Computer >> 컴퓨터 >  >> 체계 >> Windows Server

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

패킷 모니터 (PktMon.exe )은 Windows 10 1809 및 Windows Server 2019에 도입된 기본 제공 네트워크 트래픽 분석기(스니퍼)입니다. Windows 10 2020년 5월 업데이트(버전 2004)에서는 Packet Monitor(실시간 패킷 이제 캡처가 지원되며 PCAPNG 형식 지원을 통해 Wireshark 트래픽 분석기로 쉽게 가져올 수 있음). 따라서 Windows에는 tcpdump와 유사한 네트워크 패킷을 캡처하는 기능이 있습니다. , 시스템 또는 네트워크 관리자는 이를 사용하여 네트워크 작동 및 성능을 진단할 수 있습니다.

패킷 모니터를 사용하면 네트워크 패킷 수준에서 컴퓨터의 네트워크 인터페이스를 통과하는 모든 네트워크 활동을 확인할 수 있습니다.

netsh trace 명령은 Windows에서 네트워크 트래픽을 캡처하고 패킷을 검사하는 데 사용되었습니다.

pktmon.exe에서 도움을 받을 수 있습니다. 명령 프롬프트에서 도구를 실행하여 옵션 및 구문을 확인합니다.

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

다음은 기본 패킷 모니터 명령입니다.

  • 필터링 —패킷 필터 관리
  • 보충 – 등록된 구성 요소 관리
  • 재설정 —패킷 카운터 재설정
  • 시작 -패킷 모니터링 시작
  • 중지 —패킷 모니터링 중지
  • 형식 -트래픽 로그 파일을 텍스트 형식으로 변환
  • pcapng -pcapng 형식으로 변환
  • 언로드 –PktMon 드라이버 언로드

하위 명령에 대한 도움말을 보려면 해당 이름을 입력하십시오.

pktmon filter

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

Windows 10 장치에서 실행 중인 일부 서비스로 오는 트래픽 덤프를 수집해 보겠습니다. FTP(TCP 포트 20, 21) 및 HTTP(포트 80 및 443) 트래픽을 분석한다고 가정합니다.

TCP 포트용 패킷 필터 생성(UDP 및 ICMP 트래픽 추적도 가능):

pktmon filter add -p 20 21
pktmon filter add HTTPFilter –p 80 443

활성 필터 목록 표시:

pktmon filter list

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

백그라운드 트래픽 캡처를 실행하려면 다음 명령을 실행하십시오.

pktmon start –etw 

Log file name: C:\Windows\System32\PktMon.etl
Logging mode: Circular
Maximum file size: 512 MB
Active measurement started.

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

이 모드에서 pktmon은 모든 네트워크 인터페이스에서 데이터를 수집하지만 패킷의 처음 128바이트만 기록됩니다. 특정 컴퓨터 인터페이스에서 패킷을 완전히 캡처하려면 다음 명령이 사용됩니다.

pktmon start --etw -p 0 -c 9

여기서 c 값은 다음 명령을 사용하여 얻을 수 있는 네트워크 인터페이스의 ID입니다.

pktmon comp list

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

패킷 필터는 C:\Windows\System32\PktMon.etl에 설정한 필터와 일치하는 모든 트래픽을 기록합니다. (최대 파일 크기는 512MB입니다). 덤프 기록을 중지하려면 다음 명령을 실행하십시오.

pktmon stop

또한 Windows 재부팅 후 네트워크 패킷 수집이 중지됩니다.

그런 다음 트래픽 덤프 파일을 ETL에서 일반 텍스트 형식으로 변환할 수 있습니다.

pktmon format PktMon.etl -o c:\ps\packetsniffer.txt

또는

pktmon PCAPNG PktMon.etl -o c:\ps\packetsniffer.pcapng

텍스트 형식의 트래픽 덤프를 분석하거나 ETL 파일을 관리자 컴퓨터에 설치된 Microsoft Network Monitor 또는 WireShark(PCAPNG 형식)로 가져올 수 있습니다.

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

생성한 모든 패킷 모니터 필터를 제거하려면 다음 명령을 실행하십시오.

pktmon filter remove

PktMon을 사용하여 실시간으로 네트워크 트래픽을 추적할 수 있습니다. 이를 수행하려면 -l real-time을 사용하십시오. 매개변수. 이 모드에서는 캡처된 패킷이 콘솔에 표시되고 백그라운드에서 로그 파일에 기록되지 않습니다.

pktmon start --etw -p 0 -l real-time

패킷 모니터(PktMon) – Windows 10의 내장 패킷 스니퍼

트래픽 수집을 중지하려면 Ctrl+C를 누르십시오. .

네트워크 인터페이스에서 패킷 손실(드롭)이 보이면 PacketMon이 그 이유(예:잘못된 MTU 또는 VLAN)를 보여줄 수 있습니다.

확장을 사용하여 Windows Admin Center에서 PktMon을 사용할 수도 있습니다. 네트워크 문제를 진단할 때 컴퓨터나 서버에서 수집한 데이터는 Microsoft Network Monitor 또는 Wireshark와 같이 네트워크 트래픽을 분석하는 보다 강력한 소프트웨어에 사용될 수 있습니다.