จะเริ่มต้นใช้งาน Build-in Network Sniffer ใน Windows 10 ได้อย่างไร

หลายคนอาจจะคุ้นเคยกับการติดตั้ง Wireshark หรือ tcpdump (บนลีนุกซ์) เพื่อจับทราฟฟิคในเครือข่าย แต่อันที่จริงแล้วตั้งแต่ Windows 10 เวอร์ชัน October 2018 ได้มี Build-in Network Sniffer มาเรียบร้อยแล้วที่ชื่อ pktmon

pktmon เป็นเครื่องมือที่สามารถใช้ทำ Network Diagnostic ซึ่งอยู่ใน C:\Windows\system32\pktmon.exe นั่นเอง ผู้สนใจสามารถเริ่มใช้งานได้ผ่านทางคำสั่ง pktmon ใน Command Prompt ได้ตามรูปด้านบน แต่ประเด็นคือไม่มีเอกสารประกอบจากทาง Microsoft เท่าไหร่นัก ดังนั้นต้องอาศัยการใช้ Help และลองศึกษาด้วยตัวเองต่อไป เช่น ‘pktmon filter help’ จุดสำคัญคือการอ่าน Output ที่ได้ยังค่อนข้างยาก ท่านอาจจะสามารถใช้เครื่องมือ Microsoft Network Monitor เปิดอ่านไฟล์ ETL และแสดงผลในรูปแบบที่เข้าใจง่ายกว่า

อดใจรออีกสักนิดในระยะเวลาใกล้ๆ นี้แล้วสำหรับ Windows 10 May 2020 Update (Windows 10 2004) Pktmon จะสามารถแสดงผลติดตามแพ็กเก็ตแบบเรียลไทม์ (ด้วย option -l real-time) และแปลง ETL เป็น PCAPNG ที่รองรับใน Wireshark หรือแสดงผลหน้าตาตามรูปด้านล่าง

ที่มา :  https://www.bleepingcomputer.com/news/microsoft/windows-10-quietly-got-a-built-in-network-sniffer-how-to-use/