modified on 21 lip 2010 at 09:51 ••• 17 721 views

Narzędzia/Sniffer Pakietów

Z MikroTik Wiki

Spis treści

Informacje Ogólne

Wprowadzenie

Sniffer pakietów jest usługą, wychwytującą wszystkie dane podróżujące przez sieć, które można wychwycić (w sieci, w której znajdują się switche, komputer może wyłapać tylko dane adresowane do niego, lub przez niego przechodzące).

Specyfikacja

Wymagany pakiet: system

Wymagana licencja: Level1

Poziom menu: /tool sniffer

Standardy i technologie: DNS

Wykorzystanie sprzętu: Niewielkie

Opis

To narzędzie pozwala Ci 'wąchać' (nasłuchiwać i zapisywać) pakiety przechodzące przez router (i każdy inny ruch, gdy nie ma switchingu w sieci) i przeglądać je przy użyciu odpowiedniego oprogramowania.

Konfiguracja Sniffera Pakietów

Poziom menu: /tool sniffer

Opis własności

file-limit (integer; default: 10) - limit pliku w KB. Sniffer zostanie zatrzymanu po osiągnięciu tego limitu

file-name (text; default: "") - nazwa pliku, w którym zostaną zapisane wychwycone pakiety

filter-address1 (IP address/netmask:port; default: 0.0.0.0/0:0-65535) - kryteria wyboru pakietów, które będą przetworzone

filter-address2 (IP address/netmask:port; default: 0.0.0.0/0:0-65535) - kryteria wyboru pakietów, które będą przetworzone

filter-protocol (all-frames | ip-only | mac-only-no-ip; default: ip-only) - grupa protokołów, które będą filtrowane

  • all-frames - wychwytuj wszystkie pakiety
  • ip-only - wychwytuj tylko pakiety IP
  • mac-only-no-ip - wychwytuj wszystkie pakiety oprócz pakietów IP

filter-stream (yes | no; default: yes) - określa, czy ignorować wychwycone pakiety, których przeznaczeniem jest serwer strumieni

interface (name | all; default: all) - nazwa interfejsu, który odbiera pakiety

memory-limit (integer; default: 10) - maksymalna ilość pamięci, która może być wykorzystana. Sniffer zostanie zatrzymany po osiągnięciu tego limitu

only-headers (yes | no; default: no) - określa, czy zapisywać w pamięci tylko nagłówki pakietów

running (read-only: yes | no; default: no) - jeśli sniffer jest uruchomiony, wartość jest równa yes, w przeciwnym wypadku no

streaming-enabled (yes | no; default: no) - czy wysyłać wychwycone pakiety na zdalny serwer

streaming-server (IP address; default: 0.0.0.0) - odbiornik strumienia Tazmen Sniffer Protocol (TZSP)

Uwagi

filter-address1 i filter-address2 używane są do określenia dwóch uczestników komunikacji (będą dopasowane tylko w przypadku, gdy jeden z nich będzie adresem źródłowym, a drugi docelowym pakietu). Te parametry brane są pod uwagę tylko w przypadku, gdy parametr filter-protocol ma wartość ip-only.

Nie tylko Wireshark i Packetyzer mogą odbierać potok sniffera, ale również program MikroTika trafr, który działa na każdym komputerze IA32 Linux i zapisuje odebrane pakiety w formacie pliku libpcap.

Przykład

W poniższym przykładzie dodany zostanie streaming-server, potok zostanie włączony, file-name będzie miał wartość test i sniffer pakietów zostanie włączony i wyłączony po jakimś czasie:

[admin@MikroTik] tool sniffer>set streaming-server=10.0.0.241 \
\... streaming-enabled=yes file-name=test
[admin@MikroTik] tool sniffer> prin
            interface: all
         only-headers: no
         memory-limit: 10
            file-name: "test"
           file-limit: 10
    streaming-enabled: yes
     streaming-server: 10.0.0.241
        filter-stream: yes
      filter-protocol: ip-only
      filter-address1: 0.0.0.0/0:0-65535
      filter-address2: 0.0.0.0/0:0-65535
              running: no
[admin@MikroTik] tool sniffer>start
[admin@MikroTik] tool sniffer>stop

Uruchamianie Sniffera Pakietów

Specyfikacja

Nazwa polecenia: /tool sniffer start, /tool sniffer stop, /tool sniffer save

Opis

Powyższe polecenia używane są do kontolowania czasu trwania operacji sniffera pakietów. Polecenie start używane jest do uruchomienia/resetu snifferingu, stop - zatrzymuje. Aby zapisać wychwycone pakiety do określonego pliku używane jest polecenie save.

