介绍

数据包嗅探器是一种工具,它可以捕获和分析进入、离开或通过路由器的数据包。包嗅探在诊断网络或防止网络上的安全攻击时非常有用。

启用了客户机到客户机转发的无线客户机之间的单播通信对嗅探器工具是不可见的。使用启用硬件卸载的网桥处理的数据包也将不可见(像未知的单播、广播雷竞技官网网站下载和多播流量这样的淹没数据包可能可见)。

包嗅探器配置

l雷竞技RouterOS内嵌式嗅探器支持对各种协议的报文进行抓包。

在下面的例子中,我们将配置嗅探器来匹配通过ether1接口的数据包:

[admin@雷竞技网站MikroTik] > /tool/sniffer/start interface=ether1 [admin@MikroTik] > /tool/sniffer/stop [admin@MikroTik] > /tool/sniffer/save file-name=/flash/test。pcap 雷竞技网站MikroTik] > file print where name~"test"列:name, TYPE, SIZE, create - time # name TYPE SIZE create - time 9 flash/test。Pcap文件3696 dec/04/2019 10:48:16

您可以从文件段下载捕获的数据包。然后你可以用a包分析器,例如Wireshark分析文件:

请注意,嗅闻的数据包将在10分钟内可用,如果您永久需要它们,请设置“file-name”来直接保存,或者像前面描述的那样发出“save”命令。


子菜单:/工具嗅探器

财产 描述
文件大小限制整数10 . . 4294967295(简约);默认值:1000年简约 文件大小限制。当达到限制时,嗅探器将停止。
文件名称字符串;默认值: 保存嗅探包的文件名。
filter-cpu整数;默认值: CPU核心用作过滤器。
filter-ip-addressIp /mask[, Ip /mask](最多16项);默认值: 最多16个IP地址作为过滤器。
filter-dst-ip-addressIp /mask[, Ip /mask](最多16项);默认值:

最多16个目的地址作为过滤器。
filter-src-ip-addressIp /mask[, Ip /mask](最多16项);默认值:

最多16个IP源地址作为过滤器。
filter-ipv6-addressIpv6 /mask[, Ipv6 /mask](最多16项);默认值: 最多16个IPv6地址作为过滤器。
filter-dst-ipv6-addressIpv6 /mask[, Ipv6 /mask](最多16项);默认值: 最多16个IPv6目的地址作为过滤器。
filter-src-ipv6-addressIpv6 /mask[, Ipv6 /mask](最多16项);默认值: 最多16个IPv6源地址作为过滤器。
filter-mac-addressMac /mask[, Mac /mask](最多16项);默认值: 最多16个MAC地址和MAC掩码用作过滤器。
filter-dst-mac-addressMac /mask[, Mac /mask](最多16项);默认值: 最多16个MAC目的地址和MAC掩码用作过滤器。
filter-src-mac-addressMac /mask[, Mac /mask](最多16项);默认值: 最多16个MAC源地址和MAC掩码作为过滤器。
filter-port[!port[,port](最多16项);默认值: 最多16个以逗号分隔的端口,用作过滤器。还有一个预定义的端口名称列表,如ssh和telnet。
filter-dst-port[!port[,port](最多16项);默认值: 最多16个以逗号分隔的目的端口,用作过滤器。还有一个预定义的端口名称列表,如ssh和telnet。
filter-src-port[!port[,port](最多16项);默认值: 最多16个以逗号分隔的源端口,用作过滤器。还有一个预定义的端口名称列表,如ssh和telnet。
filter-ip-protocol[![,protocol](最多16项);默认值: 最多16个以逗号分隔的IP/IPv6协议作为过滤器。IP协议(可以用协议号代替协议名):
  • ipsec-ah—IPsec AH协议
  • ipsec-esp- IPsec ESP协议
  • ddp-数据报发送协议
  • 出路-外部网关协议
  • ggp-gateway -网关协议
  • gre考试-通用路由封装
  • 高分子聚合物-主机监控协议
  • idpr-cmtp- idpr控制消息传输
  • icmp- Internet控制消息协议
  • icmpv6—Internet控制消息协议v6
  • igmp—互联网组管理协议
  • ipencap—IP封装在IP中
  • ipip- IP封装
  • encap- IP封装
  • iso-tp4- iso传输协议类4
  • ospf-开放最短路径优先
  • 小狗- PARC通用报文协议
  • pim-协议无关的多播
  • rspf-无线电最短路径优先
  • rdp-可靠数据报协议
  • - st数据报模式
  • tcp-传输控制协议
  • udp-用户数据报协议
  • vmtp-通用消息传输
  • vrrp-虚拟路由器冗余协议
  • xns-idp- xerox XNS idp
  • xtp-快速传输协议
filter-mac-protocol[![,protocol](最多16项);默认值: 最多16个逗号分隔的条目用作过滤器。Mac协议(可以使用协议号而不是协议名称):
  • 802.2- 802.2帧(0x0004)
  • arp-地址解析协议(0x0806)
  • homeplug-av- HomePlug AV MME (0x88E1)
  • 知识产权- Internet协议版本4 (0x0800)
  • ipv6-互联网协议版本6 (0x86DD)
  • ipx-网络间报文交换(0x8137)
  • lldp链路层发现协议(0x88CC)
  • loop-protect-环路保护协议(0x9003)
  • mpls-multicast—MPLS组播(0x8848)
  • mpls-unicast- MPLS单播(0x8847)
  • packing-compr—对报文进行压缩IP包装(0 x9001)
  • packing-simple—用simple封装报文IP包装(0 x9000)
  • pppoe- PPPoE会话阶段告警(0x8864)
  • pppoe-discovery—PPPoE Discovery阶段(0x8863)
  • --反向地址解析协议(0x8035)
  • service-vlan-提供商桥接(IEEE 802.1ad)和最短路径桥接IEEE 802.1aq (0x88A8)
  • vlan—vlan标签帧(IEEE 802.1Q)和NNI兼容的最短路径桥接IEEE 802.1aq (0x8100)
filter-stream是|否;默认值:是的 为嗅探器服务器设计的嗅探包将被忽略。
滤波器尺寸整数(整数):0 . . 65535;默认值:) 以字节为单位过滤指定大小或大小范围的报文。
filter-direction任意| rx | tx;默认值: 指定将应用哪个方向过滤。
filter接口全部|名称;默认值:所有 将在其上运行嗅探器的接口名称。所有表示嗅探器将嗅探所有接口上的报文。
filter-operator-between-entries和|或;默认值: 更改具有多个条目的过滤器的逻辑。
filter-vlan整数(整数):0 . . 4095;默认值: 最多可以使用16个VLAN id作为过滤器。
内存限制整数10 . . 4294967295(简约);默认值:100年简约 用于存储嗅探数据的内存量。
memory-scroll是|否;默认值:是的 当达到内存限制时是否重写旧的嗅探数据。
only-headers是|否;默认值:没有 在内存中只保存数据包的头,而不是整个数据包。
streaming-enabled是|否;默认值:没有 定义是否向流服务器发送嗅探包。
流媒体服务器知识产权;默认值:0.0.0.0 Tazmen嗅探协议(TZSP)流接收器。

