Computers

So erfassen Sie Pakete mit pfSense

Autor: Laura McKinney
Erstelldatum: 5 April 2021
Aktualisierungsdatum: 17 November 2024
Anonim
pfSense - Captive Portal - Gästewlan - Hotelwlan
Video: pfSense - Captive Portal - Gästewlan - Hotelwlan

Inhalt

Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.

Paketerfassungen können bei der Behebung von Netzwerkproblemen äußerst nützlich sein. Wenn Sie sich eine Aufnahme ansehen, können Sie genau sehen, welche Pakete sich auf der Leitung befinden oder in einigen Fällen welche fehlen.

Wenn sich Benutzer beschweren, dass das Internet "langsam" läuft, können Sie eine Ablaufverfolgung ausführen, um Benutzer mit hoher Bandbreite im Netzwerk schnell zu finden oder nach Ursachen für Paketverlust zu suchen. Durch das Analysieren einer Erfassungsdatei können häufig Probleme identifiziert werden, die ansonsten möglicherweise nicht erkennbar sind.

pfSense verfügt über mehrere integrierte Funktionen, mit denen Sie Pakete erfassen können. Diese Aufnahmen können über die Weboberfläche angezeigt oder vom System heruntergeladen und mit einem Analysegerät wie Wireshark angezeigt werden.

Ausführen einer Erfassung über die Web-GUI

Die einfachste Methode zum Erfassen von Paketen auf einem pfSense-System ist die Verwendung der Weboberfläche. Die Paketerfassungsfunktion finden Sie im Diagnosemenü.


Um eine grundlegende Erfassung zu starten, wählen Sie die Schnittstelle (WAN / LAN) aus, auf der die Erfassung ausgeführt werden soll, und klicken Sie dann auf Start. Wenn Sie bereit sind, die Aufnahme zu stoppen, klicken Sie einfach auf die Schaltfläche Stopp.

Nach Abschluss der Erfassung passieren zwei Dinge. Ein Link zum Herunterladen der Erfassungsdatei wird angezeigt und im Anzeigefenster wird die Ausgabe der Erfassung angezeigt.

Erläuterungen zu den Optionen

Im Folgenden finden Sie Erläuterungen zu den verschiedenen Optionen auf der Seite zur Paketerfassung. Nicht alle von ihnen gelten für Sie, aber einige von ihnen sind nützlich, um die Größe der Erfassungsdatei zu reduzieren.

Je mehr Filter Sie auf Ihre Aufnahme anwenden können, desto einfacher ist es, das Gesuchte zu finden. Wenn ich nicht sicher bin, wonach ich genau suche, nehme ich alle Pakete auf und sortiere sie in Wireshark.


  • Schnittstelle - In den meisten Fällen wähle ich normalerweise die LAN-Schnittstelle für die Erfassung aus, damit ich die IP-Adressen sehen kann. Wenn Sie versuchen, Datenverkehr von außerhalb Ihres Netzwerks aufzuspüren, verwenden Sie stattdessen die WAN-Schnittstelle.
  • Adresse Familie - Normalerweise lasse ich dieses Set auf "Beliebig". Wenn Sie keinen IPv6-Verkehr in Ihrem Capture sehen möchten, können Sie nur IPv4 auswählen.
  • Gastgeber-Adresse - Wenn Sie nach Datenverkehr von einem bestimmten Host oder Netzwerk suchen, können Sie die Erfassung filtern. Wenn Sie nicht sicher sind, wonach Sie suchen, lassen Sie dieses Feld leer.
  • Hafen - In diesem Feld können Sie die Erfassung anhand der Quell- oder Zielportnummern filtern.
  • Paketlänge - Der Standardwert 0 erfasst das gesamte Paket. Manchmal ist es nützlich, nur die ersten 68 Bytes des Pakets zu erfassen, wenn Sie die Nutzdaten nicht sehen müssen.
  • Anzahl - Legt die Anzahl der zu erfassenden Pakete fest. Wenn Sie dies beispielsweise auf 100 setzen, erfasst die Erfassung die ersten 100 Pakete, die dem Filter entsprechen. Sie müssen jedoch immer noch Stopp drücken.
  • Detaillierungsgrad - Diese Einstellung wirkt sich nur darauf aus, wie viele Details im Aufnahmefenster angezeigt werden, nachdem Sie auf Stopp geklickt haben. Wenn Sie die Erfassungsdatei herunterladen, wird immer das gesamte Paket angezeigt, es sei denn, Sie haben eine maximale Paketlänge angegeben.
  • DNS-Suche umkehren - Normalerweise lasse ich diese Einstellung deaktiviert, da dadurch die Aufnahme viel langsamer wird. Wireshark kann bei Bedarf auch eine Namensauflösung durchführen.

