飞塔防火墙抓数据包详解(共5页)

1、精选优质文档-倾情为你奉上FortiGate 用Sniffer 命令抓包分析说明文档说明： 本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照 相关手册。 在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工 具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结 果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收 文件。 1基本命令 命令: diagnose sniffer packet.# diag sniffer packet <interface> <

2、9;filter'> <verbose> <count>2参数说明 2.1 interface<interface> 指定实际的接口名称，可以是真实的物理接口名称，也可以是 VLAN 的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。 例： diag sniffer packet port1 /表示抓物理接口为port1 的所有数据包 diag sniffer packet any /表示抓所有接口的所有数据包 diag sniffer packet port1-v10 /当在物理接口建立一个VLAN 子接口，其逻辑 接口名为p

3、ort1-v10，此时表示抓port1-v10 接口的所有数据包，此处一定注意一个问题， 由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空 格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。 2.2 verbose<verbose> 指控制抓取数据包的内容 1: print header of packets, /只抓取IP的原地址、源端口、目的地址、目的端口和数据包 的Sequence numbers 为系统缺省设置 2: print header and data from ip of packets, /抓取IP数据包的详细信息，包

4、括IP数据的 payload。 3: print header and data from ethernet of packets) ，/抓取IP数据包的详细信息，包 括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件 格式 例： 【例1】 抓所有接口（interface=any）的任何数据包（filter=none），级别1（verbose1） FG-UTM # dia sni pa any none 1interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.

5、1029 -> 127.0.0.1.53: udp 40【例2】 抓所有接口（interface=any）的任何数据包（filter=none），级别2（verbose2），会显示数据包的payload信息。 # diag sniffer packet internal none 2 1192.168.0.1.22 -> 192.168.0.30.1144: psh ack 0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E.*k.0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .x.jXt

6、J.0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P.eb.0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 >.8.?.%U.$.0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 .y.-X.0x0050 bd9c b649 5318 7fc5 c415 5a59 .IS.ZY【例3】 抓所有接口（interface=any）的任何数据包（filter=none），级别3（verbose3），会显示数据包的payload信息。 FG-UTM # dia

7、 sni pa any none 3interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963. 127.0.0.1.1029 -> 127.0.0.1.53: udp 400x0000 0004 0304 0000 0000 9200 0000 2a00 08002.3 count<count> 指使有抓包命令抓取的数据包的数量 例： # diag sniffer packet internal none 1 3192.168.0.30.1156 -> 192.168.0.1.80: syn 192.168

8、.0.1.80 -> 192.168.0.30.1156: syn ack 192.168.0.30.1156 -> 192.168.0.1.80: ack 说明：抓取internal 接口，不使有任何过滤器（及none）级别为1，抓取3个数据包。此处，注意“none”必须要，代表过滤器的类型；注意“1”必须要， 否则系统会自动识别为<verbose>参数。 2.4 filter<filter> 抓包文件过滤器 语法： 'src|dst host<host_name_or_IP1> src|dsthost<host_name_or_

9、IP2> arp|ip|gre|esp|udp|tcp port_numarp|ip|gre|esp|udp|tcp port_num'此处一定注意任何过滤语法必须使用单引号包含，否则会有问题。 第二种简单语法，适用于主机的会话抓包，无源和目的地址之分 'udp and port 1812 and host client1 and ( client2 or client3 )'【例1】使用源地址和目的地址过滤抓包 # diag sniffer packet internal 'src host 192.168.0.130 and dsthost 192.1

10、68.0.1' 1192.168.0.130.3426 -> 192.168.0.1.80: syn 192.168.0.1.80 -> 192.168.0.130.3426: syn ack 192.168.0.130.3426 -> 192.168.0.1.80: ack 192.168.0.130.3426 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3426: ack 192.168.0.130.1035 -> 192.168.0.1.53: udp 26192.168

11、.0.130.1035 -> 192.168.0.1.53: udp 42192.168.0.130.1035 -> 192.168.0.1.53: udp 42192.168.0.130 -> 192.168.0.1: icmp: echo request192.168.0.130.3426 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3426: ack 192.168.0.130 -> 192.168.0.1: icmp: echo request【例2】使用源地址和目的地址、以及

