飞塔防火墙抓数据包详解(共5页).doc

上传人：飞****2

文档编号：13580726

上传时间：2022-04-30

格式：DOC

页数：5

大小：23.50KB

( 4.5 )

《飞塔防火墙抓数据包详解(共5页).doc》由会员分享，可在线阅读，更多相关《飞塔防火墙抓数据包详解(共5页).doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上FortiGate 用Sniffer 命令抓包分析说明文档说明：本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照相关手册。在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收文件。 1基本命令命令: diagnose sniffer packet.# diag sniffer packet 2参数说明 2.1 interface 指定实际的

2、接口名称，可以是真实的物理接口名称，也可以是 VLAN 的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。例： diag sniffer packet port1 /表示抓物理接口为port1 的所有数据包 diag sniffer packet any /表示抓所有接口的所有数据包 diag sniffer packet port1-v10 /当在物理接口建立一个VLAN 子接口，其逻辑接口名为port1-v10，此时表示抓port1-v10 接口的所有数据包，此处一定注意一个问题，由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空格，考虑

3、到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。 2.2 verbose 指控制抓取数据包的内容 1: print header of packets, /只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers 为系统缺省设置 2: print header and data from ip of packets, /抓取IP数据包的详细信息，包括IP数据的 payload。 3: print header and data from ethernet of packets) ，/抓取IP数据包的详细信息，包括IP数据的payload，导出到文本文

4、件可以使有专用的转换工具，转换为Ethereal支持文件格式例：【例1】抓所有接口（interface=any）的任何数据包（filter=none），级别1（verbose1） FG-UTM # dia sni pa any none 1interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.1029 - 127.0.0.1.53: udp 40【例2】抓所有接口（interface=any）的任何数据包（filter=none），级别2（verbose2），会显示数据包的payload信息。

5、# diag sniffer packet internal none 2 1192.168.0.1.22 - 192.168.0.30.1144: psh ack 0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E.*k.0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .x.jXtJ.0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P.eb.0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 .8.?.%U.$.0

6、x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 .y.-X.0x0050 bd9c b649 5318 7fc5 c415 5a59 .IS.ZY【例3】抓所有接口（interface=any）的任何数据包（filter=none），级别3（verbose3），会显示数据包的payload信息。 FG-UTM # dia sni pa any none 3interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.1029 - 127.0.0.1.53: udp 4

7、00x0000 0004 0304 0000 0000 9200 0000 2a00 08002.3 count 指使有抓包命令抓取的数据包的数量例： # diag sniffer packet internal none 1 3192.168.0.30.1156 - 192.168.0.1.80: syn 192.168.0.1.80 - 192.168.0.30.1156: syn ack 192.168.0.30.1156 - 192.168.0.1.80: ack 说明：抓取internal 接口，不使有任何过滤器（及none）级别为1，抓取3个数据包。此处，注意“none”必须要，

8、代表过滤器的类型；注意“1”必须要，否则系统会自动识别为参数。 2.4 filter 抓包文件过滤器语法： src|dst host src|dsthost arp|ip|gre|esp|udp|tcp port_numarp|ip|gre|esp|udp|tcp port_num此处一定注意任何过滤语法必须使用单引号包含，否则会有问题。第二种简单语法，适用于主机的会话抓包，无源和目的地址之分 udp and port 1812 and host client1 and ( client2 or client3 )【例1】使用源地址和目的地址过滤抓包 # diag sniffer pac

9、ket internal src host 192.168.0.130 and dsthost 192.168.0.1 1192.168.0.130.3426 - 192.168.0.1.80: syn 192.168.0.1.80 - 192.168.0.130.3426: syn ack 192.168.0.130.3426 - 192.168.0.1.80: ack 192.168.0.130.3426 - 192.168.0.1.80: psh ack 192.168.0.1.80 - 192.168.0.130.3426: ack 192.168.0.130.1035 - 192.1

10、68.0.1.53: udp 26192.168.0.130.1035 - 192.168.0.1.53: udp 42192.168.0.130.1035 - 192.168.0.1.53: udp 42192.168.0.130 - 192.168.0.1: icmp: echo request192.168.0.130.3426 - 192.168.0.1.80: psh ack 192.168.0.1.80 - 192.168.0.130.3426: ack 192.168.0.130 - 192.168.0.1: icmp: echo request【例2】使用源地址和目的地址、以及

11、TCP 关键词过滤抓两个地址间的TCP 流量 # diag sniffer packet internal src host 192.168.0.130 and dst host192.168.0.1 and tcp 1192.168.0.130.3569 - 192.168.0.1.23: syn 192.168.0.1.23 - 192.168.0.130.3569: syn ack 192.168.0.130.3569 - 192.168.0.1.23: ack 【例3】使用地址（含源地址和目的地址）、以及ICMP 关键词过滤抓某个地址间的ICMP 流量 # diag sniffer

