发新话题
打印

用Windows自带的pktmon抓包

用Windows自带的pktmon抓包

1)显示网卡ID、网卡名称
pktmon list

pktmon comp list

2)设置对10.0.0.10的139端口、ICMP协议抓包:
pktmon filter add -i 10.0.0.10
pktmon filter  add -p 139
pktmon filter  add -t icmp

显示、删除filter
pktmon filter  list
pktmon filter remove -p 139
pktmon filter remove

3)对ID为1的网卡抓包
pktmon start --etw --comp 1(或 加 -m real-time )

4)停止抓包
pktmon stop

5)结果转换为txt文件
pktmon format PktMon.etl -o filename.txt

6)打开txt文件查看
notepad filename.txt

参考:
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/pktmon-start
https://docs.microsoft.com/en-us/windows-server/networking/technologies/pktmon/pktmon-syntax
https://community.tenable.com/s/article/Generating-a-pcap-with-Windows-built-in-packet-sniffer
https://www.microsoft.com/en-in/download/details.aspx?id=4865

[ 本帖最后由 linda 于 2021-8-13 17:16 编辑 ]

TOP

发新话题