12、TCP 关键词过滤抓两个地址间的TCP 流 量 # diag sniffer packet internal 'src host 192.168.0.130 and dst host192.168.0.1 and tcp' 1192.168.0.130.3569 -> 192.168.0.1.23: syn 192.168.0.1.23 -> 192.168.0.130.3569: syn ack 192.168.0.130.3569 -> 192.168.0.1.23: ack 【例3】使用地址（含源地址和目的地址）、以及ICMP 关键词过滤抓某个地 址间的

13、ICMP 流量 # diag sniffer packet internal 'host 192.168.0.130 and icmp' 1192.168.0.130 -> 192.168.0.1: icmp: echo request192.168.0.1 -> 192.168.0.130: icmp: echo reply【例4】使用ICMP 关键词抓所有地址间的ICMP 流量 FG-UTM # diagnose sniffer packet port8 'icmp'0. 10.7.10.100 -> 10.7.10.1: icmp: ec

14、ho request0. 10.7.10.1 -> 10.7.10.100: icmp: echo reply1. 10.7.10.100 -> 10.7.10.1: icmp: echo request1. 10.7.10.1 -> 10.7.10.100: icmp: echo reply【例5】使用地址（含源地址和目的地址）、以及TCP 的端口关键词过滤抓两 个地址间的TCP 对应端口流量 # diag sniffer packet internal 'host 192.168.0.130 or host 192.168.0.1and tcp and port

15、80' 1192.168.0.130.3625 -> 192.168.0.1.80: syn 192.168.0.1.80 -> 192.168.0.130.3625: syn ack 192.168.0.130.3625 -> 192.168.0.1.80: ack 192.168.0.130.3625 -> 192.168.0.1.80: psh ack 192.168.0.1.80 -> 192.168.0.130.3625: ack 【例6】使用接口、以及TCP 的端口关键词过滤抓多个地址间的TCP 非对应端 口流量，下例为不抓取23 端口的TCP

16、 流量 FG-UTM # diagnose sniffer packet any 'tcp and port !23'interfaces=anyfilters=tcp and port !23nr=8192,fr=1680,b_nr=4096,pg=40969. 10.7.10.100.1853 -> 10.7.10.1.443: syn 9. 10.7.10.1.443 -> 10.7.10.100.1853: syn ack 9. 10.7.10.100.1853 -> 10.7.10.1.443: ack 9. 10.7.10.100.1853 -&g

17、t; 10.7.10.1.443: psh ack 9. 10.7.10.1.443 -> 10.7.10.100.1853: ack 【例7】使用接口、以及IP 的协议端口proto 关键词过滤抓多个地址间的IP层对应端口流量，下例为抓取IP 层协议号为 1 的及ICMP 的流量 FG-UTM # diagnose sniffer packet port8 'ip proto 1'interfaces=port8filters=ip proto 1nr=8192,fr=1664,b_nr=4096,pg=40965. 10.7.10.100 -> 10.7.10.

18、1: icmp: echo request5. 10.7.10.1 -> 10.7.10.100: icmp: echo reply6. 10.7.10.100 -> 10.7.10.1: icmp: echo request3使用转化工具的方法 首先，由于UTM 自身不支持抓包信息的存储，必须使有其他工具进行抓包 信息的收集，本文档使有SecureCRT 进行文本收集。 其次，使用抓包命令的<verbose>级别为3，此时导出的文件才能被ethereal识别。 第三，要获取大量信息时，使有SecureCRT 工具应该通过远程数据连接（telnet或者时SSH 方式，使

19、用主机串口工作在这种模式下，由于串口速率的问题，无 法获得大量数据。 第四，使用单独提供的文件进行转换，主机必须提前perl 的解释程序和 Ethereal 软件，并在提供的转换使用的脚本文件中做必要的路径指向。 3.1 SecureCRT 的配置 正常安装SecureCRT 软件，并通过远程方式登陆到UTM 网关。 1、配置：文件接收工具栏TransferReceive ASCII2、选择配置文件存储的路径，文件格式为*.txt执行抓包命令： FG-UTM # diagnose sniffer packet any none 3其中3 代表抓包的输出文件支持经过转换为Ethereal 格式文件。 3.2 编辑使用的脚本文件 编辑提供的转换文件脚本fgt2eth.pl，修改脚本的第59 行，此处需要指明 Ethereal 的安装路径，下例中Ethereal 抓包分析软件安装在D 分区的根目录的 Ethereal 目录下，只需要指明安装目录即可，注意使用第65 行：my $text2pcapdirwin = "d:Ethere