有14限制不应配置超过可用空闲内存!

数据包嗅探快速模式

快速模式将显示结果,因为它们是用有限大小的数据包缓冲区过滤出来的。有几个属性可以设置为过滤。如果没有设置属性,将使用当前配置。

[admin@雷竞技网站MikroTik] > /tool/sniffer/quick ip-protocol=icmp列:接口,时间,NUm, DIr, SRC-MAC, DST-MAC, SRC-ADDRESS, DST-ADDRESS,协议,大小,Cpu,FP INTERF时间νDI SRC-MAC DST-MAC SRC-ADDRESS DST-ADDRESS PROTOCO SI C FP ether7 35.472 79 < - 6 C: 3 b: 6 b:艾德:83:69 6 C: 3 b: 6 b:艾德:81:83 10.155.126.252 10.155.126.253 ip: icmp 70 7没有ether7 35.472 80 - > 6 C: 3 b: 6 b:艾德:81:83 6 C: 3 b: 6 b:艾德:83:69 10.155.126.253 10.155.126.252 ip: icmp 70 7没有ether1 35.595 81 < - 6 C: 3 b: 6 b:艾德:83:63 6 C: 3 b: 6 b:艾德:81:7D 172.24.24.2 172.24.24.1 ip: icmp 70 4没有ether1 35.595 82 - > 6 C: 3 b: 6 b:艾德:81:7D 6 C: 3 b: 6 b:艾德:83:63 172.24.24.1 172.24.24.2 ip: icmp 70 4没有ether7 36.457 83 < -6 c: 3 b: 6 b:艾德:83:69 6 c: 3 b: 6 b:艾德:81:83 10.155.126.252 10.155.126.253 ip: icmp 70 7没有ether7 36.457 84 - > 6 c: 3 b: 6 b:艾德:81:83 6 c: 3 b: 6 b:艾德:83:69 10.155.126.253 10.155.126.252 ip: icmp 70 7没有ether1 36.6 85 < - 6 c: 3 b: 6 b:艾德:83:63 6 c: 3 b: 6 b:艾德:81:7D 172.24.24.2 172.24.24.1 ip: icmp 70 4没有ether1 36.6 86 - > 6 c: 3 b: 6 b:艾德:81:7D 6 c: 3 b: 6 b:艾德:83:63 172.24.24.1 172.24.24.2 ip: icmp 70 4

在同一接口上使用包嗅探器将无法看到流量生成包,除非快速路径参数设置。

包嗅探协议

在这个子菜单中,您可以看到所有被嗅探的协议及其在整个嗅探量中所占的份额。

[admin@雷竞技网站MikroTik] /tool sniffer protocol> print # protocol ip - protocol PORT PACKETS BYTES SHARE 0 802.2 1 60 0.05% 1 ip 215 100377 99.04% 2 arp 2 120 0.11% 3 ipv6 6 788 0.77% 4 ip tcp 210 99981 98.65% 5 ip udp 3 228 0.22% 6 ip ospf 2 168 0.16% 7 ip tcp 8291 (winbox) 210 99981 98.65% 8 ip tcp 36771 210 99981 98.65% 9 ip udp 646 3 228 0.22%

包嗅探主机

子菜单显示参与您嗅探到的数据交换的主机列表。

[admin@雷竞技网站MikroTik] /tool sniffer host> print # ADDRESS RATE pek -RATE TOTAL 0 10.5.101.3 0bps/0bps 0bps/720bps 0/90 1 10.5.101.10 0bps/0bps 175.0kbps/19.7kbps 61231/7011 10.5.101.13 0bps/0bps 0bps 0bps/976bps 0/212 4 10.5.101.15 0bps/0bps 19.7kbps/175.0kbps 7011/61231 5 224.0.0.2 0bps/0bps 608bps/0bps 1440bps/0bps 302/0

数据包嗅探器连接

在这里,您可以获得在嗅探期间监视的连接的列表。

[admin@雷竞技网站MikroTik] tool sniffer connection> print Flags: A - active # SRC-ADDRESS DST-ADDRESS BYTES重发MSS 0 A 10.0.0.241:1839 10.0.0.181:23 (telnet) 6/42 60/0 /0 1 A 10.0.0.144:2265 10.0.0.181:22 (ssh) 504/252 504/0 /0





  • 没有标签