità.
Curiosamente Microsoft non ha pubblicato alcuna guida per l’utilizzo del suo packet sniffer integrato in Windows 10.
Per sapere come si usa, tuttavia, basta aprire una finestra del prompt dei comandi con i diritti di amministratore e digitare semplicemente pktmon. Scrivendo pktmon seguito da un comando specifico quindi da help, si ottiene la sintassi corretta.
Come posso usare Packet Monitor in Windows 10?
Windows 10 Packet Monitor o Pktmon è uno strumento di monitoraggio in tempo reale incluso nell’aggiornamento di Windows 10 di ottobre 2018.
La sua descrizione da Prompt dei comandi lo chiama acquisizione di pacchetti avanzata e raccolta di eventi, ma la sua descrizione più comune sarebbe uno sniffer di pacchetti .
Per eseguire Packet Monitor, è innanzitutto necessario aprire una finestra del prompt dei comandi.
1. Premi Ctrl + R per aprire Esegui e digita cmd, quindi premi Invio o fai clic sul pulsante OK.
2. Nel prompt dei comandi, digitare pktmon.exe e premere Invio.
3. Verrà visualizzato un elenco di possibili comandi. Se non li conosci, puoi usare il comando help. Digitare il nome pktmon della guida del comando .
Cliccare il pulsante scarica per ottenere Packet Monitor
1. Per filtrare una porta per i pacchetti, è possibile utilizzare il comando pktmon filter add -p [port] per ciascuna porta che si desidera monitorare. Ad esempio, pktmon filtro add -p 80 viene filtrata la porta 80.
2. Per avviare il monitoraggio dei pacchetti digitare pktmon start –etw -m in tempo reale.
3. Per interrompere il monitoraggio digitare pktmon stop .
Dopo aver interrotto il monitoraggio, il rapporto è stato archiviato nel file PktMon.etl. Per leggerlo, scarichi e installi Microsoft Network Monitor oppure puoi trasformarlo in un file di testo.
Per fare ciò, digitare il formato pktmon PktMon.etl -o reportlog.txt.
Digitando pktmon filter add -p seguito dal numero della porta di comunicazione da monitorare, Packetmon riconoscerà e annoterà tutto il traffico in transito sulla porta specificata.
Il comando pktmon comp list consente di ottenere la lista delle interfacce di rete associate a schede fisiche e virtuali. Annotando l’ID di un’interfaccia – Ethernet o WiFi – si può fare in modo che il packet sniffer monitori solo le comunicazioni rete che interessano.
Il comando pktmon start –etw -p 0 -c NN permette di avviare il monitoraggio. Al posto di NN si dovrà inserire l’ID della scheda di rete rilevato in precedenza.
Per fermare la raccolta dei dati scambiati sulla rete si dovrà digitare pktmon stop mentre con pktmon filter remove si possono eliminare i filtri impostati.
Per impostazione predefinita il file di log contenente le informazioni sui pacchetti dati registrati viene salvato nel percorso %systemroot%\System32\PktMon.etl.
Per aprirlo si può premere Windows+R, digitare eventvwr.msc, scegliere Azione, Apri registro salvato quindi selezionare il file %systemroot%\System32\PktMon.etl.
Il file di registro sarà consultabile nella sezione Registri salvati accessibili dalla colonna di sinistra.
