飞塔防火墙抓数据包详解.doc

FortiGate 用Sniffer 命令抓包分析说明文档说明： 本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照 相关手册。 在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工 具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结 果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收 文件。 1基本命令 命令: diagnose sniffer packet.# diag sniffer packet 2参数说明 2.1 interface 指定实际的接口名称，可以是真实的物理接口名称，也可以是 VLAN 的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。 例： diag sniffer packet port1 /表示抓物理接口为port1 的所有数据包 diag sniffer packet any /表示抓所有接口的所有数据包 diag sniffer packet port1-v10 /当在物理接口建立一个VLAN 子接口，其逻辑 接口名为port1-v10，此时表示抓port1-v10 接口的所有数据包，此处一定注意一个问题， 由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空 格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。 2.2 verbose 指控制抓取数据包的内容 1: print header of packets, /只抓取IP的原地址、源端口、目的地址、目的端口和数据包 的Sequence numbers 为系统缺省设置 2: print header and data from ip of packets, /抓取IP数据包的详细信息，包括IP数据的 payload。 3: print header and data from ethernet of packets) ，/抓取IP数据包的详细信息，包 括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件 格式 例： 【例1】 抓所有接口（interface=any）的任何数据包（filter=none），级别1（verbose1） FG-UTM # dia sni pa any none 1interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963.710103 127.0.0.1.1029 - 127.0.0.1.53: udp 40【例2】 抓所有接口（interface=any）的任何数据包（filter=none），级别2（verbose2），会显示数据包的payload信息。 # diag sniffer packet internal none 2 1192.168.0.1.22 - 192.168.0.30.1144: psh 2867817048 ack 19510619330x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E.*k.0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .x.jXtJ.0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P.eb.0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 .8.?.%U.$.0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 .y.-X.0x0050 bd9c b649 5318 7fc5 c415 5a59 .IS.ZY【例3】 抓所有接口（interface=any）的任何数据包（filter=none），级别3（verbose3），会显示数据包的payload信息。 FG-UTM # dia sni pa any none 3interfaces=anyfilters=nonenr=2048,fr=1584,b_nr=1024,pg=40963.770099 127.0.0.1.1029 - 127.0.0.1.53: udp 400x0000 0004 0304 0000 0000 9200 0000 2a00 08002.3 count 指使有抓包命令抓取的数据包的数量 例： # diag sniffer packet internal none 1 3192.168.0.30.1156 - 192.168.0.1.80: syn 2164883624192.168.0.1.80 - 192.168.0.30.1156: syn 3792179542 ack 2164883625192.168.0.30.1156 - 192.168.0.1.80: ack 3792179543说明：抓取internal 接口，不使有任何过滤器（及none）级别为1，抓取3个数据包。此处，注意“none”必须要，代表过滤器的类型；注意“1”必须要， 否则系统会自动识别为参数。 2.4 filter 抓包文件过滤器 语法： src|dst host src|dsthost arp|ip|gre|esp|udp|tcp port_numarp|ip|gre|esp|udp|tcp port_num此处一定注意任何过滤语法必须使用单引号包含，否则会有问题。 第二种简单语法，适用于主机的会话抓包，无源和目的地址之分 udp and port 1812 and host client1 and ( client2 or client3 )【例1】使用源地址和目的地址过滤抓包 # diag sniffer packet internal src host 192.168.0.130 and dsthost 192.168.0.1 1192.168.0.130.3426 - 192.168.0.1.80: syn 1325244087192.168.0.1.80 - 192.168.0.130.3426: syn 3483111189 ack 1325244088192.168.0.130.3426 - 192.168.0.1.80: ack 3483111190192.168.0.130.3426 - 192.168.0.1.80: psh 1325244088 ack 3483111190192.168.0.1.80 - 192.168.0.130.3426: ack 