第十章 FortiGate 用Sniffer 命令抓包分析说明文档-FGT、系统管理、培训.pdfVIP

更多资料 欢迎您的光临! FortiGate 用Sniffer 命令抓包分析说明文档 更多： 说明： 本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照 相关手册。 在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工 具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结 果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收 文件。 1．基本命令 命令: diagnose sniffer packet. # diag sniffer packet interface filter verbose count 2 ．参数说明 2.1 interface interface 指定实际的接口名称，可以是真实的物理接口名称，也可以是 VLAN 的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。 例： ＃diag sniffer packet port1 //表示抓物理接口为port1 的所有数据包 ＃diag sniffer packet any //表示抓所有接口的所有数据包 ＃diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口，其逻辑 接口名为port1-v10，此时表示抓port1-v10 接口的所有数据包，此处一定注意一个问题， 由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空 格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。 2.2 verbose verbose 指控制抓取数据包的内容 1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和 数据包 的Sequence numbers 为系统缺省设置 2: print header and data from ip of packets, //抓取IP数据包的详细信息，包 括IP数据的 payload。 3: print header and data from ethernet of packets) ，//抓取IP数据包的详 文章来源于 感谢阅读！讨论地址：/forum-10-1.html - 1 - 更多资料 欢迎您的光临! 细信息，包 括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件 格式 例： 【例1】 抓所有接口（interface=any）的任何数据包（filter=none），级别1 （verbose＝1） FG-UTM # dia sni pa any none 1 interfaces=[any] filters=[none] nr=2048,fr=1584,b_nr=1024,pg=4096 3.710103 .1029 - .53: udp 40 【例2】 抓所有接口（interface=any）的任何数据包（filter=none），级别2 （verbose＝2），会显示数据包的payload信息。 # diag sniffer packet internal none 2 1 .22 - 0.1144: psh 2867817048 ack 1951061933 0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E..\..@.@.*k 0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad x..jXtJ.. 0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P..\eb. 0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 .8.?.%U..$ 0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 ..y..-X..\ 0x0050 bd9c b649 5318 7fc5 c415 5a59 ...ISZY 【例3】 抓所有接口（interface=any）的任何数据包（filter=none），级别3 （verbose＝3），会显示数据包的payload信息。 FG-UTM # dia sni pa any none 3 interfaces=[any] filters=[none]