Сниффинг

3 min read

Сниффинг

В EcoRouterOS можно включить сниффинг трафика на физических портах устройства. Трафик записывается в файл с расширением PCAPNG, и хранится во внутреннем хранилище. Имя файла формируется автоматически и содержит имя порта, оно не может быть изменено.

Для старта сниффинга трафика в режиме администрирования enable-exec (ecorouter#) введите команду: service dump port <NAME> start, где NAME — имя порта.

По умолчанию для каждого физического порта установлен лимит на запись в PCAPNG файл в 1000 пакетов, после сбора 1000 пакетов в файл синффинг траффика будет автоматически остановлен. Сниффинг можно также остановить принудительно командой: service dump port <NAME> stop, где NAME — имя порта.

Для того, чтобы изменить лимит по умолчанию воспользуйтесь командой: service dump port <NAME> limit (mbyte <1-100> | pkts <1-1000000>), где NAME — имя порта, а ключевые слова mbyte и pkts указывают тип лимита, лимит может быть задан в:

  • мегабайтах — размер PCAPNG файла,
  • количестве пакетов — в PCAPNG файле.

Вернуть лимит к значению по умолчанию можно командой service dump port <NAME> limit unset или командой no service dump port <NAME> limit, где NAME — имя порта.

При старте сниффинга есть возможность задать фильтры для записи трафика, чтобы в конечный PCAPNG файл попал трафик включающий только определённый IP адрес, MAC адрес или протокол. Чтобы задать фильтр воспользуйтесь командой: service dump port <NAME> filter (ether <WORD> | ip A.B.C.D | mac XXXX.XXXX.XXXX ), где NAME — имя порта, а ключевые слова ether, ip и mac указывают тип фильтра:

  • A.B.C.D — интересующий IP адрес (может быть как в качестве источника так и получателя в пакете),
  • XXXX.XXXX.XXXX — интересующий MAC адрес (может быть как в качестве источника так и получателя во фрейме),
  • WORD — Поле EtherType во фрейме укажет интересующий протокол, значение вводится в формате hex в пределах 0x600-0xffff (воспользуйтесь подсказкой в CLI, чтобы увидеть предустановленные фильтры для EtherType).

Максимальное кол-во созданных фильтров для каждого порта — 10, между ними будет работать логическое правило «ИЛИ». Для удаления правила воспользуйтесь командой: no service dump port te0 filter <1-10>, где <1-10> — номер фильтра, который можно узнать с помощью команды: show dump port <NAME> stats, где NAME — имя порта.

Пример вывода:

ecorouter#show dump port ge1 stats
Stats for port:ge1
  limit: 1000 packets, current 0
  filter 1: enable(mac: any, ipv4: 1.1.1.1, ether type: any)
  filter 2: enable(mac: any, ipv4: 2.2.2.2, ether type: any)

После остановки сниффера сохранённые .pcapng файлы можно посмотреть с помощью команды: show files dump.

Для дальнейшего анализа .pcapng файлов присутствует возможность отправить их на удалённый сервер или ПК с помощью протокола SSH, воспользовавшись командой: copy scp dump <FILENAME> <URL> [mgmt] [port <22-65535>] [vr <VR_NAME|default>] [vrf <VRF_NAME>], где FILENAME — имя PCAPNG файла (воспользуйтесь командой show files dump), а URL — конечный адрес получателя с указанием имени пользователя и пути в виде admin@192.168.0.1/admin/reports/. Можно указать дополнительные параметры: mgmt — интерфейс управления в качестве исходящего, port — номер SSH порта на сервере, vr — имя виртуального маршрутизатора или маршрутизатор по умолчанию, vrf — имя VRF.

 ВНИМАНИЕ! Включение сниффинга трафика на высокоскоростных физических портах снижает производительность устройства! Используйте это средство для отладки подконтрольно и с осторожностью, при необходимости воспользуйтесь силами технической поддержки вендора.

Graph View