飛塔防火墻抓數(shù)據(jù)包詳解(共5頁)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上FortiGate 用Sniffer 命令抓包分析說明文檔說明： 本文檔針對FortiGate 產(chǎn)品的后臺抓包命令使用進行說明，相關(guān)詳細命令參照 相關(guān)手冊。 在使用后臺抓包分析命令時，建議大家使用如SecureCRT 這樣的遠程管理工 具，通過telnet 或者ssh 的方式登陸到網(wǎng)關(guān)，由于UTM 本身不支持將抓包的結(jié) 果保存在設(shè)備自身的存儲空間，因此需要借助SecureCRT 這樣遠程管理工具接收 文件。 1基本命令 命令: diagnose sniffer packet.# diag sniffer packet <interface> <

2、9;filter'> <verbose> <count>2參數(shù)說明 2.1 interface<interface> 指定實際的接口名稱，可以是真實的物理接口名稱，也可以是 VLAN 的邏輯接口名稱，當(dāng)使用“any”關(guān)鍵字時，表示抓全部接口的數(shù)據(jù)包。 例： diag sniffer packet port1 /表示抓物理接口為port1 的所有數(shù)據(jù)包 diag sniffer packet any /表示抓所有接口的所有數(shù)據(jù)包 diag sniffer packet port1-v10 /當(dāng)在物理接口建立一個VLAN 子接口，其邏輯 接口名為p

3、ort1-v10，此時表示抓port1-v10 接口的所有數(shù)據(jù)包，此處一定注意一個問題， 由于抓包命令中的空格使用來區(qū)分參數(shù)字段的，但是在邏輯接口創(chuàng)建時，接口名稱支持空 格，考慮到今后抓包分析的方便，建議在創(chuàng)建邏輯接口時不要帶有空格。 2.2 verbose<verbose> 指控制抓取數(shù)據(jù)包的內(nèi)容 1: print header of packets, /只抓取IP的原地址、源端口、目的地址、目的端口和數(shù)據(jù)包 的Sequence numbers 為系統(tǒng)缺省設(shè)置 2: print header and data from ip of packets, /抓取IP數(shù)據(jù)包的詳細信息，包

4、括IP數(shù)據(jù)的 payload。 3: print header and data from ethernet of packets) ，/抓取IP數(shù)據(jù)包的詳細信息，包 括IP數(shù)據(jù)的payload，導(dǎo)出到文本文件可以使有專用的轉(zhuǎn)換工具，轉(zhuǎn)換為Ethereal支持文件 格式 例： 【例1】 抓所有接口（interface=any）的任何數(shù)據(jù)包（filter=none），級別1（verbose1） FG-UTM # dia sni pa any none 1interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.

5、1029 -> 127.0.0.1.53: udp 40【例2】 抓所有接口（interface=any）的任何數(shù)據(jù)包（filter=none），級別2（verbose2），會顯示數(shù)據(jù)包的payload信息。 # diag sniffer packet internal none 2 1192.168.0.1.22 -> 192.168.0.30.1144: psh ack 0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E.*k.0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .x.jXt

6、J.0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P.eb.0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 >.8.?.%U.$.0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 .y.-X.0x0050 bd9c b649 5318 7fc5 c415 5a59 .IS.ZY【例3】 抓所有接口（interface=any）的任何數(shù)據(jù)包（filter=none），級別3（verbose3），會顯示數(shù)據(jù)包的payload信息。 FG-UTM # dia

7、 sni pa any none 3interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.1029 -> 127.0.0.1.53: udp 400x0000 0004 0304 0000 0000 9200 0000 2a00 08002.3 count<count> 指使有抓包命令抓取的數(shù)據(jù)包的數(shù)量 例： # diag sniffer packet internal none 1 3192.168.0.30.1156 -> 192.168.0.1.80: syn 192.168

8、.0.1.80 -> 192.168.0.30.1156: syn ack 192.168.0.30.1156 -> 192.168.0.1.80: ack 說明：抓取internal 接口，不使有任何過濾器（及none）級別為1，抓取3個數(shù)據(jù)包。此處，注意“none”必須要，代表過濾器的類型；注意“1”必須要， 否則系統(tǒng)會自動識別為<verbose>參數(shù)。 2.4 filter<filter> 抓包文件過濾器 語法： 'src|dst host<host_name_or_IP1> src|dsthost<host_name_or_

9、IP2> arp|ip|gre|esp|udp|tcp port_numarp|ip|gre|esp|udp|tcp port_num'此處一定注意任何過濾語法必須使用單引號包含，否則會有問題。 第二種簡單語法，適用于主機的會話抓包，無源和目的地址之分 'udp and port 1812 and host client1 and ( client2 or client3 )'【例1】使用源地址和目的地址過濾抓包 # diag sniffer packet internal 'src host 192.168.0.130 and dsthost 192.1

10、68.0.1' 1192.168.0.130.3426 -> 192.168.0.1.80: syn 192.168.0.1.80 -> 192.168.0.130.3426: syn ack 192.168.0.130.3426 -> 192.168.0.1.80: ack 192.168.0.130.3426 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3426: ack 192.168.0.130.1035 -> 192.168.0.1.53: udp 26192.168

