Windows 10 har en inbyggd paketspårare

Windows 10 har en inbyggd paketspårare

Microsoft har i hemlighet introducerat ett verktyg för att övervaka nätverkstrafik i höstens uppdatering av Windows 10.

Läs hela artikeln här

Sååå, är det här en efterfrågad funktion som är användbar? Eller något som kommer utnyttjas av utomstående?

Bra funktion, men alltså införandet är ju katostrofalt ur kundförtroendeperspektiv. Skulle Microsoft men sin struktur och ordning "råka" missa en hel EXE i dokumentationen?

Skrivet av Starric:

Sååå, är det här en efterfrågad funktion som är användbar? Eller något som kommer utnyttjas av utomstående?

Säkert användbart för några, annars skulle det inte finnas program från tredje part för det.
Samtidigt är det möjligt att det också kan användas av MS (och annan utomstående part) för diskret loggning/spårning av ovetande användare.

Det enda skumma med det är ju just avsaknaden av dokumentation av införandet. Även om det inte är meningen är det ju väldigt lätt att man då får uppfattningen att Microsoft eller någon samarbetspartner själva tänkt använda programmet till ljusskygga ändamål. Så även om det kanske införts i all välmening verkar det hela vara väldigt klantigt skött.

Trevligt att slippa tredjepartsgrejer för detta för de som är kommandotolksfrälsta. Personligen kör jag dock vidare med wireshark, då jag vet hur det funkar och har ett bra gui.

Nice,,, men... släng in vanliga tcpdump som ALLA andra använder i stället?

Från artikeln
"För Linux-baserade operativsystem finns detta inbyggt i kärnan i form av verktyget tcpdump"

Det är sant att Linux har de finesser som krävs för applikationer som tcpdump, wireshark, m.fl. inbyggd i kärnan. Men tcpdump är en applikation, inte något som i sig är inbyggt. Vad som används är en speciell typ av socket (AF_PACKET) som gör det möjligt att läsa/skriva råa Ethernet-ramar.

Så frågan i fallet Windows är: har Microsoft lagt till det som behövs för den nu inbyggda paketsniffaren i kärnan? För normalt om man kör t.ex. Wireshark under Windows måste man installera en kernel-modul (libpcap driver).

Windows har haft inbygg packetsniffer även innan detta genom netsh trace

Jag brukar själv använda detta på maskiner där Wireshark saknas och sedan använda Microsofts egna etl2pcapng för att läsa in capture-filerna i Wireshark på en annan maskin.

Det som verkar vara unikt här är att man kan sniffa och sedan se en paketdump i realtid utan att för den sakens skull behöva installera tredjeparts verktyg. Jag kan definitivt se mig själv använda detta för felsökning.

Wireshark is the shit. T.o.m. när Bertil 102 och Hanna 104år ringer in supporten för att deras mailklient ej fungerar så är det första supporten säger om de har avlyssnat trafiken genom wireshark och sett om den kommer fram och tillbaka från mailservern.

Kernel-infrastrukturen för att lyssna på nätverkspaket har funnits där sedan minst Windows 7:

https://docs.microsoft.com/en-us/windows/win32/ndf/network-tr...

Men verktygen för att visualisera resultaten har alltid vara mycket sämre än Wireshark, etc. Bristen på dokumentation är inte jätteovanligt bland Microsofts debuggingverktyg, och är en bidragande orsak till varför så få personner använder dem.

Är ju lite intressant hur detta blev en nyhet:

  1. Microsoft använder pktmon i demosyfte i en teknisk artikel om DoH-stöd i kommande version av Windows 10 (https://techcommunity.microsoft.com/t5/networking-blog/window...).

  2. Bleeping Computer skriver en artikel om detta och inkluderar samma kommandon som fanns i Microsoft-artikeln (https://www.bleepingcomputer.com/news/microsoft/windows-10-ge...).

  3. Några dagar senare skriver Bleeping Computer en artikel om att Microsoft tyst lagt till pktmon i Windows 10 1809 (https://www.bleepingcomputer.com/news/microsoft/windows-10-qu...), men gör inte en så stor grej av att det skulle vara så konstigt utan fokuserar mer på att visa hur man kan använda verktyget.

  4. Andra nyhetssajter (där pktmon inte är av naturligt intresse för målgruppen) plockar upp nyheten, med övervikt av konspiratoriska vinklingar.

Lite kul att när Linux-distributioner inkluderar en paketsniffare är det frihet och öppenhet, men när Windows gör det är det en ondsint konspiration för att spionera på datoranvändare. Om Microsoft ville sniffa nätverkstrafik hade de väl inte behövt en separat .exe för det, de hade kunnat gömma processen i någon annan Windows-systemprocess.
Det är snarare så att detta verktyg leder till mer öppenhet eftersom en vanlig Windows-användare kan se vilken data som skickas på nätverket (även från Windows-datorer) utan att behöva ladda ner programvara för det.

Rensat tråden, håll on topic^^

/Vzano, Moderator

Själv så längtar jag tills detta finns med i serverversionerna, och då versionen som kan visa paket i realtid.
Det är trevlig att på en linuxmaskin kunna felsöka inkommande/utgående paket (om de ens kommer, samt innehållet i dem) med tcpdump (som finns med i de flesta distros) utan att behöva installera något på en produktionsmaskin..

Ser ju riktigt bra ut det här, förutom den så kallade läsbara filen. Det borde kunna konverteras till excel eller något mer lättläsligt format.

Skrivet av iBurningMan:

Ser ju riktigt bra ut det här, förutom den så kallade läsbara filen. Det borde kunna konverteras till excel eller något mer lättläsligt format.

Läsbar? Den innehåller information som inte är läsbar, gör man filen "läsbar" så förlorar man information. Men vill du så kan du konvertera delar av informationen i den till tex csv som du sedan kan importera in i excel.

Skrivet av filbunke:

Läsbar? Den innehåller information som inte är läsbar, gör man filen "läsbar" så förlorar man information. Men vill du så kan du konvertera delar av informationen i den till tex csv som du sedan kan importera in i excel.

Nu vet jag inte hur du menar. Titta på bilden i artikeln.

Skulle du vilja plöja igenom det där på jakt efter en detalj? Visst, det är *läsbart* men sjukt jobbigt. Måste gå att formatera upp och göra det mer lätthanterligt att sortera information i.

Skrivet av iBurningMan:

Nu vet jag inte hur du menar. Titta på bilden i artikeln.

https://cdn.sweclockers.com/artikel/bild/83219?l=eyJyZXNvdXJjZSI6IlwvYXJ0aWtlbFwvYmlsZFwvODMyMTkiLCJmaWx0ZXJzIjpbInQ9b3JpZ2luYWwiXSwicGFyYW1zIjpbXSwia2V5IjoiYTFkZjE2NWE0M2EwYTc2MjEzNTU5NDg3MGQ2NGFhNTcifQ%3D%3D

Skulle du vilja plöja igenom det där på jakt efter en detalj? Visst, det är *läsbart* men sjukt jobbigt. Måste gå att formatera upp och göra det mer lätthanterligt att sortera information i.

Om man kan konvertera till pcap(ng) så är ju Wireshark utmärkt.
(Och i så fall är väl användningsområdet för den här prytteln då om man inte vill behöva installera Wireshark på maskinen som man behöver trafikdumpen från, annars kan man ju använda Wireshark rakt av.)