我正在尝试使用 pktmon(内置的 windows 数据包分析器)。然而,从文档中他们提到,默认情况下数据包大小限制为 128 字节,但可以使用以下命令增加
pktmon start --etw -p 0但是运行那个命令给我这个错误
Error: '0' is not a valid event provider Id到目前为止,我在互联网上还没有看到任何有用的信息。
网上的大部分例子都展示了
pktmon start --etw -p 0 -c 1
-p 和 -c 似乎不起作用。 所以对我有用的是
pktmon start --etw --pkt-size 0 --comp 1
来自实用程序帮助:
--包大小 从每个数据包中记录的字节数。始终记录整个 数据包将此设置为 0。默认值为 128 字节。
Pktmon 过滤器删除#(删除所有过滤器) pktmon filter list # 列出所有过滤器 pktmon filter add -I 100.100.100.0/24 #抓取指定IP的流量
pktmon filter add -p 53 -I 100.100.100.0/16 101.101.101.0/16 #过滤IP和端口
Pktmon start -c --comp nics -m real-time # Capture Real time
Pktmon 停止
mkdir C:\Temp1 # 创建存放 pcap 的目录
pktmon etl2pcap C:\WINDOWS\system32\PktMon.etl -o C:\Temp1\log.pcapng # 为 wireshark 转换 etltp log.pcapng