📬 ISN 190: Ruch Sieciowy Bez Wiresharka? Tak! Plus ISE, Juniper w Kontenerze i Darmowe CE!

Przechwytywanie ruchu bez Wiresharka

#wireshark #pktmon #packetsdontlie #pcaporitdidnthappen | Benjamin Pfister | 39 comments

Don't know how to capture traffic on your Windows system if you can't install third party tools? 🤔 Windows 10 (since version 2004), Windows 11, Server 2019 and 2022 come pre-installed with a tool called pktmon. 💡 pktmon is able to capture data and export to to PCAPng without installing extra tools to later be able to analyse is with #Wireshark. We can also filter on IP-Adresses, Ports, Protocols, etc. and get live counters while capturing. 🤩 While host capturing is not the perfect way to capture data, it is often the only way to get access to the data. I created a short Video showing you how to set filters, start the capture, get live counters, stop capturing and convert data and open it in Wireshark. 🦈 👇 #pktmon #PacketsDontLie #PCAPOrItDidntHappen | 39 comments on LinkedIn

LinkedInBenjamin Pfister

Microsoft od wersji Windows 10 2004, Windows 11 oraz Windows Server 2019 i 2022 dołączył do systemu pakietowe narzędzie, o którym zaskakująco mało osób słyszało.

pktmon (Packet Monitor) to narzędzie typu command-line, które umożliwia przechwytywanie oraz monitorowanie ruchu sieciowego bez konieczności instalowania dodatkowego oprogramowania.

Główne cechy pktmon:

• Przechwytuje ruch na poziomie hosta (w obrębie stosu sieciowego Windows);
• Potrafi filtrować ruch po IP, portach, protokołach, interfejsach;
• Eksportuje zrzuty do formatu PCAPng kompatybilnego z Wiresharkiem;
• Udostępnia liczniki pakietów w czasie rzeczywistym.

Czy pktmon zastąpi Wireshark?

Nie, ale bardzo często uratuje Cię w sytuacji, gdy nie możesz skorzystać z Wiresharka lub innych narzędzi typu WinDump, Npcap czy Microsoft Message Analyzer.

Porównanie funkcjonalności:

Warto pamiętać, że przechwytywanie na hoście nie pozwala analizować ramek na poziomie L2 (np. 802.11). Nie masz też pełnej kontroli nad wybraną kartą sieciową, jak w narzędziach klasycznych.

Typowe scenariusze wykorzystania pktmon

• Diagnostyka opóźnień aplikacji na serwerach, gdzie wdrożenie nowych sterowników jest zakazane;
• Przechwycenie sesji na użytkownikach terminali bez naruszania polityki IT;
• Szybkie filtrowanie ruchu po porcie czy IP źródłowym bez edycji firewalli;
• Zbieranie logów do późniejszej analizy w Wireshark.

Jak rozpocząć przechwytywanie pakietów pktmon?

Oto uproszczony schemat działania:

1. Wyświetl dostępne interfejsy:

   pktmon comp list
   

2. Skonfiguruj filtr (np. IP lub port):

   pktmon filter add -t ipv4 -i 192.168.1.10
   

3. Rozpocznij przechwytywanie:

   pktmon start --etw -c
   

4. Podglądaj statystyki „na żywo”:

   pktmon counters
   

5. Zakończ zrzut:

   pktmon stop
   

6. Konwertuj wynik do formatu PCAPng:

   pktmon pcapng <ścieżka_do_logu.etl> -o <plik.pcapng>
   

7. Otwórz plik w Wireshark i analizuj dane.

Pakiet pktmon domyślnie zapisuje logi w formacie ETL. Do pełnej analizy w Wireshark wymagana jest konwersja do PCAPng.

Certyfikacja z Wiresharka

Wireshark • Announcing the Wireshark Certified Analyst (WCA) Certification

Wireshark: The world’s most popular network protocol analyzer

Wireshark

Fundacja Wireshark, organizacja non-profit odpowiedzialna za rozwój najpopularniejszego na świecie analizatora protokołów sieciowych, oficjalnie uruchomiła certyfikację WCA-101. To rygorystyczny egzamin zaprojektowany z myślą o inżynierach, którzy chcą formalnie potwierdzić swoje profesjonalne umiejętności w analizie protokołów i zaawansowanym rozwiązywaniu problemów sieciowych.

Certyfikacja została stworzona specjalnie dla zespołów IT Operations, Security Operations oraz Development. Jest idealna dla specjalistów, którzy już wykorzystują Wireshark w swoim środowisku pracy lub planują zintegrować to narzędzie w celu podniesienia poziomu widoczności operacyjnej i możliwości reagowania na incydenty.

Certyfikacja WCA-101 koncentruje się na głębokiej analizie i zaawansowanych technikach troubleshootingu.

Certyfikacja obejmuje:

• Zaawansowaną analizę protokołów warstwy 2-7
• Identyfikację i rozwiązywanie złożonych problemów sieciowych
• Optymalizację wydajności na podstawie analizy ruchu
• Wykrywanie anomalii bezpieczeństwa
• Umiętność pracy z Wiresharkiem

Na stronie fundacji można znaleźć pełną listę zagadnień egzaminu WCA-101.

Sam pomysł certyfikacji z narzędzia Wireshark wydaje mi się interesujący. Z jednej strony zapewni fundacji dodatkowe źródło finansowania (non-profit nie oznacza braku kosztów), a z drugiej pozwoli inżynierom udokumentować i pokazać swoje umiejętności.

Mam jednak zastrzeżenia co do ceny. 349 USD za certyfikat, który raczej będzie ciekawostką niż solidnym filarem, wydaje się zbyt wysoką kwotą. Szczególnie w porównaniu do bardziej rozpoznawalnych certyfikatów, takich jak CCNA – 300 USD czy CCNP – 400 USD.

Poznaj Cisco ISE

Understand ISE Services, Purpose and Troubleshooting

This document describes ISE services, purpose and troubleshooting.

CiscoContributed by Cisco Engineers Sri Srimat Tirumala PeddinitiTechnical Consulting Engineer

Dokument opisuje usługi Cisco Identity Services Engine (ISE), ich cele oraz wskazówki dotyczące rozwiązywania problemów. ISE to kompleksowe rozwiązanie do zarządzania bezpieczeństwem sieci przez scentralizowaną kontrolę dostępu, uwierzytelnianie, autoryzację i rozliczanie (AAA).

Juniper w kontenerze

Juniper vJunos-router in Containerlab

So far, I’ve used Cisco IOL, Arista EOS, and Palo Alto VM in Containerlab. And finally, the time came to try Juniper. I decided to test the Juniper vJunos-router, which is a virtualized MX router.

PacketswitchSuresh Vina

Autor od lat korzysta z Containerlab – narzędzia open source do tworzenia sieciowych laboratoriów w oparciu o proste pliki YAML. Po doświadczeniach z Cisco IOL, Arista EOS i Palo Alto VM, teraz testuje Juniper vJunos-router.

Zgarnij darmowe punkty CE