Come catturare i pacchetti che usano pfSense


Cattura dei pacchetti può essere molto utile per la risoluzione dei problemi problemi di rete. Come una cattura consente di vedere esattamente quali pacchetti sono sul filo, o in alcuni casi fallo.

Se gli utenti si lamentano che Internet è "esecuzione lenta" può eseguire una traccia per individuare rapidamente gli utenti a banda larga nella rete o trovare fonti di perdita di pacchetti. L'analisi di un file di acquisizione spesso in grado di identificare i problemi che altrimenti non sarebbero evidenti.




PfSense ha costruito in diverse caratteristiche che permettono di catturare i pacchetti. Queste trappole possono essere visualizzati attraverso l'interfaccia web o scaricati dal sistema e visualizzati con un analizzatore come Wireshark.

Esegui cattura attraverso l'interfaccia Web grafica

Il modo più semplice per catturare i pacchetti nel metodo pfSense è quello di utilizzare l'interfaccia web. Il pacchetto funzione di blocco si trova nel menu di diagnostica.

Per avviare l'acquisizione di base Selezionare l'interfaccia (WAN/LAN) per eseguire la cattura, e quindi fare clic su Avvia. Quando si è pronti a interrompere l'acquisizione, fare clic sul pulsante di arresto.

Dopo la cattura di due cose accadrà, un link per scaricare il file sembra catturare, viene visualizzata l'uscita della finestra e la cattura dello schermo.

Opzioni Dichiarazioni

Le diverse opzioni nella pagina di cattura dei pacchetti sono spiegate. Non tutti questi è interessato, ma alcuni di essi sono utili per ridurre la dimensione del file di acquisizione.

Altri filtri possono essere applicati per catturare più facile sarà trovare ciò che serve. Se non sono esattamente sicuro di quello che sto cercando di catturare tutti i pacchetti e quindi ordinare attraverso di loro in Wireshark.

Fine Frontale - Nella maggior parte dei casi tendono a selezionare l'interfaccia LAN per l'acquisizione in modo che si può vedere su indirizzi IP. Se si sta cercando di rintracciare il traffico proveniente dall'esterno della rete invece utilizza l'interfaccia WAN.

Indirizzo Famiglia - solito lascio questo insieme a "qualsiasi". Se non volete vedere tutto il traffico IPv6 nella cattura, è possibile selezionare solo IPv4.

Host Indirizzo - Se siete alla ricerca di traffico proveniente da un determinato host o rete, è possibile filtrare la cattura. Se non siete sicuri di quello che si sta cercando di lasciare questo spazio vuoto.

Porto - Questo campo consente di filtrare l'acquisizione in base ai numeri di porta di origine o di destinazione.

Packet Lunghezza - Il valore predefinito 0 catturerà l'intero pacchetto. A volte è utile per catturare solo il primo pacchetto di 68 byte se non è necessario vedere il payload.

Contare - Imposta il numero di pacchetti da catturare. Ad esempio, se impostato a catturare 100 cattura i primi 100 pacchetti che corrispondono al filtro. Hai ancora a premere fermata però.

Livello - Questa impostazione influisce solo sul livello di dettaglio nella finestra di acquisizione dopo aver fatto clic Stop. Se si scarica il file di cattura visualizzerà sempre l'intero pacchetto, a meno di una lunghezza massima di pacchetto specificato.

Reverse lookup DNS - solito lascio questa impostazione off, perché rende la cattura molto più lento. Wireshark può anche fare la risoluzione dei nomi, se necessario.

Caricamento Wireshark Capture

Quando viene catturato attraverso l'interfaccia web è possibile scaricare il file direttamente Wireshark pcap per l'analisi. Una volta che il file è stato caricato in Wireshark può iniziare ad applicare i vari filtri di visualizzazione per identificare i pacchetti che si sta cercando.

Eseguire una cattura manuale

Un'altra opzione di acquisto è di eseguire i pacchetti tcpdump manualmente dalla shell. Usando il metodo manuale si dà più controllo sui parametri utilizzati nella cattura.

È possibile collegare al guscio pfSense con un client SSH, ma mi piace usare Putty. Dopo aver collegato la console, selezionare l'opzione 8 per accedere alla shell.

Esecuzione tcpdump deve specificare l'interfaccia per catturare. Lista PfSense dei nomi delle interfacce per accedere alla console, di solito sono simili a Em0 o RL1.

Nomi di interfaccia sono basati sul modulo kernel che supporta la scheda di rete. È possibile utilizzare ifconfig per elencare manualmente le interfacce del sistema.

esempi di comandi tcpdump

Comando Spiegazione tcpdump -w -i em0 capture.pcap Cattura tutti i pacchetti di em0 e salvare il file capture.pcap. tcpdump -i em0 ospitante 192.168.1.1 Packet cattura e M0 con un indirizzo di origine o di destinazione di 192.168.1.1. Vedere l'uscita sullo schermo. tcpdump -i http o ftp rl0 Catturare qualsiasi HTTP o FTP traffico rl0. tcpdump -i rl0 icmp Cattura solo il traffico ICMP in interfaccia rl0.

scaricare un file per acquisire manuale

Ci sono alcuni metodi che si possono usare per scaricare il file di acquisizione pfSense dopo aver eseguito una cattura manuale. Mi piace per scaricare il file da pfSense utilizzando un programma chiamato WinSCP. WinSCP è un programma con interfaccia grafica che gira su Windows, si ha la possibilità di scaricare i file su SSH.

Oppure download di file utilizzando l'interfaccia web. Nel menu sono una pagina di diagnostica "comando Esegui". Su questa pagina troverete una sezione di download, è possibile specificare un file nel pfSense file system da scaricare. Se si utilizza questo metodo, è necessario specificare il percorso completo del file.

Se si esegue file tcpdump senza cambiare la directory verrà creato nella root/default.

Traffico Network Monitor con tocco

(0)
(0)

Commenti - 0

Non ci sono commenti

Aggiungi un commento

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caratteri rimanenti: 3000
captcha