Descripción
Este artículo describe la herramienta rastreadora integrada que se puede utilizar para averiguar el tráfico que atraviesa diferentes interfaces.
Solución
El siguiente comando se usa para rastrear paquetes.
# diagnose sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>
<interface> <—– Puede ser ‘cualquiera’ o interfaz particular como wan1, port1, etc.
‘<filter> ‘ <—– Puede ser ‘host 8.8.8.8’, ‘port 80’, ‘host 8.8.8.8 o `port 80’, ‘host 8.8.8.8 y port 80’, etc.
<count> <—– El número de paquetes a capturar. Si se define 0 o ningún valor, se capturarán paquetes ilimitados hasta que se use ctrl+c para detener.
<tsformat> <—– ‘a’ para la hora UTC absoluta; de lo contrario, en relación con el inicio de la detección.Considere dos hosts conectados a dos FortiGates diferentes.
[10.200.1.10/24] Host 1 [10.200.1.1/24 puerto 2] FortiGate 1 [10.200.3.1/24 port1]
[10.200.2.10/24] Host 2 [10.200.2.1/24 puerto 2] FortiGate 2 [10.200.3.10 /24 port1]Este ejemplo muestra una prueba de ping del host 1 al host 2. Considere dos escenarios;
(i) Host alcanzable
(ii) Host inalcanzableCaso 1: Host accesible.
Inicialmente, se realiza un ping desde el host1 (10.200.1.10/24) al host2 (10.200.2.10/24). La solicitud de eco ICMP se recibe en el puerto 1 de FortiGate 2. La solicitud se reenvía al puerto 2. Se recibe una respuesta ICMP del host 2 que luego se reenvía al puerto 1.
Dado que el puerto 1 recibe la solicitud de eco ICMP, la respuesta se enviará a través del mismo puerto 1.La salida del comando sniffer se tomó en FortiGate 2.
# diagnose sniffer packet any «host 10.200.1.10 and host 10.200.2.10» 4
interfaces=[any]
filtros=[host 10.200.1.10 and host 10.200.2.10]
2.429703 port1 in 10.200.1.10 -> 10.200.2.10: icmp: echo request <—– El puerto 1 recibe la solicitud de FortiGate 1.
2.429798 port2 out 10.200.1.10 -> 10.200.2.10: icmp: echo request <—– El puerto 2 envía la solicitud al host 2.
2.430238 port2 in 10.200.2.10 -> 10.200.1.10: icmp: echo reply <—– El puerto 2 recibe la respuesta del host 2.
2.430277 port1 out 10.200.2.10 -> 10.200.1.10: icmp: echo reply <—- – El puerto 1 responde a FortiGate 1.Caso 2: Host inalcanzable.
Ahora se envía un ping desde el host 1 a un host 10.200.2.11 que no se puede alcanzar, el puerto 1 en FortiGate 2 recibe la solicitud de eco ICMP y reenvía la solicitud al puerto 2 pero no recibe ninguna respuesta. El puerto 1 responde al host 1 que el host 10.200.2.11 no está disponible.
# diagnose sniffer packet any «host 10.200.2.11 and icmp» 4
interfaces=[any]
filtros=[host 10.200.2.11]
2.835286 puerto1 en 10.200.1.10 -> 10.200.2.11: icmp: echo request <—– Puerto 1 recibe la solicitud de FortiGate 1.
2.835400 port2 out arp who-has 10.200.2.11 tell 10.200.2.1 <—– 10.200.2.1 envía la solicitud ARP porque quiere enviar datos pero no conoce la dirección MAC de 10.200.2.11 para enviarlo.
No se puede acceder a ningún puerto 2 en el paquete recibido como host.
8.142688 port1 out 10.201.2.10 -> 10.200.1.10: icmp: host 10.200.2.11 inalcanzable <—– Port1 responde a FortiGate 1 que el host 10.200.2.11 es inalcanzable.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!