{"id":231802,"date":"2020-05-18T11:27:08","date_gmt":"2020-05-18T09:27:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231802"},"modified":"2020-09-09T16:06:23","modified_gmt":"2020-09-09T14:06:23","slug":"windows-10-network-sniffer-pktmgr-integriert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/18\/windows-10-network-sniffer-pktmgr-integriert\/","title":{"rendered":"Windows 10: Network-Sniffer pktmgr integriert"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>[English]Microsoft hat in Windows 10 ein Tool (Packet-Monitor) integriert, mit dem Administratoren den Netzwerkverkehr \u00fcberwachen und mitschneiden k\u00f6nnen. Das ist erst jetzt breiter bekannt geworden, wom\u00f6glich, weil die Funktion vor wenigen Tagen f\u00fcr Insider beschrieben wurde.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/2899c4578da9488b892b808984c75d05\" width=\"1\" height=\"1\"\/>Mir war das Tool<em> pktmon.exe<\/em> \u00fcberhaupt kein Begriff und ich habe erst einmal gestutzt, als ich den Tweet von Bleeping Computer zum Wochenende sah.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Windows 10 quietly got a built-in network sniffer, how to use &#8211; by <a href=\"https:\/\/twitter.com\/LawrenceAbrams?ref_src=twsrc%5Etfw\">@LawrenceAbrams<\/a><a href=\"https:\/\/t.co\/zHPKG7lXrU\">https:\/\/t.co\/zHPKG7lXrU<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1261661449010765824?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Laut Bleeping Computer hat Microsoft das Tool seit dem Windows 10 Oktober 2018 Update (Version 1809) integriert. Also habe ich mal nachgeschaut, was es damit auf sich hat. Das Programm <em>pktmon.exe<\/em> findet sich mit weiteren Hilfsdateien im Windows-Unterordner:<\/p>\n<p>C:\\Windows\\system32\\<\/p>\n<p>Es gibt auch eine Treiberdatei <em>pktmon.sys <\/em>die vom Tool in Windows registriert werden kann. <\/p>\n<p><img decoding=\"async\" title=\"Windows 10-Programm pktmon.exe\" alt=\"Windows 10-Programm pktmon.exe \" src=\"https:\/\/i.imgur.com\/9mbbrk8.jpg\"\/><br \/>(Dateien des Windows 10-Programms pktmon.exe)<\/p>\n<blockquote>\n<p>Ob das Tool wirklich seit dem Windows 10 Oktober 2018 Update (Version 1809) integriert ist, kann ich ad-hoc mangels fehlender Installation nicht \u00fcberpr\u00fcfen. In Windows 10 Version 1903 ist das Tool aber in der <em>install.wim <\/em>vorhanden. <\/p>\n<\/blockquote>\n<h2>Paketmonitor als Konsolenprogramm<\/h2>\n<p>Das Programm <em>pktmon.exe<\/em> ist eine Befehlszeilen-Anwendung, die von Administratoren aufgerufen werden kann (in einer mit normalen Benutzerberechtigung ge\u00f6ffneten Eingabeaufforderung wird der Paketmonitor nicht gefunden). Ruft man in einer administrativen Eingabeaufforderung den Befehl <em>pktmon <\/em>auf, zeigt dieser folgende Hilfeinformationen.<\/p>\n<p><img decoding=\"async\" title=\"Hilfetext des Befehls pktmon \" alt=\"Hilfetext des Befehls pktmon \" src=\"https:\/\/i.imgur.com\/K4mijvt.jpg\"\/><br \/>(Hilfetext des Befehls pktmon)<\/p>\n<p>Der Befehl meldet sich als '\u00dcberwachungsberichte \u00fcber interne Paketweiterleitung und Paketverluste' und dient zur Netzwerkdiagnose. Die Hilfeseite listet dabei die m\u00f6glichen Befehle f\u00fcr das Programm auf. <\/p>\n<p>Bleeping Computer schreibt, dass das Tool bisher nicht durch Microsoft beschrieben wurde, man habe jedenfalls nichts gefunden. Aber da kann abgeholfen werden, denn am Mittwoch, den 13. Mai 2020 ist von Microsoft der Techcommunity-Artikel <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/networking-blog\/windows-insiders-can-now-test-dns-over-https\/ba-p\/1381282\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Insiders can now test DNS over HTTPS<\/a> erschienen. In diesem Artikel wurde das Befehlszeilenprogramm <em>pktmon.exe<\/em> ausf\u00fchrlich zur \u00dcberpr\u00fcfung der DOH-Funktionalit\u00e4t in Windows Insider-Build 19628 und h\u00f6her beschrieben. Mit dem nachfolgenden Befehl werden alle Netzwerkverkehrsfilter zur\u00fcckgesetzt, die per PacketMon bereits installiert wurden. <\/p>\n<pre><code>pktmon filter remove<\/code><\/pre>\n<p>Mit dem folgenden Befehl wird ein Netzwerk-Verkehrsfilter f\u00fcr Port 53 hinzugef\u00fcgt. Im aktuellen Beispiel ist das der Port, der f\u00fcr das klassische DNS verwendet wird (bei DNS over HTTPS d\u00fcrfte dort keine \u00dcbertragung mehr stattfinden).<\/p>\n<pre><code>pktmon filter add -p 53<\/code><\/pre>\n<p>Die Liste der registrierten Filter l\u00e4sst sich mit dem folgenden Befehl in der Eingabeaufforderung abrufen. <\/p>\n<pre><code>pktmon filter list<\/code><\/pre>\n<p>Nachfolgende Abbildung zeigt die Ausgabe der Befehle zum Registrieren des Filters und der vorhandenen Filter.