如何使用pfSense捕获数据包

山姆是一家算法交易公司的网络分析师。他获得了UMKC的信息技术学士学位。

数据包捕获对于解决网络问题非常有用。通过查看捕获，您可以准确地看到线路上有哪些数据包，或者在某些情况下丢失了哪些数据包。

如果用户抱怨互联网“运行缓慢”，您可以运行跟踪来快速定位网络上的高带宽用户或寻找丢包源。分析捕获文件通常可以识别出在其他情况下可能不明显的问题。

pfSense有几个内置的功能，允许您捕获数据包。这些捕获可以通过web界面查看，也可以从系统中下载，并使用Wireshark等分析仪查看。

通过Web GUI运行捕获

在pfSense系统上捕获数据包的最简单方法是使用web界面。数据包捕获功能位于diagnostics（诊断）菜单中。

要启动基本捕获，请选择要运行捕获的接口(WAN/LAN)，然后单击start。当您准备停止捕获时，只需单击停止按钮。

捕获完成后，将发生两件事。将出现下载捕获文件的链接，显示窗口将显示捕获的输出。

对备选方案的解释

下面是数据包捕获页面上所有不同选项的解释。不是所有的方法都适用于您，但是其中一些方法对于减小捕获文件的大小是有用的。

您可以对捕获应用的过滤器越多，就越容易找到您要查找的内容。如果我不确定我到底在寻找什么，那么我会捕获所有的数据包并在Wireshark中对它们进行排序。

• 界面-在大多数情况下，我通常选择LAN接口进行捕获，以便查看内部IP地址。如果您试图追踪来自网络外部的流量，请改用WAN接口。
• 地址家庭-通常我把这一套留给“任何”。如果不想在捕获中看到任何IPv6流量，可以选择“仅IPv4”。
• 主机地址-如果要查找来自特定主机或网络的流量，可以过滤捕获。如果你不确定你要找的是什么，请留空。
• 港口-此字段允许您根据源或目标端口号筛选捕获。
• 包长度—缺省值0将捕获整个报文。有时，如果不需要查看有效负载，只捕获数据包的前68字节是很有用的。
• 计数—设置抓包个数。例如，如果将此值设置为100，则捕获将捕获与过滤器匹配的前100个包。不过你还是得按停止键。
• 的详细程度-此设置仅影响单击“停止”后捕获窗口中显示的详细程度。如果下载捕获文件，它将始终显示整个数据包，除非指定最大数据包长度。
• 反向DNS查找-我通常禁用这个设置，因为它使捕获更慢。如果需要的话，Wireshark还可以进行名称解析。

在Wireshark中加载捕获

使用web界面运行捕获时，可以将pcap文件直接下载到Wireshark中进行分析。在Wireshark中加载文件后，可以开始应用各种显示过滤器来定位要查找的数据包。

运行手动捕获

另一个捕获数据包的选项是从shell手动运行tcpdump。使用手动方法可以更好地控制捕获中使用的参数。

您可以使用任何SSH客户端连接到pfSense shell，但我喜欢使用Putty。连接到控制台后，选择选项8以访问shell。

运行tcpdump时，必须指定要在其上运行捕获的接口。pfSense会在您登录控制台时列出接口名称，通常与em0或rl1类似。

接口的名称基于支持网卡的内核模块。可以运行ifconfig手动列出系统上的接口。

Tcpdump命令示例

下载手动抓包文件

在运行手动捕获之后，可以使用几种不同的方法从pfSense下载捕获文件。我喜欢用一个叫做WinSCP的程序从pfSense下载文件。WinSCP是一个运行在Windows操作系统上的GUI程序，具有通过SSH下载文件的功能。

另一个选项是使用web界面下载文件。诊断菜单上有一个“执行命令”页面。在本页中，您将找到一个下载部分，该部分允许您在pfSense文件系统上指定要下载的文件。如果使用此方法，则必须指定文件的完整路径。

如果运行tcpdump而不更改目录，则默认情况下将在/root中创建文件。

就作者所知，这篇文章是准确而真实的。内容仅用于信息或娱乐目的，不替代个人咨询或商业、金融、法律或技术问题的专业意见。

©2011 Sam Kear

评论

山姆·基尔（作者）2011年10月29日，堪萨斯市：

谢谢邓布利多！另一个枢纽的好主意。

这个老家伙2011年10月29日俄亥俄州某地:

这是关于如何捕获数据包的非常有用的信息。您可能希望添加另一个中心，解释如何解释跟踪。

山姆·基尔（作者）2011年10月07日，堪萨斯城:

嘿，tamron，谢谢你的反馈!

塔姆隆2011年10月7日：

哇，很棒的文章，有很多有用的信息。投票！平雅！