Packet Monitor (Pktmon) | Microsoft Learn

https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/pktmon
https://learn.microsoft.com/en-us/windows-server/networking/technologies/pktmon/pktmon-syntax
https://learn.microsoft.com/en-us/windows-server/networking/technologies/pktmon/pktmon-syntax

PKTMON

Windows Packet Monitor (pktmon) gör det möjligt att dumpa ut trafik från datorn på samma sätt som ex. Wireshark kan göra.
men om man inte kan/får/vill installera Wireshark kan man använda pktmon.

Har samlat ihop lite kommandon man kan använda.

pktmon filter add
(filtrera hur data fångas)
-i <ip>
-t <tcp flags to look for> (ex. tcp syn icmp)
-p <port>

pktmon filter list
(lista laddat filter)

pktmon filter remove
(ta bort alla filter)

pktmon list
Listar vilka adaptrar som pktmon kan hämta data från.

pktmon start
-c (Starta capture)
-f <filename> (skriv till fil .etl format)
-s <size> (max storlek på filen)
-m <mode>
circular
multi-file
real-time (visa vad som fångas på skärm)
memory

--comp <component>
nics (endast nätverkskort)
12 (specifikt kort, se pktmon list)
--type <type> (vilka paket skall fångas, all, flow drop)

pktmon counters
visa stats på hur ditt filter fångar paket

pktmon stop
stoppa inhämntning

pktmon etl2txt <file> (konvertera .etl till .txt)
--out <name> (anges inget namn kommer <file>.txt användas

pktmon etl2pcap <file> - konvertera till pcap (wireshark)
--out <name>

ex.
pktmon filter remove
pktmon filter add -i 192.168.1.1 -p 53
pktmon start -c -f .\DnsTrafik.etl -m real-time --comp 14
avbryt med ctrl+c när du tycker det räcker..
pktmon etl2txt .\dnstrafik.etl

ex2.

pktmon filter remove
$MyIp = Read-Host -prompt 'Ange IP'
$MyPort = Read-Host -Prompt 'Ange Port'
pktmon filter add -i $MyIp -p $MyPort
pktmon start -c -f .\dumpfile.etl -m real-time

pktmon etl2pcap .\dumpfile.etl -o dumpfile.pcap

Läs med Wireshark