在Windows上遇到網絡問題,需要抓包的時候之前我們會使用netmon和Microsoft Message Analyzer。随着時間的推移,微軟已經停止了對Microsoft Message Analyzer的支援,并且已經不能在微軟的網站上下載下傳到了。其實Windows 10自帶了一個指令行的抓包工具pktmon.exe。但是,你無法從微軟的網站上找到關于這個工具的介紹。請以管理者身份運作cmd然後再使用這個指令行工具。
可以使用基本的文法來獲得幫助,比如 pktmon filter help 和 pktmon start help等。https://blog.csdn.net/qishine/article/details/107999968
我測試了一下添加一個ICMP的過濾器,然後用來測試PING指令。
pktmon filter add PING -t ICMP
pktmon start --etw -p 0
(另起一個CMD視窗,ping外部位址)
pktmon stop
pktmon會在c盤根目錄下生成PktMon.etl檔案,這個檔案可以直接用支援etl格式的工具檢視,比如Microsoft Message Analyzer。也可以用指令行将etl轉換成txt格式的檔案。
pktmon format PktMon.etl -o packetlog.txt
在 Message Analyzer中打開ETL檔案是這樣的。
在整個界面中可以看到很多捕獲的日志資訊,需要在column header這裡添加一下目标位址和源位址友善我們檢視。可以右擊選擇add columns。然後搜尋SourceIP和DestinationIP,把它們添加進來。輕按兩下對應的行可以展開檢視這個包的詳細内容。