Przykład

W poniższym przykładzie sniffer pakietów zostanie uruchomiony, a po jakimś czasie zatrzymany:

admin@MikroTik] tool sniffer> start
[admin@MikroTik] tool sniffer> stop

Niżej wychwycone pakiety zostaną zapisane do pliku o nazwie test:

[admin@MikroTik] tool sniffer> save file-name=test
[admin@MikroTik] tool sniffer> /file print
  # NAME                           TYPE         SIZE       CREATION-TIME
  0 test                           unknown      1350       apr/07/2003 16:01:52

[admin@MikroTik] tool sniffer>

Wychwycone Pakiety

Poziom menu: /tool sniffer packet

Opis

To menu pozwala na przeglądanie listy wychwyconych pakietów

Opis własności

data (read-only: text) - dane zawarte w pakiecie

dst-address (read-only: IP address) - docelowy adres IP

dst-mac-address (MAC address) - docelowy adres MAC

fragment-offset (read-only: integer) - offset fragmentu IP

identification (read-only: integer) - identyfikacja IP

interface (read-only: name) - nazwa interfejsu, na którym został wychwycony pakiet

ip-header-size (read-only: integer) - rozmiar nagłówka IP

ip-packet-size (read-only: integer) - rozmiar pakietu IP

ip-protocol (ip | icmp | igmp | ggp | ipencap | st | tcp | egp | pup | udp | hmp | xns-idp | rdp | iso-tp4 | xtp | ddp | idrp-cmtp | gre | esp | ah | rspf | vmtp | ospf | ipip | encap) - nazwa/numer protokołu IP

  • ip - Internet Protocol
  • icmp - Internet Control Message Protocol
  • igmp - Internet Group Management Protocol
  • ggp - Gateway-Gateway Protocol
  • ipencap - IP Encapsulated in IP
  • st - st datagram mode
  • tcp - Transmission Control Protocol
  • egp - Exterior Gateway Protocol
  • pup - Parc Universal packet Protocol
  • udp - User Datagram Protocol
  • hmp - Host Monitoring Protocol
  • xns-idp - Xerox ns idp
  • rdp - Reliable Datagram Protocol
  • iso-tp4 - ISO Transport Protocol class 4
  • xtp - Xpress Transfer Protocol
  • ddp - Datagram Delivery Protocol
  • idpr-cmtp - idpr Control Message Transport
  • gre - General Routing Encapsulation
  • esp - IPsec ESP protocol
  • ah - IPsec AH protocol
  • rspf - Radio Shortest Path First
  • vmtp - Versatile Message Transport Protocol
  • ospf - Open Shortest Path First
  • ipip - IP encapsulation (protocol 4)
  • encap - IP encapsulation (protocol 98)

protocol (read-only: ip | arp | rarp | ipx | ipv6) - nazwa/numer protokołu ethernetowego

  • ip - Internet Protocol
  • arp - Address Resolution Protocol
  • rarp - Reverse Address Resolution Protocol
  • ipx - Internet Packet exchange protocol
  • ipv6 - Internet Protocol next generation
size (read-only: integer) -rozmiar pakietu

src-address (IP address) - źródłowy adres IP

src-mac-address (MAC address) - źródłowy adres MAC

time (read-only: time) - czas nadejścia pakietu

tos (read-only: integer) - typ usługi IP

ttl (read-only: integer) - czas życia IP

Przykład

W przykładzie poniżej pokazane jest, jak uzyskać listę wychwyconych pakietów:

