pktmon filter add
область применения: Windows server 2022, Windows server 2019, Windows 10, Azure Stack хЦи, центр Azure Stack, Azure
Добавление фильтра пктмон позволяет добавить фильтр для управления переданными пакетами. Чтобы сообщить о пакете, он должен соответствовать всем условиям, указанным по крайней мере в одном фильтре. Одновременно может быть активно до 32 фильтров.
Синтаксис
pktmon filter add <name> [-m <mac> [mac2]] [-v <vlan>] [-d { IPv4 | IPv6 | number }]
[-t { TCP [flags...] | UDP | ICMP | ICMPv6 | number }]
[-i <ip> [ip2]] [-p <port> [port2]] [-b] [-e [port]]
Вы можете указать необязательное имя или описание фильтра.
Примечание
Если указаны два компьютера Mac (-m), IP-адрес (i) или порты (-p), фильтр сопоставляет пакеты, содержащие оба. Для этой цели не будет различить источник или назначение.
Параметры
Вы можете указать параметры для кадра Ethernet, заголовка IP-адреса, заголовка TCP/UDP, пульса кластера и инкапсуляции.
| Параметр | Описание |
|---|---|
| -m,--Mac [-address] | Совпадение с исходным или целевым MAC-адресом. См. примечание выше. |
| -v,--VLAN | Совпадение с ИД виртуальной ЛС (VID) в заголовке 802.1 Q. |
| -d,--Data-Link [-Protocol],--есертипе | Сопоставление по протоколу канала данных (уровень 2). Может быть IPv4, IPv6, ARP или номером протокола. |
| -t,--Transport [-Protocol],--IP-протокол | Соответствует протоколу транспорта (Layer 4). Может принимать значения TCP, UDP, ICMP, ICMPv6 или номер протокола. Для дальнейшей фильтрации пакетов TCP можно указать дополнительный список флагов TCP для сопоставления. Поддерживаемые флаги: FIN, SYN, RST, КОМАНДНОМ PSH, ACK, УРГ, ECE и КВР. |
| -i,--IP-адрес [-address] | Совпадение с исходным или целевым IP-адресом. См. примечание выше. Для сопоставления по подсети используйте нотацию CIDR с длиной префикса. |
| -p,--Port | Совпадение с исходным или целевым номером порта. См. примечание выше. |
| -b,--пульс | Поиск сообщений пульса RCP через UDP-порт 3343. |
| -e,--енкап | Примените приведенные выше параметры фильтрации к внутренним и внешним заголовкам инкапсуляции. Поддерживаемые методы инкапсуляции: ВКСЛАН, GRE, NVGRE и IP-in-IP. Пользовательский порт ВКСЛАН является необязательным и по умолчанию равен 4789. |
Примеры
Следующий набор фильтров захватывает трафик ICMP, входящий в IP-адрес 10.0.0.10, а также трафик через порт 53.
C:\Test> pktmon filter add -i 10.0.0.10 -t icmp
C:\Test> pktmon filter add -p 53
Следующий фильтр будет фиксировать все пакеты SYN, отправленные или полученные IP-адресом 10.0.0.10:
C:\Test> pktmon filter add -i 10.0.0.10 -t tcp syn
Следующий фильтр с именем мипинг проверяет связь с протоколом ICMP:
C:\Test> pktmon filter add MyPing -i 10.10.10.10 -t ICMP
Следующий фильтр с именем мисмбсиб ЗАхватывает TCP-трафик с синхронизацией по протоколу SMB:
C:\Test> pktmon filter add MySmbSyn -i 10.10.10.10 -t TCP SYN -p 445
Следующий фильтр с именем MySubnet захватывает трафик в маске подсети 255.255.255.0 или/24 в нотации CIDR:
C:\Test> pktmon filter add MySubnet -i 10.10.10.0/24