Інструкція користувача

При роботі з модулем Захоплення мережевих пакетів доступні наступні функції:

Далі ми детальніше розглянемо налаштування захоплення пакетів.

З'єднання — інтерфейс, для якого виконується захоплення пакетів. Зазвичай, якщо виникають проблеми з маршрутизатором, необхідно збирати трафік з активного підключення до Інтернету (це може бути WAN-інтерфейс інтернет-провайдера або підключення через USB-модем). Якщо для підключення до інтернет-провайдера використовується тунельне з’єднання (PPTP, L2TP, PPPoE), трафік необхідно збирати з цього інтерфейсу. У разі проблем із проходженням трафіку або переадресацією портів рекомендується збирати трафік як з WAN-інтерфейсу (наприклад, інтернет-провайдера), так і з інтерфейсу домашньої мережі.

Місце зберігання — вказує місце для збереження файлу у форматі Wireshark (розширення *.pcapng), що містить захоплені пакети. Якщо вибрано зовнішній USB-накопичувач, з’являється додаткове поле Тека зберігання, де необхідно вказати шлях до папки на зовнішньому USB-накопичувачі. Якщо вибрано Внутрішня пам'ять, файл буде збережено у внутрішній пам’яті маршрутизатора. Якщо до маршрутизатора підключено зовнішній USB-накопичувач із достатнім об’ємом вільної пам’яті (принаймні стільки ж, скільки й внутрішньої), рекомендується використовувати його, щоб забезпечити збереження більшого обсягу корисної інформації.

Розмір буфера — встановлює розмір буфера для тимчасового зберігання пакетів у бібліотеці захоплення (або ядрі, залежно від платформи). Мінімальне значення — 64 КБ, максимальне — [розмір оперативної пам'яті в КБ]/16. Наприклад, для моделі KN-1711 максимальний розмір буфера може становити 128*1024/16 = 8192 КБ. Рекомендується встановити максимально можливе значення для конкретної моделі, щоб зібрати найповніший дамп пакетів.

Максимальний розмір файлу — максимальний розмір вихідного файлу із захопленими пакетами. Розмір вказується в кілобайтах. Якщо цей параметр встановлено, захоплення виконується в кільцевому буфері та зберігається у вихідний файл наприкінці сеансу захоплення. Цей параметр потрібен для пристроїв, які не мають USB-накопичувача. Мінімальне значення — 64 КБ, максимальне — [розмір оперативної пам'яті в КБ]/16. Наприклад, для моделі KN-1711 максимальний розмір буфера може становити 128*1024/16 = 8192 КБ.

Максимальний розмір пакета — вказує максимальний обсяг даних, який буде збережено з отриманого кадру. Параметр завжди повертає налаштоване значення. Значення за замовчуванням — 1518, допустимий діапазон — [1...16380].

Тип трафіку, що захоплюється — визначає, який тип трафіку буде захоплюватися (вхідний/вихідний/обидва). Значення за замовчуванням — Вхідний та вихідний. Вибране налаштування завжди зберігається в конфігурації.

Фільтр захоплення — вказує рядок, що описує фільтр пакетів у форматі фільтра пакетів Berkeley. Синтаксис фільтра такий самий, як і в Wireshark.

Приклади використання фільтрів:

ip host x.x.x.x — фільтр, який захоплює лише пакети з адресою x.x.x.x

tcp dst port 80 — фільтр, який захоплює лише пакети HTTP (порт призначення tcp 80)

ip proto \icmp — фільтр, який захоплює лише запити ICMP (ping)

udp port 53 — фільтр, який захоплює запити та відповіді, якими обмінюються з DNS-сервером

udp port 67 or udp port 68 or arp — фільтр, що фіксує обмін запитами DHCP та ARP

Тайм-аут — встановлює значення тайм-ауту під час читання пакета з інтерфейсу, в мілісекундах. Завжди повертає налаштоване значення. Значення за замовчуванням — 1000. Допустимий діапазон — [10...10000].

Нерозбірливий режим — вмикає логіку для запису всіх пакетів, включно з тими, що не призначені для вибраного інтерфейсу. У звичайному режимі такі пакети відкидаються.

Наприклад, розглянемо захоплення мережевих пакетів з ПК у домашній мережі для відстеження запитів ICMP між цим ПК та ресурсом в Інтернеті. У цьому випадку захоплення пакетів слід виконувати з інтерфейсу Домашньої мережі та зовнішнього (WAN) інтерфейсу маршрутизатора, підключеного до Інтернету (у нашому прикладі це інтерфейс інтернет-провайдера).

IP-адреса ПК в локальній мережі — 192.168.4.34, а IP-адреса на WAN-інтерфейсі інтернет-провайдера — 46.72.188.17

Інтернет-ресурс, на який ми надсилаємо ping-запити, — 8.8.8.8 (у нашому прикладі це публічний DNS-сервер Google).

Необхідно створити два фільтри (для інтерфейсів Домашня мережа та Інтернет-провайдер):

1. У локальній мережі потрібно фільтрувати пакети з IP-адресою 192.168.4.34 за протоколом ICMP.

Фільтр буде таким: ip host 192.168.4.34 and ip proto \icmp

2. На WAN-інтерфейсі потрібно фільтрувати пакети за IP-адресою 8.8.8.8, на яку ПК локальної мережі надсилає запити ICMP, та за протоколом ICMP.

Фільтр буде таким: ip host 8.8.8.8 and ip proto \icmp

В результаті буде створено два правила, які потрібно увімкнути, натиснувши кнопку Start.

Після запуску захоплення мережевого трафіку маршрутизатор почне збирати пакети, які відповідають зазначеним фільтрам. Коли модуль запущено, потрібно з комп’ютера в локальній мережі надіслати ping-запит на вказаний інтернет-ресурс:

ping 8.8.8.8 -t

Після кількох спроб ping (вдалих чи невдалих) зупиніть захоплення пакетів, натиснувши кнопку Stop. Щоб переглянути файл *.pcapng, скористайтеся аналізатором мережевого трафіку Wireshark.