[admin@MikroTik] tool sniffer packet> print
  # TIME    INTERFACE SRC-ADDRESS             DST-ADDRESS            IP-.. SIZE
  0 0.12    ether1    10.0.0.241:1839         10.0.0.181:23 (telnet) tcp   46
  1 0.12    ether1    10.0.0.241:1839         10.0.0.181:23 (telnet) tcp   40
  2 0.12    ether1    10.0.0.181:23 (telnet)  10.0.0.241:1839        tcp   78
  3 0.292   ether1    10.0.0.181              10.0.0.4               gre   88
  4 0.32    ether1    10.0.0.241:1839         10.0.0.181:23 (telnet) tcp   40
  5 0.744   ether1    10.0.0.144:2265         10.0.0.181:22 (ssh)    tcp   76
  6 0.744   ether1    10.0.0.144:2265         10.0.0.181:22 (ssh)    tcp   76
  7 0.744   ether1    10.0.0.181:22 (ssh)     10.0.0.144:2265        tcp   40
  8 0.744   ether1    10.0.0.181:22 (ssh)     10.0.0.144:2265        tcp   76
[admin@MikroTik] tool sniffer packet>

Protokoły Sniffera Pakietów

Poziom menu: /tool sniffer protocol

Opis

W tym menu możesz przejrzeć wszystkie rodzaje protokołów, jakie zostały wychwycone.

Opis własności

bytes (integer) - całkowita ilość bajtów danych

ip-protocol (ip | icmp | igmp | ggp | ipencap | st | tcp | egp | pup | udp | hmp | xns-idp | rdp | iso-tp4 | xtp | ddp | idrp-cmtp | gre | esp | ah | rspf | vmtp | ospf | ipip | encap) - nazwa/numer protokołu IP

  • ip - Internet Protocol
  • icmp - Internet Control Message Protocol
  • igmp - Internet Group Management Protocol
  • ggp - Gateway-Gateway Protocol
  • ipencap - IP Encapsulated in IP
  • st - st datagram mode
  • tcp - Transmission Control Protocol
  • egp - Exterior Gateway Protocol
  • pup - Parc Universal packet Protocol
  • udp - User Datagram Protocol
  • hmp - Host Monitoring Protocol
  • xns-idp - Xerox ns idp
  • rdp - Reliable Datagram Protocol
  • iso-tp4 - ISO Transport Protocol class 4
  • xtp - Xpress Transfer Protocol
  • ddp - Datagram Delivery Protocol
  • idpr-cmtp - idpr Control Message Transport
  • gre - General Routing Encapsulation
  • esp - IPsec ESP protocol
  • ah - IPsec AH protocol
  • rspf - Radio Shortest Path First
  • vmtp - Versatile Message Transport Protocol
  • ospf - Open Shortest Path First
  • ipip - IP encapsulation
  • encap - IP encapsulation

packets (integer) - ilość pakietó

port (name) - port protokołu TCP/UDP

protocol (read-only: ip | arp | rarp | ipx | ipv6) - nazwa/numer protokołu ethernetowego

  • ip - Internet Protocol
  • arp - Address Resolution Protocol
  • rarp - Reverse Address Resolution Protocol
  • ipx - Internet Packet exchange protocol
  • ipv6 - Internet Protocol next generation

share (integer) - specyficzny typ dzielonego ruchu do calego ruchu w bajtach

Przykład

[admin@MikroTik] tool sniffer protocol> print
  # PROTOCOL IP-PR... PORT          PACKETS   BYTES   SHARE
  0 ip                              77        4592    100 %
  1 ip       tcp                    74        4328    94.25 %
  2 ip       gre                    3         264     5.74 %
  3 ip       tcp      22 (ssh)      49        3220    70.12 %
  4 ip       tcp      23 (telnet)   25        1108    24.12 %

[admin@MikroTik] tool sniffer protocol>

Host Sniffera Pakietów

Poziom menu: /tool sniffer host

Opis

To menu wyświetla listę hostów uczestniczących w wymianie danych, które zostały wychwycone.

Opis własności

address (read-only: IP address) - adres IP hosta

peek-rate (read-only: integer/integer) - maksymalna prędkość danych otrzymywanych/wysyłanych

rate (read-only: integer/integer) - aktualna prędkość danych otrzymywanych/wysyłanych

total (read-only: integer/integer) - całkowita ilość pakietów otrzymywanych/wysyłanych

Przykład

W poniższym przykładzie wyświetlona jest lista hostów:

[admin@MikroTik] tool sniffer host> print                                                  
  # ADDRESS       RATE         PEEK-RATE           TOTAL            
  0 10.0.0.4      0bps/0bps    704bps/0bps         264/0            
  1 10.0.0.144    0bps/0bps    6.24kbps/12.2kbps   1092/2128        
  2 10.0.0.181    0bps/0bps    12.2kbps/6.24kbps   2994/1598        
  3 10.0.0.241    0bps/0bps    1.31kbps/4.85kbps   242/866          

[admin@MikroTik] tool sniffer host>

Połączenia Sniffera Pakietów

Poziom menu: /tool sniffer connection

Opis

Tutaj możesz uzyskać listę połączeń, które były obserwowane w czasie wychwytywania pakietów.

