通过GUI界面抓包

功能介绍

除了通过在CLI下捕获数据包,FortiGate也支持在GUI界面捕获数据包,捕获的数据包下载后可以直接用Wireshark打开(PCAP格式),方便不熟悉Sniffer工具的用户使用。

使用方法

抓包之前,必须在抓取流量对应的防火墙策略上禁用NPU硬件加速才能查看所有数据包,请在CLI中将对应防火墙策略中的“auto-asic-offload”设置为“disable”。</br> 详情参考:故障排查→Sniffer、Debug Flow与NP加速的矛盾

FortiOS 7.0

  1. 进入“网络→数据包捕获”页面,点击“新建”按钮。

    image-20230526110653815

  2. 设置捕获数据包的条件,并点击确认下发配置。

    image-20230526112356256

    • 接口:指定抓取数据包的接口,无法指定any,如果接口开启了SNAT,抓取到的为SNAT后的数据包。
    • 最大捕获数据包:每个数据包捕获可以抓取的最大数据包个数,达到该数字后,抓包自动停止(不同型号之间的最大捕获数量可能不同)。
    • Host:抓取数据包过滤的源或目的IP地址/网段,可以填写多个IP地址/网段(网段的格式为192.168.1.0/24),中间用英文逗号(,)隔开,它们之间是或的关系。
    • 端口:过滤抓取数据包的端口号,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
    • VLAN:如果要过滤抓取的数据包的VLAN ID,可以配置此选项,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
    • 协议:过滤抓取数据包的协议号,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
    • 包含IPv6数据包:默认只抓取IPv4数据包,需要抓取IPv6时,开启此选项。
    • 包括非IP数据包:默认只抓取包含IP头的数据包,如果想抓取不含IP头的数据包(如ARP报文),开启此选项。
  3. 右键点击创建的抓包进程,点击“开始”按钮,开启抓包,页面会显示抓包运行状态与已捕获的数据包个数。

    image-20230526112439949

    image-20230526112539431

  4. 抓包完成后,右键点击该抓包进程,可以选择停止抓包,也可以不停止抓包,直接下载当前已捕获的数据包。

    image-20230526112809240

  5. 下载的数据包为PCAP格式,可以直接用Wireshark打开并分析。

    image-20230526112930122

  6. 同时可以创建多个抓包进程在后台抓取报文,离开此页面或登出设备不会中断抓包进程。

    image-20230526113046500

FortiOS 7.2

  1. 进入“网络→诊断程序→数据包捕获”页面,配置捕获数据包的过滤条件,过滤语法选择基本时,可以过滤如下条件。

    image-20230526143342721

    • 接口:指定抓取数据包的接口,可以指定any,如果接口开启了SNAT,抓取到的为SNAT后的数据包。
    • 最大捕获数据包:每个数据包捕获可以抓取的最大数据包个数,达到该数字后,抓包自动停止,如果不指定最大捕获数量,默认在抓取50000个数据包后停止。
    • Host:抓取数据包过滤的源或目的IP地址/网段,可以填写多个IP地址/网段(网段的格式为192.168.1.0/24),它们之间是或的关系。
    • 端口:过滤抓取数据包的端口号,可填写多个,它们之间是或的关系。
    • 协议号:过滤抓取数据包的协议号,可填写多个,它们之间是或的关系。
  2. 过滤语法选择高级时,可以使用CLI下Sniffer命令中的过滤条件语法作为过滤条件(参考故障排查→Sniffer工具→Sniffer工具介绍),例如“host 192.168.100.178 and (dst 114.114.114.114 or dst 223.5.5.5)”。

    image-20230526145345082

  3. 页面右侧可以选择最近使用过的抓包规则。

    image-20230526145427757

  4. 点击“开始捕获”按钮开启抓包,可以看到数据包捕获的基本信息,以及对应的捕获速率。

    image-20230526145812879

  5. 选择某个数据包,点击“标头”,可以看到数据包的Header信息。

    image-20230526145935491

  6. 选择某个数据包,点击“数据包数据”,可以看到数据包的具体Data内容。

    image-20230526150016613

  7. 抓包自动停止或手动点击“停止捕获”,可选择重新启动捕获,或将已捕获的数据包另存为PCAP格式以供使用Wireshark进一步分析,退出后,已捕获的数据包不会存储在FortiGate上。

    image-20230526150313911

FortiOS 7.4

  1. FortiOS 7.4 GUI的抓包方法与FortiOS 7.2一致,相比较FortiOS 7.2,FortiOS 7.4可以同时进行多个抓包进程,且可以将多个抓包进程最小化到页面下方。

    image-20230526152250682

    image-20230526152154238

  2. 离开“诊断程序”页面后,抓包进程仍然可以继续运行。

    image-20230526152552582

  3. 注意退出登录或刷新页面后,抓包进程将会终止,且不会保存已抓取的数据包。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-11-21 15:52:33

results matching ""

    No results matching ""