如何使用pfSense捕获数据包

山姆是一家算法交易公司的网络分析师。他在UMKC获得了信息技术学士学位。

包捕获对于排除网络问题非常有用。通过查看捕获，您可以确切地看到线路上有哪些数据包，或者在某些情况下哪些数据包丢失了。

如果用户抱怨互联网“运行缓慢”，您可以运行跟踪以快速定位网络上的高带宽用户或查找数据包丢失源。分析捕获文件通常可以识别其他情况下可能不明显的问题。

pfSense具有多个内置功能，允许您捕获数据包。这些捕获可以通过web界面查看，也可以从系统下载并使用Wireshark等分析仪查看。

通过Web GUI运行捕获

pfSense系统中最简单的捕获数据包的方法是使用web界面。在诊断菜单中可以找到抓包特性。

要启动基本捕获，请选择要运行捕获的接口（WAN/LAN），然后单击开始。当您准备停止捕获时，只需单击停止按钮。

捕获完成后，会发生两件事。将出现一个下载捕获文件的链接，显示窗口将显示捕获的输出。

期权解释

下面是对数据包捕获页面上所有不同选项的解释。并非所有这些方法都适用于您，但其中一些方法对于减小捕获文件的大小非常有用。

对你的捕捉应用越多的过滤器，就越容易找到你想要的东西。如果我不确定我要找的到底是什么，那么我就会捕获所有的数据包并用Wireshark对它们进行排序。

• 接口-在大多数情况下，我通常选择LAN接口捕获，这样我可以看到内部的IP地址。如果您试图跟踪来自网络外部的流量，请使用WAN接口。
• 家庭地址-通常我把这个设置为“Any”。如果你不想在捕获中看到任何IPv6流量，你可以只选择IPv4。
• 主机地址-如果你正在寻找来自特定主机或网络的流量，你可以过滤捕获。如果你不确定你要找的是什么，就不要写。
• 港口城市—根据源端口号或目的端口号过滤捕获信息。
• 数据包长度-默认值0将捕获整个数据包。有时，如果不需要查看有效负载，只捕获数据包的前68个字节是很有用的。
• 数-设置要捕获的数据包数。例如，如果将其设置为100，则捕获将捕获与筛选器匹配的前100个数据包。不过你还是得按停止键。
• 详细程度-此设置仅影响点击停止后捕获窗口中显示的详细信息。如果您下载了捕获文件，它将始终显示整个数据包，除非您指定了最大数据包长度。
• 反向DNS查找-我通常会禁用此设置，因为它会使捕获速度慢得多。Wireshark还可以根据需要进行名称解析。

在Wireshark中加载Capture

当您使用web界面运行捕获时，您可以直接下载pcap文件到Wireshark进行分析。一旦在Wireshark中加载了该文件，就可以开始应用各种显示过滤器来定位要查找的数据包。

运行手动捕获

捕获数据包的另一个选项是从shell手动运行tcpdump。使用手动方法可以更好地控制捕获中使用的参数。

您可以使用任何SSH客户端连接到pfSense shell，但我喜欢使用Putty。连接到控制台后，选择选项8访问shell。

在运行tcpdump时，必须指定要在其上运行捕获的接口。当你登录到控制台时，pfSense会列出接口名称，通常它们类似于em0或rl1。

接口的名称以支持网卡的内核模块为基础。可以使用ifconfig命令手动列出系统中的接口。

Tcpdump命令示例

下载手动捕获文件

在运行手动捕获后，可以使用两种不同的方法从pfSense下载捕获文件。我喜欢使用名为WinSCP的程序从pfSense下载文件。WinSCP是一个运行在Windows上的GUI程序，它能够通过SSH下载文件。

另一个选择是使用web界面下载文件。在诊断菜单上有一个“执行命令”页面。在这个页面上，您可以找到一个下载部分，允许您在pfSense文件系统上指定要下载的文件。如果使用此方法，则必须指定文件的完整路径。

如果运行tcpdump而不改变目录，默认情况下文件将创建在/root目录下。

据作者所知，这篇文章准确、真实。内容仅用于信息或娱乐目的，不能替代商业、金融、法律或技术事务中的个人顾问或专业建议。

©2011 Sam Kear

评论

山姆Kear(作家)2011年10月29日，堪萨斯城:

谢谢邓布利多!对于另一个集线器来说也是个好主意。

这老家伙2011年10月29日，在俄亥俄州某处：

这是关于如何捕获数据包的非常有用的信息。您可能需要添加另一个解释如何解释跟踪的中心。

山姆Kear(作家)2011年10月7日来自堪萨斯市：

嘿，塔姆隆，谢谢你的反馈！

tamron2011年10月07日:

哇，很棒的文章，有很多有用的信息。投票!萍丫!