抓包分析说明文档

抓包分析说明文档

说明：

本文档针对ZXSEC US产品的后台抓包命令使用进行说明，相关详细命令参照相关手册。

在使用后台抓包分析命令时，建议大家使用如SecureCRT这样的远程管理工具，通过telnet或者ssh的方式登陆到网关，由于UTM本身不支持将抓包的结果保存在设备自身的存储空间，因此需要借助SecureCRT这样远程管理工具接收文件。

1．基本命令

命令: diagnose sniffer packet.

# diag sniffer packet <'filter'>

2．参数说明

2.1 interface

指定实际的接口名称，可以是真实的物理接口名称，也可以是VLAN的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。

例：

＃diag sniffer packet port1//表示抓物理接口为port1的所有数据包

＃diag sniffer packet any//表示抓所有接口的所有数据包

＃diag sniffer packet port1-v10//当在物理接口建立一个VLAN子接口，其逻辑接口名为port1-v10，此时表示抓port1-v10接口的所有数据包，此处一定注意一个问题，由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。

2.2 verbose

指控制抓取数据包的内容

1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers 为系统缺省设置

2: print header and data from ip of packets, //抓取IP数据包的详细信息，包括IP数据的payload。

3: print header and data from ethernet of packets) ，//抓取IP数据包的详细信息，包括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件格式

例：

【例1】抓所有接口（interface=any）的任何数据包（filter=none），级别1（verbose＝1）

ZXSEC-US # dia sni pa any none 1

interfaces=[any]

filters=[none]

nr=2048,fr=1584,b_nr=1024,pg=4096

3.710103 127.0.0.1.1029 -> 127.0.0.1.53: udp 40

【例2】抓所有接口（interface=any）的任何数据包（filter=none），级别2（verbose＝2），会显示数据包的payload信息。

# diag sniffer packet internal none 2 1

192.168.0.1.22 -> 192.168.0.30.1144: psh 2867817048 ack 1951061933

0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E..\..@.@.*k.... 0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .......x..jXtJ.. 0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P..\.........eb. 0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 >.8.?.%U..$..... 0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 ..y..-X..\...... 0x0050 bd9c b649 5318 7fc5 c415 5a59 ...IS.....ZY 【例3】抓所有接口（interface=any）的任何数据包（filter=none），级别3（verbose＝3），会显示数据包的payload信息。

ZXSEC-US # dia sni pa any none 3

interfaces=[any]

filters=[none]

nr=2048,fr=1584,b_nr=1024,pg=4096

3.770099 127.0.0.1.1029 -> 127.0.0.1.53: udp 40

0x0000 0004 0304 0000 0000 9200 0000 2a00 0800

2.3 count

指使有抓包命令抓取的数据包的数量

例：

# diag sniffer packet internal none 1 3

192.168.0.30.1156 -> 192.168.0.1.80: syn 2164883624

192.168.0.1.80 -> 192.168.0.30.1156: syn 3792179542 ack 2164883625 192.168.0.30.1156 -> 192.168.0.1.80: ack 3792179543

说明：抓取internal接口，不使有任何过滤器（及none）级别为1，抓取3个数据包。此处，注意“none”必须要，代表过滤器的类型；注意“1”必须要，否则系统会自动识别为参数。

2.4 filter

抓包文件过滤器

语法：'[[src|dst] host] [[src|dst]

host] [[arp|ip|gre|esp|udp|tcp] [port_num]]

[[arp|ip|gre|esp|udp|tcp] [port_num]]'

此处一定注意任何过滤语法必须使用单引号包含，否则会有问题。

第二种简单语法，适用于主机的会话抓包，无源和目的地址之分

'udp and port 1812 and host client1 and \( client2 or client3 \)' 【例1】使用源地址和目的地址过滤抓包

# diag sniffer packet internal 'src host 192.168.0.130 and dst

host 192.168.0.1' 1

192.168.0.130.3426 -> 192.168.0.1.80: syn 1325244087

192.168.0.1.80 -> 192.168.0.130.3426: syn 3483111189 ack 1325244088 192.168.0.130.3426 -> 192.168.0.1.80: ack 3483111190

192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244088 ack 3483111190 192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244686

192.168.0.130.1035 -> 192.168.0.1.53: udp 26

192.168.0.130.1035 -> 192.168.0.1.53: udp 42