تعرف على Pktmon: أداة مراقبة الشبكة المضمنة في نظام التشغيل Windows 10

عند إصدار تحديث Windows 10 في أكتوبر 2018، أضافت Microsoft بهدوء أداة استشعار حزم الشبكة في شكل سطر أوامر مدمج يسمى Pktmon إلى Windows 10 . بعد ذلك، أضافت مايكروسوفت بعض الميزات إلى هذه الأداة لتسهيل استخدامها على المستخدمين.

برنامج تتبع الحزم، أو محلل الشبكة، هو برنامج يسمح لك بمراقبة حركة مرور الشبكة التي تمر عبر أجهزة الشبكة الخاصة بجهاز الكمبيوتر الخاص بك وصولاً إلى مستوى الحزمة الفردية.

Pktmon: أداة مراقبة الشبكة المضمنة في نظام التشغيل Windows 10

عند إصداره لأول مرة، كان Pktmon يدعم فقط تنسيق سجل تتبع الأحداث (ETL)، وهو تنسيق سجل خاص تم إنشاؤه بواسطة Microsoft. لاحقًا، أضافت Microsoft دعم ملف سجل PCAPNG والمراقبة في الوقت الفعلي، وهو ما سنتعرف عليه في هذه المقالة.

لاستخدام Pktmon، تحتاج إلى تشغيل Command Prompt مع حقوق المسؤول على نظام التشغيل Windows 10، لأن البرنامج يتطلب حقوق المسؤول. لتلقي تعليمات حول كيفية استخدام البرنامج، أدخل تعليمات pktmon في موجه الأوامر .

وثائق مساعدة pktmon

للحصول على مزيد من تعليمات المساعدة حول أمر معين، أدخل الأمر pktmon [اسم الأمر] help . على سبيل المثال، لعرض الوثائق المتعلقة بالأمر "comp" ، يمكنك إدخال:

pktmon comp help

استخدم أمر المساعدة

يمكنك استخدام المساعدة لرؤية تعليمات الأوامر الفرعية، على سبيل المثال:

pktmon comp list help

للتعرف على Pktmon، فإن مشاهدة البرنامج التعليمي هي الطريقة الأكثر فائدة، لذا يجب أن تحاول التعلم قبل استخدام هذه الأداة فعليًا.

• مراقبة وحفظ سعة الإنترنت على نظام التشغيل Windows 10

كيفية استخدام أداة مراقبة الشبكة Pktmon

بالمقارنة مع أداة مراقبة الشبكة ذات واجهة المستخدم الرسومية، قد يستغرق الأمر وقتًا أطول للتعود على واجهة سطر الأوامر الخاصة بـ Pktmon.

قبل أن تتمكن من مراقبة الحزم، تحتاج أولاً إلى إنشاء عامل تصفية باستخدام أمر إضافة مرشح pktmon ، الذي يحدد حركة المرور التي تريد مراقبتها.

على سبيل المثال، يمكنك مراقبة كل حركة مرور الشبكة على شبكتك باستخدام الأمر:

pktmon filter add -i 192.168.1.0/24

…أو مراقبة حركة مرور DNS باستخدام:

pktmon filter add -t UDP -p 53

إذا لم تكن قد اكتشفت كيفية القيام بذلك، فيجب عليك استخدام أمر إضافة عامل تصفية pktmon لمعرفة كيفية إنشاء عامل تصفية.

في هذه المقالة، أنشأ المؤلف عامل تصفية لمراقبة حركة مرور DNS كما هو موضح أعلاه. لرؤية المرشحات التي قمت بإنشائها، أدخل الأمر:

pktmon filter list

يتم سرد مرشحات المراقبة التي تم إنشاؤها

لبدء مراقبة حركة مرور DNS على جميع واجهات الشبكة وعرض النشاط في الوقت الفعلي، ستستخدم الأمر التالي:

pktmon start --etw -p 0 -l real-time

يستخدم المثال أعلاه الوسيطة -p 0 ، لذا فهو يلتقط الحزمة بأكملها. يمكنك أيضًا تحديد واجهة شبكة محددة للمراقبة باستخدام الوسيطة -c متبوعة بمعرف فهرس الواجهة. للحصول على قائمة بواجهات الشبكة ومعرفات الفهرس (ifIndex)، يمكنك استخدام الأمر:

pktmon comp list

عندما تبدأ في مراقبة حركة المرور، سترى حزم DNS التي تم التقاطها معروضة في الوقت الفعلي في موجه الأوامر، كما هو موضح أدناه.

مراقبة حركة مرور DNS في الوقت الحقيقي

لإيقاف تتبع حركة المرور، اضغط على Ctrl + C . عند الانتهاء، سيتم إنشاء ملف سجل PktMon.etl في الدليل الذي قمت بتشغيل Pktmon فيه.

ومع ذلك، فإن ملفات ETL ليست خيارًا جيدًا لأن العديد من التطبيقات لا تدعمها. يمكنك تحويل ملف ETL إلى ملف PCAPNG باستخدام الأمر pktmon pcapng . على سبيل المثال، لتحويل PktMon.etl إلى ملف PCAPNG المسمى PktMon.pcapng ، أدخل الأمر التالي:

pktmon pcapng PktMon.etl -o PktMon.pcapng

بمجرد تحويل ملف السجل إلى تنسيق PCANNPG، يمكنك تحميله في برنامج مثل Wireshark للحصول على معلومات مفصلة حول كل طلب DNS.

تحليل سجلات Pktmon مع Wireshark

كما ترون، Pktmon هي أداة قوية للغاية، مما يسمح لك بالحصول على نظرة ثاقبة لنوع حركة المرور التي تمر عبر شبكتك.

• مجموعة أدوات شاملة لمراقبة الشبكة

في الوقت نفسه، يمكن أن يكون استخدام Pktmon معقدًا، لذا يجب عليك التعرف على وثائق المساعدة قبل تشغيل الأمر.