12、 packet internal host 192.168.0.130 and icmp 1192.168.0.130 - 192.168.0.1: icmp: echo request192.168.0.1 - 192.168.0.130: icmp: echo reply【例4】使用ICMP 关键词抓所有地址间的ICMP 流量 FG-UTM # diagnose sniffer packet port8 icmp0. 10.7.10.100 - 10.7.10.1: icmp: echo request0. 10.7.10.1 - 10.7.10.100: icmp: echo reply

13、1. 10.7.10.100 - 10.7.10.1: icmp: echo request1. 10.7.10.1 - 10.7.10.100: icmp: echo reply【例5】使用地址（含源地址和目的地址）、以及TCP 的端口关键词过滤抓两个地址间的TCP 对应端口流量 # diag sniffer packet internal host 192.168.0.130 or host 192.168.0.1and tcp and port 80 1192.168.0.130.3625 - 192.168.0.1.80: syn 192.168.0.1.80 - 192.168.0

14、.130.3625: syn ack 192.168.0.130.3625 - 192.168.0.1.80: ack 192.168.0.130.3625 - 192.168.0.1.80: psh ack 192.168.0.1.80 - 192.168.0.130.3625: ack 【例6】使用接口、以及TCP 的端口关键词过滤抓多个地址间的TCP 非对应端口流量，下例为不抓取23 端口的TCP 流量 FG-UTM # diagnose sniffer packet any tcp and port !23interfaces=anyfilters=tcp and port !23n

15、r=8192,fr=1680,b_nr=4096,pg=40969. 10.7.10.100.1853 - 10.7.10.1.443: syn 9. 10.7.10.1.443 - 10.7.10.100.1853: syn ack 9. 10.7.10.100.1853 - 10.7.10.1.443: ack 9. 10.7.10.100.1853 - 10.7.10.1.443: psh ack 9. 10.7.10.1.443 - 10.7.10.100.1853: ack 【例7】使用接口、以及IP 的协议端口proto 关键词过滤抓多个地址间的IP层对应端口流量，下例为抓取IP

16、层协议号为 1 的及ICMP 的流量 FG-UTM # diagnose sniffer packet port8 ip proto 1interfaces=port8filters=ip proto 1nr=8192,fr=1664,b_nr=4096,pg=40965. 10.7.10.100 - 10.7.10.1: icmp: echo request5. 10.7.10.1 - 10.7.10.100: icmp: echo reply6. 10.7.10.100 - 10.7.10.1: icmp: echo request3使用转化工具的方法首先，由于UTM 自身不支持抓包信息

17、的存储，必须使有其他工具进行抓包信息的收集，本文档使有SecureCRT 进行文本收集。其次，使用抓包命令的级别为3，此时导出的文件才能被ethereal识别。第三，要获取大量信息时，使有SecureCRT 工具应该通过远程数据连接（telnet或者时SSH 方式，使用主机串口工作在这种模式下，由于串口速率的问题，无法获得大量数据。第四，使用单独提供的文件进行转换，主机必须提前perl 的解释程序和 Ethereal 软件，并在提供的转换使用的脚本文件中做必要的路径指向。 3.1 SecureCRT 的配置正常安装SecureCRT 软件，并通过远程方式登陆到UTM 网关。 1、配

18、置：文件接收工具栏TransferReceive ASCII2、选择配置文件存储的路径，文件格式为*.txt执行抓包命令： FG-UTM # diagnose sniffer packet any none 3其中3 代表抓包的输出文件支持经过转换为Ethereal 格式文件。 3.2 编辑使用的脚本文件编辑提供的转换文件脚本fgt2eth.pl，修改脚本的第59 行，此处需要指明 Ethereal 的安装路径，下例中Ethereal 抓包分析软件安装在D 分区的根目录的 Ethereal 目录下，只需要指明安装目录即可，注意使用第65 行：my $text2pcapdirwin = d:E

19、thereal;转换文件脚本fgt2eth.pl 请参考本文档附录，注意一定要进行必要的编辑。 3.3 转换操作 1、首先正常安装Perl 解释器，本例使用的是ActivePerl 5.8.8 Build 819 版本的 perl 语言工具。（工具可以自己从网上下载） 2、在DOS 命令行执行 C:perl D: fgt2eth.pl -in D:packet转换脚本文件的路径和文件名输入参数输入抓包获取的文件名缺省的输出文件与输入的相同路径下。 C:perl D:fgt2eth.pl -in D:packetConversion of file D:packet phase 1 (FG

20、verbose 3 conversion)Output written to D:packet.eth.Conversion of file D:packet phase 2 (windows text2pcap)Ouput file to load in Ethereal is D:packet.eth上例显示，转换成功，转化输出的文件在D 分区下，转换生成的文件为packet.eth。如果需要改变输出的文件名，执行命令： C:perl D: fgt2eth.pl -in D:packet out D:输出文件名3、使用Ethereal 打开生成的转换文件上图显示生成的文件可以正常打开，并使用Ethereal 工具分析。专心-专注-专业

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

20 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 防火墙数据包详解

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：飞塔防火墙抓数据包详解(共5页).doc
链接地址：https://www.taowenge.com/p-13580726.html