Вопрос: Как захватить трафик для анализа средствами DFL?

Ответ: 

DFL имеет встроенные средства для захвата трафика. Данный функционал доступен как через веб интерфейс так и через CLI. Через CLI вы можете получить доступ к более расширенной фильтрации при захвате трафика чем через веб интерфейс.

В качестве примера будет захватывать обмен трафиком между wan1 DFL и хостом в интернете с IP адресом 8.8.8.8

Пример для web интерфейса.

Пройдите в web интерфейсе Status → Tools → Packet Capture, затем кликните на Capture Options

С настройками по умолчанию на DFL можно сделать только очень маленький дамп трафика. Размер файла дампа можно задать в поле Capture Size. При захвате трафика обязательно увеличьте размер файла хотя бы до 32 MiB.

Настроем фильтры для захвата трафика.

В поле IP Address укажите 8.8.8.8 , а в поле Interface WAN1. Задайте размер файла дампа трафика в поле Capture Size 32 MiB, затем нажмите кнопку Start Capture.

Подождите какое то время (если нужный для захвата трафик постоянно идет), либо выполните действие с хостом который отправляет трафик для его генерации.

После чего нажмите кнопку Stop All, после чего у вас появиться кнопка download, при помощи которой вы сможете скачать файл дампа на ПК. Нажмите кнопку Download для скачивания дампа. После того, как вы скачали файл, обязательно очистите память кнопкой Cleanup.

Пример для CLI.

Выполните следующую команду в cli:

pcapdump -start wan1 -ip=8.8.8.8 -size=32000

Дождитесь прохождения нужного вам трафика, затем выполните команду:

pcapdump -stop wan1

Сохраним дамп из памяти в файл следующей командой:

pcapdump -write wan1 -filename=wan1.pcap

Теперь данный файл вы можете скачать через веб интерфейс либо при помощи scp

Пример команды SCP для скачивания дампа по ssh на OS Linux:

scp admin@192.168.10.1:wan1.pcap /tmp/

admin@192.168.10.1:wan1.pcap – где admin - имя пользователя, 192.168.10.1 — IP адрес DFL на котором открыто управление по ssh, :wan1.pcap - путь до файла дампа, /tmp/ – куда на локальном ПК сохранить файл.

При использование программы putty security copy (pscp.exe) под Windows синтаксис будет аналогичный, будет отличаться только путь куда сохранять файл (например вместо /tmp/ будет c:\tmp (внимание папка на которую указывает путь должна быть создана заранее))

После скачивания файла, очистить память от дампа можно командой:

pcapdump -cleanup


При захвате трафика обратите внимания на фильтры, чем лучше заданы фильтры, тем меньше лишнего трафика попадет в дамп трафика, тем проще будет его анализ. Открыть файл дампа трафика на ПК можно при помощи программы Wireshark.

Через cli можно не только захватывать трафик, но и просто отобразить его без сохранения на устройстве, просто для понимания, доходит ли нужный трафик до DFL или отправляется с DFL.

Пример команды:

pcapdump -start wan1 -ip=8.8.8.8 -out-nocap

При выполнении такой команды и отправки ping на указанный хост в cli вы будете видеть:

8.8.8.8 IHL:20 DataLen:12 TTL:255 Proto:ICMP
ICMP Echo request ID:28794 Seq:0

wan1: IP 8.8.8.8->192.168.177.174 IHL:20 DataLen:12 TTL:45 Proto:ICMP
ICMP Echo reply ID:28794 Seq:0


ВНИМАНИЕ, не выводите в CLI трафик которого проходит МНОГО, иначе для остановки дампа вам придется установить еще одну ssh сессию и завершить дамп уже с нее, либо в дополнение используйте опцию -count= ограничив количество захваченных пакетов в рамках данного дампа.

Все возможности команды pcadump вы можете изучить в cli reference guide, а краткую справку вы можете получить в cli командой help pcapdump.