Con la versión de actualización de Windows 10 de octubre de 2018, Microsoft había agregado silenciosamente un rastreador de paquetes de red de línea de comandos integrado llamado Pktmon a Windows 10. Desde entonces, Microsoft ha agregado algunas características más a la herramienta que la hacen mucho más fácil de usar.

Un monitor de paquetes, o rastreador de redes, es un programa que le permite controlar el tráfico de red que fluye a través de los dispositivos de red de una computadora hasta el nivel de paquetes individuales.

Cuando Pktmon se lanzó por primera vez como parte de la actualización de octubre de 2018, solo admitía el formato de registro de seguimiento de eventos (ETL), un formato de registro patentado creado por Microsoft. Desde entonces, Microsoft agregó compatibilidad con archivos de registro PCAPNG y monitoreo en tiempo real, que se demuestra en este artículo.

Para usar Pktmon, debe iniciar un símbolo del sistema elevado de Windows 10 ya que el programa requiere privilegios de administrador. Luego puede obtener instrucciones sobre el uso del programa escribiendo pktmon help en el símbolo del sistema.

Para obtener más instrucciones de ayuda sobre un comando en particular, puede escribir pktmon [command] help . Por ejemplo, para ver la documentación sobre el comando ‘comp’, debe escribir pktmon comp help .

Para cada subcomando, puede continuar usando la función de ayuda para ver sus instrucciones, por ejemplo, pktmon comp list help .

Usar la función de ayuda incorporada es una excelente manera de aprender a usar Pktmon, y se recomienda que todos los usuarios exploren la documentación antes de intentar usar el programa.

Práctica con el monitor de red Pktmon

En comparación con un monitor de red con una interfaz gráfica de usuario, la interfaz de línea de comandos de Pktmon tarda un poco más en acostumbrarse.

Antes de poder monitorear paquetes, primero debe crear filtros usando el pktmon filter add , que especifica qué tráfico desea monitorear.

Por ejemplo, puede monitorear todo el tráfico de red en su red usando el pktmon filter add -i 192.168.1.0/24 o monitorear el tráfico DNS usando pktmon filter add -t UDP -p 53 . Una vez más, se recomienda encarecidamente revisar el pktmon filter add help documentación de pktmon filter add help para aprender a hacer filtros.

Para nuestra demostración, he creado un filtro para monitorear el tráfico DNS como se describe arriba. Para ver los filtros hechos para monitorear el tráfico, debe ingresar el pktmon filter list command .

Para comenzar a monitorear el tráfico de DNS en todas las interfaces de red y mostrar la actividad en tiempo real, usará el siguiente comando:

pktmon start --etw -p 0 -l real-time

Cabe señalar que utilicé el argumento -p 0 , por lo que captura todo el paquete. También puede especificar la interfaz de red específica para monitorear usando el argumento -c seguido de un ID de índice de interfaz. Para obtener una lista de interfaces de red y sus ID de índice (ifIndex), puede usar el pktmon comp list .

Una vez que comience a monitorear el tráfico, verá los paquetes DNS capturados que se muestran en tiempo real en el símbolo del sistema, como se muestra a continuación.

Cuando esté listo para dejar de monitorear el tráfico, presione la combinación de teclado Ctrl-C. Cuando termine, habrá un archivo de registro PktMon.etl creado en la carpeta que ejecutó Pktmon.

Desafortunadamente, los archivos ETL no son una muy buena opción ya que muchas aplicaciones no los admiten. En cambio, sería mejor convertirlo en un archivo PCAPNG usando el comando pktmon pcapng . Por ejemplo, para convertir el PktMon.etl en un archivo PCAPNG llamado PktMon.pcapng, deberíamos ingresar el siguiente comando:

pktmon pcapng PktMon.etl -o PktMon.pcapng

Una vez que el archivo de registro se convierte al formato PCANPNG, puede cargarlo en un programa como Wireshark para obtener información detallada sobre cada solicitud de DNS.

Como puede ver, Pktmon es una herramienta extremadamente poderosa que le permite obtener una gran perspectiva del tipo de tráfico que se ejecuta en su red.

Al mismo tiempo, Pktmon puede ser complicado de usar, por lo que se recomienda encarecidamente que los usuarios se familiaricen con la documentación de ayuda antes de usarla.