1325244686192.168.0.130.1035 - 192.168.0.1.53: udp 26192.168.0.130.1035 - 192.168.0.1.53: udp 42192.168.0.130.1035 - 192.168.0.1.53: udp 42192.168.0.130 - 192.168.0.1: icmp: echo request192.168.0.130.3426 - 192.168.0.1.80: psh 1325244686 ack 3483111190192.168.0.1.80 - 192.168.0.130.3426: ack 1325244735192.168.0.130 - 192.168.0.1: icmp: echo request【例2】使用源地址和目的地址、以及TCP 关键词过滤抓两个地址间的TCP 流 量 # diag sniffer packet internal src host 192.168.0.130 and dst host192.168.0.1 and tcp 1192.168.0.130.3569 - 192.168.0.1.23: syn 1802541497192.168.0.1.23 - 192.168.0.130.3569: syn 4238146022 ack 1802541498192.168.0.130.3569 - 192.168.0.1.23: ack 4238146023【例3】使用地址（含源地址和目的地址）、以及ICMP 关键词过滤抓某个地 址间的ICMP 流量 # diag sniffer packet internal host 192.168.0.130 and icmp 1192.168.0.130 - 192.168.0.1: icmp: echo request192.168.0.1 - 192.168.0.130: icmp: echo reply【例4】使用ICMP 关键词抓所有地址间的ICMP 流量 FG-UTM # diagnose sniffer packet port8 icmp0.340847 10.7.10.100 - 10.7.10.1: icmp: echo request0.340869 10.7.10.1 - 10.7.10.100: icmp: echo reply1.340982 10.7.10.100 - 10.7.10.1: icmp: echo request1.340997 10.7.10.1 - 10.7.10.100: icmp: echo reply【例5】使用地址（含源地址和目的地址）、以及TCP 的端口关键词过滤抓两 个地址间的TCP 对应端口流量 # diag sniffer packet internal host 192.168.0.130 or host 192.168.0.1and tcp and port 80 1192.168.0.130.3625 - 192.168.0.1.80: syn 2057246590192.168.0.1.80 - 192.168.0.130.3625: syn 3291168205 ack 2057246591192.168.0.130.3625 - 192.168.0.1.80: ack 3291168206192.168.0.130.3625 - 192.168.0.1.80: psh 2057246591 ack 3291168206192.168.0.1.80 - 192.168.0.130.3625: ack 2057247265【例6】使用接口、以及TCP 的端口关键词过滤抓多个地址间的TCP 非对应端 口流量，下例为不抓取23 端口的TCP 流量 FG-UTM # diagnose sniffer packet any tcp and port !23interfaces=anyfilters=tcp and port !23nr=8192,fr=1680,b_nr=4096,pg=40969.323698 10.7.10.100.1853 - 10.7.10.1.443: syn 40428105659.323786 10.7.10.1.443 - 10.7.10.100.1853: syn 177080791 ack 40428105669.324070 10.7.10.100.1853 - 10.7.10.1.443: ack 1770807929.326695 10.7.10.100.1853 - 10.7.10.1.443: psh 4042810566 ack 1770807929.326765 10.7.10.1.443 - 10.7.10.100.1853: ack 4042810644【例7】使用接口、以及IP 的协议端口proto 关键词过滤抓多个地址间的IP层对应端口流量，下例为抓取IP 层协议号为 1 的及ICMP 的流量 FG-UTM # diagnose sniffer packet port8 ip proto 1interfaces=port8filters=ip proto 1nr=8192,fr=1664,b_nr=4096,pg=40965.701978 10.7.10.100 - 10.7.10.1: icmp: echo request5.702056 10.7.10.1 - 10.7.10.100: icmp: echo reply6.694490 10.7.10.100 - 10.7.10.1: icmp: echo request3使用转化工具的方法 首先，由于UTM 自身不支持抓包信息的存储，必须使有其他工具进行抓包 信息的收集，本文档使有SecureCRT 进行文本收集。 其次，使用抓包命令的级别为3，此时导出的文件才能被ethereal识别。 第三，要获取大量信息时，使有SecureCRT 工具应该通过远程数据连接（telnet或者时SSH 方式，使用主机串口工作在这种模式下，由于串口速率的问题，无 法获得大量数据。 第四，使用单独提供的文件进行转换，主机必须提前perl 的解释程序和 Ethereal 软件，并在提供的转换使用的脚本文件中做必要的路径指向。 3.1 SecureCRT 的配置 正常安装SecureCRT 软件，并通过远程方式登陆到UTM 网关。 1、配置：文件接收工具栏TransferReceive ASCII2、选择配置文件存储的路径，文件格式为*.txt执行抓包命令： FG-UTM # diagnose sniffer packet any none 3其中3 代表抓包的输出文件支持经过转换为Ethereal 格式文件。 3.2 编辑使用的脚本文件 编辑提供的转换文件脚本fgt2eth.pl，修改脚本的第59 行，此处需要指明 Ethereal 的安装路径，下例中Ethereal 抓包分析软件安装在D 分区的根目录的 Ethereal 目录下，只需要指明安装目录即可，注意使用第65 行