Du côté de Linux, nous avons tcpdump qui est un analyseur de paquets en ligne de commande. Il permet d'obtenir le détail du trafic visible depuis une interface réseau. L'outil distribué par les distributions GNU/Linux, FreeBSD, NetBSD, OpenBSD et Mac OS X dépend de la bibliothèque logicielle libpcap.
Si les utilisateurs Linux bénéficiaient d’outils de ce genre pour effectuer l’analyse de données, les utilisateurs Windows devaient passer par des installations de programme tiers à l’instar de Microsoft Network Monitor et Wireshark. Mais Windows 10 October 2018 Update est venue changer la donne : Microsoft a discrètement ajouté un nouveau programme de diagnostic réseau et de surveillance des paquets appelé C:\Windows\system32\pktmon.exe.
Ce programme est décrit comme suit : « surveille la propagation interne des paquets et les rapports de perte de paquets », ce qui indique qu'il est conçu pour diagnostiquer les problèmes de réseau. Semblable à la commande « netsh trace » de Windows, il peut être utilisé pour effectuer une inspection complète des paquets des données envoyées sur l'ordinateur.
Pour utiliser Packet Monitor dans Windows 10, lancez l’invite de commande (appuyez sur le bouton Windows et sur R, puis écrivez « cmd » et appuyez sur la touche Entrée). Une fois dans l’invite de commande, tapez pktmon.exe puis appuyez sur la touche Entrée. Vous verrez une liste de commandes possibles. Si vous ne les connaissez pas, vous pouvez utiliser la commande d'aide. Tapez pktmon [nom de la commande] help. Par exemple, la commande pktmon start help vous montrera la description complète de la commande.
Voici quelques commandes utiles :
- Pour filtrer un port, vous pouvez utiliser la commande pktmon filter add -p [port] pour chaque port que vous voulez surveiller. Par exemple, pktmon filter add -p 80 va filtrer le port 80.
- Pour démarrer la surveillance des packages, tapez pktmon start –etw -m real-time.
- Pour arrêter la surveillance, tapez pktmon stop.
Avec la sortie prochaine de la mise à jour Windows 10 de mai 2020 (Windows 10 2004), Microsoft a mis à jour l'outil Pktmon pour vous permettre d'afficher les paquets surveillés en temps réel et de convertir les fichiers ETL au format PCAPNG.
Dans la version de Pktmon à venir dans la prochaine mise à jour des fonctionnalités, vous pouvez activer la surveillance en temps réel en utilisant l'argument -l real-time.
Cela entraînera l'affichage direct des paquets capturés à l'écran tout en l'enregistrant dans le fichier ETL.
Après avoir arrêté la surveillance, le rapport a été stocké dans le fichier PktMon.etl. Pour le lire, vous pouvez soit télécharger et installer le Moniteur réseau Microsoft, soit le transformer en un fichier texte. Pour ce faire, tapez pktmon format PktMon.etl -o reportlog.txt.
Et vous ?
Que pensez-vous de cet outil ?