Packet Monitor یا Pktmon یک ابزار عیبیابی شبکه بهصورت Cross-Component و In-Box برای ویندوز بوده و میتوان از آن برای شناسایی Packet Drop، فیلترینگ، شمارش Packet و Capture کردن استفاده نمود. این ابزار بهخصوص در سناریوهای مجازیسازی مثل شبکهی Container و SDN مفید میباشد، زیرا قابلیت دید را در یک Stack شبکه فراهم میکند. همچنین از طریق دستور pktmon.exe و افزونههای Windows Admin Center قابلدسترسی می باشد.
معرفی Packet Monitor و شرح کلی آن
هر ماشینی که روی Stack شبکه ارتباط برقرار میکند دارای حداقل یک آداپتور شبکه میباشد. تمام اجزای بین این آداپتور و یک برنامه کاربردی از یک Stack شبکه، مجموعهای از اجزای شبکه هستند که ترافیک شبکه را پردازش کرده و منتقل میکنند. در سناریوهای قدیمی، اندازه شبکه کوچک بوده و کل Packet Routing و Switching در دستگاههای خارجی اتفاق میافتد.
بااینحال، با ظهور مجازیسازی شبکه، اندازهی شبکه چندین برابر شده و گسترشیافته و امروزه شامل اجزایی مثل Virtual Switch میباشد که از پردازش و سوئیچ Packet پشتیبانی میکند. چنین محیط منعطفی موجب میشود که بتوان بهتر از منابع استفاده کرد و جداسازی امنیتی بهتری ایجاد شود، اما همچنین جای بیشتری را برای اشتباههای پیکربندی باقی میگذارد که تشخیص آنها میتواند دشوار باشد. Packet Monitor قابلیت دید بهبودیافتهای را در Stack شبکه فراهم میکند که معمولاً برای مشخص کردن اشتباهات لازم است.
Packet Monitor در چندین مکان مختلف در Stack شبکه Packetها را جداسازی میکند و مسیر Packet را در معرض دید قرار میدهد. اگر Packet در Stack شبکه، توسط یکی از اعضای تحت پشتیبانی Drop شود، Packet Monitor آن Packet Drop را گزارش مینماید. این کار به کاربران توانایی میدهد که بین جزئی که مقصد موردنظر یک Packet است و جزئی که با Packet تداخل میکند، تمایز ایجاد کنند. بهعلاوه Packet Monitor دلایل Drop مانند MTU Mistmatch یا Filtered VLAN و غیره را نیز گزارش میکند. این دلایل Drop، بدون نیاز به بررسی تمام احتمالات دلیل اصلی مشکل را مشخص میکنند. Packet Monitor همچنین شمارندههای Packet را برای هر نقطهی جداسازی فراهم میکند که موجب میشود بررسی جریان Packet در سطح بالا، بدون نیاز به تجزیهوتحلیل Log که زمانبر است، فراهم شود.
بهترین راهکارها جهت تسهیل تجزیه و تحلیل شبکه
- برای دیدن Argumentها و قابلیتها میتوان از بخش کمکی دستور استفاده کرد (مثلاً Pktmon Start Help).
- میتوان فیلترهای Packet که با سناریوی موردنظر تطبیق دارند را تنظیم نمود (pktmon filter add).
- میتوان برای نمایش در سطح بالا، شمارندههای Packet را درطول آزمایش بررسی کرد (pktmon counters).
- برای تجزیهوتحلیل با جزئیات بیشتر باید به Log رجوع شود (pktmon format pktmon.etl).
عملکرد وقابلیت های Packet Monitor
عملکرد Packet Monitor با انتشار نسخههای مختلف ویندوز تکاملیافته است. جدول زیر قابلیتهای اساسی آن را همراه با نسخهی ویندوز مربوطه نمایش میدهد.
قابلیت | V 1809 (B:17763) | V 1903 (B: 18362) | V 2004 (B: 19041) |
مانیتورینگ و شمارش Packet در چند مکان در امتداد Stack شبکه | ☑ | ☑ | ☑ |
تشخیص Packet Drop در چندین مکان Stack | ☑ | ☑ | ☑ |
Packet Filtering با Runtime منعطف | ☑ | ☑ | ☑ |
پشتیبانی از Encapsulation | ☐ | ☑ | ☑ |
تجزیهوتحلیل شبکه براساس TcpDump Packet Parsing | ☐ | ☑ | ☑ |
تجزیهوتحلیل Packet Metadata یا OOB | ☐ | ☐ | ☑ |
مانیتورینگ Packet بهصورت Real-Time و On-Screen | ☐ | ☐ | ☑ |
In-Memory Logging با حجم بالا | ☐ | ☐ | ☑ |
پشتیبانی از فرمت Wireshark و Network Monitor | ☐ | ☐ | ☑ |
محدودیتها
برخی از مهمترین محدودیتهای Packet Monitor به شرح زیر میباشد:
- درحالحاضر فقط ترافیک اترنت تحت پشتیبانی بوده و در نسخههای بعدی، ترافیک بیسیم نیز اضافه خواهد شد.
- Packet dropها از Windows Firewall هنوز از طریق Packet Monitor قابلمشاهده نیستند.