Buenas a todos, en el post de hoy quería hablaros de pktmon, una herramienta de Windows que no es muy conocida y que podríamos definir de forma sencilla como "el tcpdump de Windows".
pktmon fue incluída en la actualización de Windows 10 de octubre de 2018, con el objetivo de dotar al sistema de Microsoft de un sniffer de red de forma nativa.
pktmon es una herramienta de consola, con la que podréis trabajar desde Powershell de forma sencilla, elevando previamente permisos de administración. El binario se encuentra, como es habitual, en System32.
Añadir filtros en pktmon es sencillo, y bastará con ejecutar el programa con el parámetro "filter add". Por ejemplo, a continuación os muestro como aplicar un filtro para FTP al puerto 21:
Para ver los filtros aplicados, podréis utilizar el parámetro "filter list":
Para comenzar la captura de tráfico, bastará con lanzar el parámetro "start":
Y para parar la captura, utilizaremos el parámetro "stop":
Esto nos generará un archivo ETL, el cual podremos convertir con el propio pktmon a TXT:
Y este archivo, ahora sí, podremos interpretarlo con cualquier bloc de notas:
En el próximo post de esta cadena veremos como sacar más partido a pktmon y comenzaremos a explotar los datos recolectados.
Saludos!
No hay comentarios:
Publicar un comentario