更新日期:

如何使用pfSense捕获数据包

作者:

山姆是一家算法交易公司的网络分析师。他获得了UMKC的信息技术学士学位。

数据包捕获对于解决网络问题非常有用。通过查看捕获,您可以准确地看到线路上有哪些数据包,或者在某些情况下丢失了哪些数据包。

如果用户抱怨互联网“运行缓慢”,您可以运行跟踪来快速定位网络上的高带宽用户或寻找丢包源。分析捕获文件通常可以识别出在其他情况下可能不明显的问题。

pfSense有几个内置的功能,允许您捕获数据包。这些捕获可以通过web界面查看,也可以从系统中下载,并使用Wireshark等分析仪查看。

通过Web GUI运行捕获

在pfSense系统上捕获数据包的最简单方法是使用web界面。数据包捕获功能位于diagnostics(诊断)菜单中。

要启动基本捕获,请选择要运行捕获的接口(WAN/LAN),然后单击start。当您准备停止捕获时,只需单击停止按钮。

捕获完成后,将发生两件事。将出现下载捕获文件的链接,显示窗口将显示捕获的输出。

pfSense可以通过web界面捕获报文。

pfSense可以通过web界面捕获报文。

对备选方案的解释

下面是数据包捕获页面上所有不同选项的解释。不是所有的方法都适用于您,但是其中一些方法对于减小捕获文件的大小是有用的。

您可以对捕获应用的过滤器越多,就越容易找到您要查找的内容。如果我不确定我到底在寻找什么,那么我会捕获所有的数据包并在Wireshark中对它们进行排序。

  • 界面-在大多数情况下,我通常选择LAN接口进行捕获,以便查看内部IP地址。如果您试图追踪来自网络外部的流量,请改用WAN接口。
  • 地址家庭-通常我把这一套留给“任何”。如果不想在捕获中看到任何IPv6流量,可以选择“仅IPv4”。
  • 主机地址-如果要查找来自特定主机或网络的流量,可以过滤捕获。如果你不确定你要找的是什么,请留空。
  • 港口-此字段允许您根据源或目标端口号筛选捕获。
  • 包长度—缺省值0将捕获整个报文。有时,如果不需要查看有效负载,只捕获数据包的前68字节是很有用的。
  • 计数—设置抓包个数。例如,如果将此值设置为100,则捕获将捕获与过滤器匹配的前100个包。不过你还是得按停止键。
  • 的详细程度-此设置仅影响单击“停止”后捕获窗口中显示的详细程度。如果下载捕获文件,它将始终显示整个数据包,除非指定最大数据包长度。
  • 反向DNS查找-我通常禁用这个设置,因为它使捕获更慢。如果需要的话,Wireshark还可以进行名称解析。

在Wireshark中加载捕获

使用web界面运行捕获时,可以将pcap文件直接下载到Wireshark中进行分析。在Wireshark中加载文件后,可以开始应用各种显示过滤器来定位要查找的数据包。

Wireshark是分析数据包捕获的好方法。

Wireshark是分析数据包捕获的好方法。

运行手动捕获

另一个捕获数据包的选项是从shell手动运行tcpdump。使用手动方法可以更好地控制捕获中使用的参数。

您可以使用任何SSH客户端连接到pfSense shell,但我喜欢使用Putty。连接到控制台后,选择选项8以访问shell。

运行tcpdump时,必须指定要在其上运行捕获的接口。pfSense会在您登录控制台时列出接口名称,通常与em0或rl1类似。

接口的名称基于支持网卡的内核模块。可以运行ifconfig手动列出系统上的接口。

pfSense控制台菜单。

pfSense控制台菜单。

Tcpdump命令示例

命令 解释

tcpdump-i em0-w capture.pcap

捕获接口em0上的所有数据包,并将其保存到文件Capture.pcap中。

tcpdump-i em0主机192.168.1.1

在em0上捕获源地址或目标地址为192.168.1.1的数据包。在屏幕上显示输出。

Tcpdump -i rl0 HTTP或FTP

捕获rl0上的任何HTTP或FTP流量。

tcpdump-i rl0 icmp

仅捕获rl0接口上的icmp流量。

在pfSense外壳中运行的Tcpdump。

在pfSense外壳中运行的Tcpdump。

下载手动抓包文件

在运行手动捕获之后,可以使用几种不同的方法从pfSense下载捕获文件。我喜欢用一个叫做WinSCP的程序从pfSense下载文件。WinSCP是一个运行在Windows操作系统上的GUI程序,具有通过SSH下载文件的功能。

另一个选项是使用web界面下载文件。诊断菜单上有一个“执行命令”页面。在本页中,您将找到一个下载部分,该部分允许您在pfSense文件系统上指定要下载的文件。如果使用此方法,则必须指定文件的完整路径。

如果运行tcpdump而不更改目录,则默认情况下将在/root中创建文件。

您可以使用web界面从pfSense下载文件。

您可以使用web界面从pfSense下载文件。

就作者所知,这篇文章是准确而真实的。内容仅用于信息或娱乐目的,不替代个人咨询或商业、金融、法律或技术问题的专业意见。

©2011 Sam Kear

评论

山姆·基尔(作者)2011年10月29日,堪萨斯市:

谢谢邓布利多!另一个枢纽的好主意。

这个老家伙2011年10月29日俄亥俄州某地:

这是关于如何捕获数据包的非常有用的信息。您可能希望添加另一个中心,解释如何解释跟踪。

山姆·基尔(作者)2011年10月07日,堪萨斯城:

嘿,tamron,谢谢你的反馈!

塔姆隆2011年10月7日:

哇,很棒的文章,有很多有用的信息。投票!平雅!

相关文章

Baidu