Laden der Aufnahme in Wireshark

Wenn Sie ein Capture über die Weboberfläche ausführen, können Sie die pcap-Datei zur Analyse direkt in Wireshark herunterladen. Sobald Sie die Datei in Wireshark geladen haben, können Sie verschiedene Anzeigefilter anwenden, um die gesuchten Pakete zu finden.


Ausführen einer manuellen Erfassung

Eine weitere Option zum Erfassen von Paketen besteht darin, tcpdump manuell über die Shell auszuführen. Mit der manuellen Methode haben Sie mehr Kontrolle über die in der Erfassung verwendeten Parameter.

Sie können mit jedem SSH-Client eine Verbindung zur pfSense-Shell herstellen, aber ich verwende gerne Putty. Nachdem Sie eine Verbindung zur Konsole hergestellt haben, wählen Sie Option 8 aus, um auf die Shell zuzugreifen.

Wenn Sie tcpdump ausführen, müssen Sie die Schnittstelle angeben, auf der die Erfassung ausgeführt werden soll. pfSense listet die Schnittstellennamen auf, wenn Sie sich an der Konsole anmelden. Normalerweise ähneln sie em0 oder rl1.

Die Namen der Schnittstellen basieren auf dem Kernelmodul, das die Netzwerkkarte unterstützt. Sie können ifconfig ausführen, um die Schnittstellen auf dem System manuell aufzulisten.

Beispiel-Tcpdump-Befehle

BefehlErläuterung

tcpdump -i em0 -w capture.pcap

Erfassen Sie alle Pakete auf der Schnittstelle em0 und speichern Sie sie in der Datei capture.pcap.

tcpdump -i em0 host 192.168.1.1

Erfassen Sie Pakete auf em0 mit einer Quell- oder Zieladresse von 192.168.1.1. Zeigen Sie die Ausgabe auf dem Bildschirm an.

tcpdump -i rl0 http oder ftp

Erfassen Sie jeglichen HTTP- oder FTP-Verkehr auf rl0.

tcpdump -i rl0 icmp

Erfassen Sie nur icmp-Verkehr auf der rl0-Schnittstelle.

Herunterladen einer manuellen Erfassungsdatei

Es gibt verschiedene Methoden, mit denen Sie die Erfassungsdateien von pfSense herunterladen können, nachdem Sie eine manuelle Erfassung ausgeführt haben. Ich möchte die Dateien von pfSense mit einem Programm namens WinSCP herunterladen. WinSCP ist ein GUI-Programm, das unter Windows ausgeführt wird und Dateien über SSH herunterladen kann.

Eine weitere Option ist das Herunterladen der Dateien über die Weboberfläche. Im Diagnosemenü befindet sich eine Seite "Befehl ausführen". Auf dieser Seite finden Sie einen Download-Bereich, in dem Sie eine Datei im pfSense-Dateisystem angeben können, die heruntergeladen werden soll. Wenn Sie diese Methode verwenden, müssen Sie den vollständigen Pfad zur Datei angeben.

Wenn Sie tcpdump ausführen, ohne die Verzeichnisse zu ändern, werden die Dateien standardmäßig in / root erstellt.

Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
Vorheriger Artikel

So beheben Sie 192.168.1.1 und melden sich bei Ihrem Router an

Nächster Artikel

Was sind die Hauptfunktionen einer CPU?

Neue Publikationen.

Wir Empfehlen

Atumtek 4 in 1 Bluetooth Selfie Stick Stativ Bewertung
 Telefone

Atumtek 4 in 1 Bluetooth Selfie Stick Stativ Bewertung

John i t ein erfahrener freiberuflicher Inhalt chreiber mit einer viel eitigen Be chäftigung ge chichte.Der Atumtek 4 in 1 Bluetooth elfie tick i t eine tilvoll au ehende Option mit einigen ehr n...
Warnung: Öffnen Sie keine E-Mails mit diesen Merkmalen
 Internet

Warnung: Öffnen Sie keine E-Mails mit diesen Merkmalen

Margaret Minnick i t eit vielen Jahren eine Online-Autorin. ie chreibt über intere ante Dinge.Einige Leute öffnen jede E-Mail, die ie erhalten, ohne den Bewei en, da ie gefäl cht ind, z...