\n<\/p>\n<p><img decoding=\"async\" title=\"pktmon.exe Befehle\" alt=\"pktmon.exe Befehle\" src=\"https:\/\/i.imgur.com\/9hn6owr.jpg\"\/>\n<\/p>\n<p>Um eine Echtzeitprotokollierung des Datenverkehrs (an allen Netzwerkadaptern der Maschine) zu starten, ist folgender Befehl auszuf\u00fchren:<\/p>\n<pre><code>pktmon start --etw -m real-time<\/code><\/pre>\n<p>Alle Netzwerkpakete von Port 53 werden auf der Befehlszeile ausgegeben. Man kann aber auch den Befehl:<\/p>\n<pre><code>pktmon start --etw<\/code><\/pre>\n<p>verwenden, um die Datens\u00e4tze in die Datei <em>PktMon.etl<\/em> speichern zu lassen. Diese Datei wird unter <em>C:\\Windows\\system32\\ <\/em>angelegt. Dabei werden standardm\u00e4\u00dfig nur die ersten 128 Byte eines Pakets gespeichert. Der Befehl reserviert 512 Megabyte Speicher f\u00fcr die etl-Datei und \u00fcberschreibt ggf. die \u00e4ltesten Werte.\n<\/p>\n<p>Bleeping Computer <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use\/\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt<\/a>, dass man die Netzwerkpakete mit den Argumenten -p 0 (gesamtes Paket erfassen) und -c 13 (nur vom Adapter mit der ID 13 erfassen) gezielt von einem Netzwerkadapter aufzeichnen kann. Die IDs der vorhandenen Netzwerkadapter lassen sich mit dem Befehl nachfolgenden Befehl auflisten.<\/p>\n<pre><code>pktmon comp list<\/code><\/pre>\n<p>Soll die Aufzeichnung des Netzwerkpakets beendet werden, ist der nachfolgende Befehl in der Eingabeaufforderung einzugeben. <\/p>\n<pre><code>pktmon stop<\/code><\/pre>\n<p>Die Aufzeichnung aus der unter <em>C:\\Windows\\system32\\ <\/em>gespeicherten Datei <em>PktMon.etl<\/em> l\u00e4sst sich in der Windows Ereignisanzeige importieren und dann ansehen<em>. <\/em>Alternativ l\u00e4sst sich die .etl-Datei mittels nachfolgendem Befehl in eine Textdatei \u00fcberf\u00fchren.<\/p>\n<pre><code>pktmon format PktMon.etl \u2013o c:\\test.txt<\/code><\/pre>\n<p>Diese Textdatei l\u00e4sst sich dann in einem Texteditor laden und auswerten. Nachfolgend ist ein solcher Protokollauszug (in Kompaktform) zu sehen.\n<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/CjkJRsv.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"\" alt=\"Netzwerk-Protokolleintr&auml;ge\" src=\"https:\/\/i.imgur.com\/CjkJRsv.jpg\" width=\"627\" height=\"358\"\/><\/a>\n<\/p>\n<p>Bleeping Computer macht <a href=\"https:\/\/www.bleepingcomputer.com\/news\/microsoft\/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> den Vorschlag, sich den <a href=\"https:\/\/web.archive.org\/web\/20200721235859\/https:\/\/www.microsoft.com\/en-in\/download\/details.aspx?id=4865\" target=\"_blank\" rel=\"noopener noreferrer\">Microsoft Network Monitor<\/a> zu installieren und zur Anzeige der .etl-Datei zu verwenden.\n<\/p>\n<p><em><a href=\"https:\/\/i.imgur.com\/dkZlg3R.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Microsoft Network Monitor \" alt=\"Microsoft Network Monitor \" src=\"https:\/\/i.imgur.com\/dkZlg3R.jpg\" width=\"597\" height=\"386\"\/><\/a><\/em>\n<\/p>\n<p>Im Windows 10 Mai 2020 Update (Version 2004) weitet Microsoft die Funktionalit\u00e4t des Tools <em>Pktmon<\/em> aus. Pktmon kann dann \u00fcberwachte Pakete in Echtzeit anzeigen und ETL-Dateien in das PCAPNG-Format konvertieren. Weitere Details lassen sich bei Bleeping Computer nachlesen.\n<\/p>\n<p>Aktuell bin ich mir aber nicht so klar, wie sinnvoll das Ganze wirklich ist. Wer den Netzwerkverkehr \u00fcberwachen m\u00f6chte, k\u00f6nnte auf <a href=\"https:\/\/de.wikipedia.org\/wiki\/Wireshark\" target=\"_blank\" rel=\"noopener noreferrer\">Wireshark<\/a> zur\u00fcckgreifen. Die Software gibt es <a href=\"https:\/\/www.wireshark.org\/download.html\" target=\"_blank\" rel=\"noopener noreferrer\">auf dieser Seite<\/a> f\u00fcr Windows und macOS zum Download.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat in Windows 10 ein Tool (Packet-Monitor) integriert, mit dem Administratoren den Netzwerkverkehr \u00fcberwachen und mitschneiden k\u00f6nnen. Das ist erst jetzt breiter bekannt geworden, wom\u00f6glich, weil die Funktion vor wenigen Tagen f\u00fcr Insider beschrieben wurde.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,143,3694],"tags":[4307,4351,4378],"class_list":["post-231802","post","type-post","status-publish","format-standard","hentry","category-netzwerk","category-tipps","category-windows-10","tag-netzwerk","tag-tipp","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231802"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231802\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}