11、.0.130.1035 -> 192.168.0.1.53: udp 42192.168.0.130.1035 -> 192.168.0.1.53: udp 42192.168.0.130 -> 192.168.0.1: icmp: echo request192.168.0.130.3426 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3426: ack 192.168.0.130 -> 192.168.0.1: icmp: echo request【例2】使用源地址和目的地址、以及

12、TCP 關(guān)鍵詞過濾抓兩個地址間的TCP 流 量 # diag sniffer packet internal 'src host 192.168.0.130 and dst host192.168.0.1 and tcp' 1192.168.0.130.3569 -> 192.168.0.1.23: syn 192.168.0.1.23 -> 192.168.0.130.3569: syn ack 192.168.0.130.3569 -> 192.168.0.1.23: ack 【例3】使用地址（含源地址和目的地址）、以及ICMP 關(guān)鍵詞過濾抓某個地 址間的

13、ICMP 流量 # diag sniffer packet internal 'host 192.168.0.130 and icmp' 1192.168.0.130 -> 192.168.0.1: icmp: echo request192.168.0.1 -> 192.168.0.130: icmp: echo reply【例4】使用ICMP 關(guān)鍵詞抓所有地址間的ICMP 流量 FG-UTM # diagnose sniffer packet port8 'icmp'0. 10.7.10.100 -> 10.7.10.1: icmp: ec

14、ho request0. 10.7.10.1 -> 10.7.10.100: icmp: echo reply1. 10.7.10.100 -> 10.7.10.1: icmp: echo request1. 10.7.10.1 -> 10.7.10.100: icmp: echo reply【例5】使用地址（含源地址和目的地址）、以及TCP 的端口關(guān)鍵詞過濾抓兩 個地址間的TCP 對應(yīng)端口流量 # diag sniffer packet internal 'host 192.168.0.130 or host 192.168.0.1and tcp and port

15、80' 1192.168.0.130.3625 -> 192.168.0.1.80: syn 192.168.0.1.80 -> 192.168.0.130.3625: syn ack 192.168.0.130.3625 -> 192.168.0.1.80: ack 192.168.0.130.3625 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3625: ack 【例6】使用接口、以及TCP 的端口關(guān)鍵詞過濾抓多個地址間的TCP 非對應(yīng)端 口流量，下例為不抓取23 端口的TCP

16、 流量 FG-UTM # diagnose sniffer packet any 'tcp and port !23'interfaces=anyfilters=tcp and port !23nr=8192,fr=1680,b_nr=4096,pg=40969. 10.7.10.100.1853 -> 10.7.10.1.443: syn 9. 10.7.10.1.443 -> 10.7.10.100.1853: syn ack 9. 10.7.10.100.1853 -> 10.7.10.1.443: ack 9. 10.7.10.100.1853 -&g

17、t; 10.7.10.1.443: psh ack 9. 10.7.10.1.443 -> 10.7.10.100.1853: ack 【例7】使用接口、以及IP 的協(xié)議端口proto 關(guān)鍵詞過濾抓多個地址間的IP層對應(yīng)端口流量，下例為抓取IP 層協(xié)議號為 1 的及ICMP 的流量 FG-UTM # diagnose sniffer packet port8 'ip proto 1'interfaces=port8filters=ip proto 1nr=8192,fr=1664,b_nr=4096,pg=40965. 10.7.10.100 -> 10.7.10.

18、1: icmp: echo request5. 10.7.10.1 -> 10.7.10.100: icmp: echo reply6. 10.7.10.100 -> 10.7.10.1: icmp: echo request3使用轉(zhuǎn)化工具的方法 首先，由于UTM 自身不支持抓包信息的存儲，必須使有其他工具進行抓包 信息的收集，本文檔使有SecureCRT 進行文本收集。 其次，使用抓包命令的<verbose>級別為3，此時導(dǎo)出的文件才能被ethereal識別。 第三，要獲取大量信息時，使有SecureCRT 工具應(yīng)該通過遠程數(shù)據(jù)連接（telnet或者時SSH 方式，使

19、用主機串口工作在這種模式下，由于串口速率的問題，無 法獲得大量數(shù)據(jù)。 第四，使用單獨提供的文件進行轉(zhuǎn)換，主機必須提前perl 的解釋程序和 Ethereal 軟件，并在提供的轉(zhuǎn)換使用的腳本文件中做必要的路徑指向。 3.1 SecureCRT 的配置 正常安裝SecureCRT 軟件，并通過遠程方式登陸到UTM 網(wǎng)關(guān)。 1、配置：文件接收工具欄TransferReceive ASCII2、選擇配置文件存儲的路徑，文件格式為*.txt執(zhí)行抓包命令： FG-UTM # diagnose sniffer packet any none 3其中3 代表抓包的輸出文件支持經(jīng)過轉(zhuǎn)換為Ethereal 格式文件。 3.2 編輯使用的腳本文件 編輯提供的轉(zhuǎn)換文件腳本fgt2eth.pl，修改腳本的第59 行，此處需要指明 Ethereal 的安裝路徑，下例中Ethereal 抓包分析軟件安裝在D 分區(qū)的根目錄的 Ethereal 目錄下，只需要指明安裝目錄即可，注意使用第65 行：my $text2pcapdirwin = "d:Ethere