欢迎来到天天文库
浏览记录
ID:53118036
大小:33.00 KB
页数:5页
时间:2020-04-01
《飞塔防火墙抓数据包详解.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、FortiGate用Sniffer命令抓包分析说明文档说明:本文档针对FortiGate产品的后台抓包命令使用进行说明,相关详细命令参照相关手册。在使用后台抓包分析命令时,建议大家使用如SecureCRT这样的远程管理工具,通过telnet或者ssh的方式登陆到网关,由于UTM本身不支持将抓包的结果保存在设备自身的存储空间,因此需要借助SecureCRT这样远程管理工具接收文件。1.基本命令命令:diagnosesnifferpacket.#diagsnifferpacket<'filter'>2、se>2.参数说明2.1interface指定实际的接口名称,可以是真实的物理接口名称,也可以是VLAN的逻辑接口名称,当使用“any”关键字时,表示抓全部接口的数据包。例:#diagsnifferpacketport1//表示抓物理接口为port1的所有数据包#diagsnifferpacketany//表示抓所有接口的所有数据包#diagsnifferpacketport1-v10//当在物理接口建立一个VLAN子接口,其逻辑接口名为port1-v10,此时表示抓port1-v10接口的所3、有数据包,此处一定注意一个问题,由于抓包命令中的空格使用来区分参数字段的,但是在逻辑接口创建时,接口名称支持空格,考虑到今后抓包分析的方便,建议在创建逻辑接口时不要带有空格。2.2verbose指控制抓取数据包的内容1:printheaderofpackets,//只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequencenumbers为系统缺省设置2:printheaderanddatafromipofpackets,//抓取IP数据包的详细信息,包括IP数据的payload。3:printhe4、aderanddatafromethernetofpackets),//抓取IP数据包的详细信息,包括IP数据的payload,导出到文本文件可以使有专用的转换工具,转换为Ethereal支持文件格式例:【例1】抓所有接口(interface=any)的任何数据包(filter=none),级别1(verbose=1)FG-UTM#diasnipaanynone1interfaces=[any]filters=[none]nr=2048,fr=1584,b_nr=1024,pg=40963.710103127.0.0.1.1025、9->127.0.0.1.53:udp40【例2】抓所有接口(interface=any)的任何数据包(filter=none),级别2(verbose=2),会显示数据包的payload信息。#diagsnifferpacketinternalnone21192.168.0.1.22->192.168.0.30.1144:psh2867817048ack19510619330x00004510005c8eb1400040062a6bc0a80001E....@.@.*k....0x0010c0a8001e00160478aa6、ef6a58744ad7ad.......x..jXtJ..0x002050180b5c8ab900009819880bf46562a8P...........eb.0x00303eaf38043fee25558deb24dadd0dc684>.8.?.%U..$.....0x004008a97907202d5898a85cfacb8c0af9e5..y..-X........0x0050bd9cb64953187fc5c4155a59...IS.....ZY【例3】抓所有接口(interface=any)的任何数据包(fi7、lter=none),级别3(verbose=3),会显示数据包的payload信息。FG-UTM#diasnipaanynone3interfaces=[any]filters=[none]nr=2048,fr=1584,b_nr=1024,pg=40963.770099127.0.0.1.1029->127.0.0.1.53:udp400x00000004030400000000920000002a0008002.3count指使有抓包命令抓取的数据包的数量例:#diagsnifferpacketinterna8、lnone13192.168.0.30.1156->192.168.0.1.80:syn2164883624192.168.0.1.80->192.168.0.30.1156:syn3792179542ack2164883625192.168.0.30.1156
2、se>2.参数说明2.1interface指定实际的接口名称,可以是真实的物理接口名称,也可以是VLAN的逻辑接口名称,当使用“any”关键字时,表示抓全部接口的数据包。例:#diagsnifferpacketport1//表示抓物理接口为port1的所有数据包#diagsnifferpacketany//表示抓所有接口的所有数据包#diagsnifferpacketport1-v10//当在物理接口建立一个VLAN子接口,其逻辑接口名为port1-v10,此时表示抓port1-v10接口的所
3、有数据包,此处一定注意一个问题,由于抓包命令中的空格使用来区分参数字段的,但是在逻辑接口创建时,接口名称支持空格,考虑到今后抓包分析的方便,建议在创建逻辑接口时不要带有空格。2.2verbose指控制抓取数据包的内容1:printheaderofpackets,//只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequencenumbers为系统缺省设置2:printheaderanddatafromipofpackets,//抓取IP数据包的详细信息,包括IP数据的payload。3:printhe
4、aderanddatafromethernetofpackets),//抓取IP数据包的详细信息,包括IP数据的payload,导出到文本文件可以使有专用的转换工具,转换为Ethereal支持文件格式例:【例1】抓所有接口(interface=any)的任何数据包(filter=none),级别1(verbose=1)FG-UTM#diasnipaanynone1interfaces=[any]filters=[none]nr=2048,fr=1584,b_nr=1024,pg=40963.710103127.0.0.1.102
5、9->127.0.0.1.53:udp40【例2】抓所有接口(interface=any)的任何数据包(filter=none),级别2(verbose=2),会显示数据包的payload信息。#diagsnifferpacketinternalnone21192.168.0.1.22->192.168.0.30.1144:psh2867817048ack19510619330x00004510005c8eb1400040062a6bc0a80001E....@.@.*k....0x0010c0a8001e00160478aa
6、ef6a58744ad7ad.......x..jXtJ..0x002050180b5c8ab900009819880bf46562a8P...........eb.0x00303eaf38043fee25558deb24dadd0dc684>.8.?.%U..$.....0x004008a97907202d5898a85cfacb8c0af9e5..y..-X........0x0050bd9cb64953187fc5c4155a59...IS.....ZY【例3】抓所有接口(interface=any)的任何数据包(fi
7、lter=none),级别3(verbose=3),会显示数据包的payload信息。FG-UTM#diasnipaanynone3interfaces=[any]filters=[none]nr=2048,fr=1584,b_nr=1024,pg=40963.770099127.0.0.1.1029->127.0.0.1.53:udp400x00000004030400000000920000002a0008002.3count指使有抓包命令抓取的数据包的数量例:#diagsnifferpacketinterna
8、lnone13192.168.0.30.1156->192.168.0.1.80:syn2164883624192.168.0.1.80->192.168.0.30.1156:syn3792179542ack2164883625192.168.0.30.1156
此文档下载收益归作者所有