Opis własności

active (read-only: yes | no) - jeśli yes, połączenie jest aktywne

bytes (read-only: integer/integer) - bajty przesłane w konkretnym połączeniu

dst-address (read-only: IP address) - adred docelowy

mss (read-only: integer/integer) - maksymalny rozmiar segmentu (Maximum Segment Size)

resends (read-only: integer/integer) - ilość pakietów przesłanych w konkretnym połączeniu

src-address (read-only: IP address) - adres docelowy

Przykład

Przykład pokazuje, jak uzyskać listę połączeń:

[admin@MikroTik] tool sniffer connection> print                                
Flags: A - active 
  #   SRC-ADDRESS       DST-ADDRESS             BYTES     RESENDS   MSS      
  0 A 10.0.0.241:1839   10.0.0.181:23 (telnet)  6/42      60/0      0/0      
  1 A 10.0.0.144:2265   10.0.0.181:22 (ssh)     504/252   504/0     0/0

[admin@MikroTik] tool sniffer connection>

Sniffing adresu MAC

Możesz również przeglądać źródłowy i docelowy adres MAC. Aby to zrobić, najpierw zatrzymaj sniffer, jeżeli jest uruchomiony, i wybierz odpowiedni interfejs:

[admin@MikroTik] tool sniffer> stop
[admin@MikroTik] tool sniffer> set interface=bridge1
[admin@MikroTik] tool sniffer> start
[admin@MikroTik] tool sniffer> print
            interface: bridge1
         only-headers: no
         memory-limit: 10
            file-name:
           file-limit: 10
    streaming-enabled: no
     streaming-server: 0.0.0.0
        filter-stream: yes
      filter-protocol: ip-only
      filter-address1: 0.0.0.0/0:0-65535
      filter-address2: 0.0.0.0/0:0-65535
              running: yes
[admin@MikroTik] tool sniffer>

Teraz możesz uzyskać źródłowy i docelowy adres MAC:

[admin@MikroTik] tool sniffer packet> print detail
 0 time=0 src-mac-address=00:0C:42:03:02:C7 dst-mac-address=00:30:4F:08:3A:E7
   interface=bridge1 src-address=10.5.8.104:1125
   dst-address=10.1.0.172:3987 (winbox-tls) protocol=ip ip-protocol=tcp
   size=146 ip-packet-size=146 ip-header-size=20 tos=0 identification=5088
   fragment-offset=0 ttl=126

 1 time=0 src-mac-address=00:30:4F:08:3A:E7 dst-mac-address=00:0C:42:03:02:C7
   interface=bridge1 src-address=10.1.0.172:3987 (winbox-tls)
   dst-address=10.5.8.104:1125 protocol=ip ip-protocol=tcp size=253
   ip-packet-size=253 ip-header-size=20 tos=0 identification=41744
   fragment-offset=0 ttl=64

 2 time=0.071 src-mac-address=00:0C:42:03:02:C7
   dst-mac-address=00:30:4F:08:3A:E7 interface=bridge1
   src-address=10.5.8.104:1125 dst-address=10.1.0.172:3987 (winbox-tls)
   protocol=ip ip-protocol=tcp size=40 ip-packet-size=40 ip-header-size=20
   tos=0 identification=5089 fragment-offset=0 ttl=126

 3 time=0.071 src-mac-address=00:30:4F:08:3A:E7
   dst-mac-address=00:0C:42:03:02:C7 interface=bridge1
   src-address=10.1.0.172:3987 (winbox-tls) dst-address=10.5.8.104:1125
   protocol=ip ip-protocol=tcp size=213 ip-packet-size=213 ip-header-size=20
   tos=0 identification=41745 fragment-offset=0 ttl=64
   
-- [Q quit|D dump|down]