通过 GUI 界面抓包
通过 GUI 界面抓包
功能介绍
除了通过在 CLI 下捕获数据包,FortiGate 也支持在 GUI 界面捕获数据包,捕获的数据包下载后可以直接用 Wireshark 打开(PCAP 格式),方便不熟悉 Sniffer 工具的用户使用。
使用方法
重要
抓包之前,必须在抓取流量对应的防火墙策略上禁用 NPU 硬件加速才能查看所有数据包,请在 CLI 中将对应防火墙策略中的“auto-asic-offload”设置为“disable”。 详情参考:故障排查 → Sniffer、Debug Flow 与 NP 加速的矛盾。
FortiOS 7.0
进入“网络 → 数据包捕获”页面,点击“新建”按钮。
设置捕获数据包的条件,并点击确认下发配置。
- 接口:指定抓取数据包的接口,无法指定 any,如果接口开启了 SNAT,抓取到的为 SNAT 后的数据包。
- 最大捕获数据包:每个数据包捕获可以抓取的最大数据包个数,达到该数字后,抓包自动停止(不同型号之间的最大捕获数量可能不同)。
- Host:抓取数据包过滤的源或目的 IP 地址/网段,可以填写多个 IP 地址/网段(网段的格式为 192.168.1.0/24),中间用英文逗号(,)隔开,它们之间是或的关系。
- 端口:过滤抓取数据包的端口号,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
- VLAN:如果要过滤抓取的数据包的 VLAN ID,可以配置此选项,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
- 协议:过滤抓取数据包的协议号,可填写多个,中间用英文逗号(,)隔开,它们之间是或的关系。
- 包含 IPv6 数据包:默认只抓取 IPv4 数据包,需要抓取 IPv6 时,开启此选项。
- 包括非 IP 数据包:默认只抓取包含 IP 头的数据包,如果想抓取不含 IP 头的数据包(如 ARP 报文),开启此选项。
右键点击创建的抓包进程,点击“开始”按钮,开启抓包,页面会显示抓包运行状态与已捕获的数据包个数。
抓包完成后,右键点击该抓包进程,可以选择停止抓包,也可以不停止抓包,直接下载当前已捕获的数据包。
下载的数据包为 PCAP 格式,可以直接用 Wireshark 打开并分析。
同时可以创建多个抓包进程在后台抓取报文,离开此页面或登出设备不会中断抓包进程。
FortiOS 7.2
进入“网络 → 诊断程序 → 数据包捕获”页面,配置捕获数据包的过滤条件,过滤语法选择基本时,可以过滤如下条件。
- 接口:指定抓取数据包的接口,可以指定 any,如果接口开启了 SNAT,抓取到的为 SNAT 后的数据包。
- 最大捕获数据包:每个数据包捕获可以抓取的最大数据包个数,达到该数字后,抓包自动停止,如果不指定最大捕获数量,默认在抓取 50000 个数据包后停止。
- Host:抓取数据包过滤的源或目的 IP 地址/网段,可以填写多个 IP 地址/网段(网段的格式为 192.168.1.0/24),它们之间是或的关系。
- 端口:过滤抓取数据包的端口号,可填写多个,它们之间是或的关系。
- 协议号:过滤抓取数据包的协议号,可填写多个,它们之间是或的关系。
过滤语法选择高级时,可以使用 CLI 下 Sniffer 命令中的过滤条件语法作为过滤条件(参考 故障排查 → Sniffer 工具 → Sniffer 工具介绍),例如“host 192.168.100.178 and (dst 114.114.114.114 or dst 223.5.5.5)”。
页面右侧可以选择最近使用过的抓包规则。
点击“开始捕获”按钮开启抓包,可以看到数据包捕获的基本信息,以及对应的捕获速率。
选择某个数据包,点击“标头”,可以看到数据包的 Header 信息。
选择某个数据包,点击“数据包数据”,可以看到数据包的具体 Data 内容。
抓包自动停止或手动点击“停止捕获”,可选择重新启动捕获,或将已捕获的数据包另存为 PCAP 格式以供使用 Wireshark 进一步分析,退出后,已捕获的数据包不会存储在 FortiGate 上。
FortiOS 7.4
FortiOS 7.4 GUI 的抓包方法与 FortiOS 7.2 一致,相比较 FortiOS 7.2,FortiOS 7.4 可以同时进行多个抓包进程,且可以将多个抓包进程最小化到页面下方。
离开“诊断程序”页面后,抓包进程仍然可以继续运行。
退出登录或刷新页面后,页面下方的抓包窗口会消失,但回到“网络 → 诊断程序”页面后,抓包进程仍在进行中,已保存的抓包文件不会消失。
重启设备后,带硬盘的设备(如 101F)可以保留已结束的抓包文件,不带硬盘的设备(如 60F)会删除已结束的抓包文件。不同型号 FortiGate 具体抓包规格和抓包文件最大保存天数可以参考“网络 → 诊断程序”页面右侧的提示信息。
