Captura de paquetes (sniffer)

Descripción
Este artículo describe la herramienta rastreadora integrada que se puede utilizar para averiguar el tráfico que atraviesa diferentes interfaces.

Solución
El siguiente comando se usa para rastrear paquetes.

# diagnose sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat>

<interface>                     <—– Puede ser ‘cualquiera’ o interfaz particular como wan1, port1, etc.

‘<filter> ‘                     <—– Puede ser ‘host 8.8.8.8’, ‘port 80’, ‘host 8.8.8.8 o `port 80’, ‘host 8.8.8.8 y port 80’, etc.
 


 

<count>                      <—– El número de paquetes a capturar. Si se define 0 o ningún valor, se capturarán paquetes ilimitados hasta que se use ctrl+c para detener.
<tsformat>                                 <—– ‘a’ para la hora UTC absoluta; de lo contrario, en relación con el inicio de la detección.

Considere dos hosts conectados a dos FortiGates diferentes.

[10.200.1.10/24] Host 1 [10.200.1.1/24 puerto 2] FortiGate 1 [10.200.3.1/24 port1]

[10.200.2.10/24] Host 2 [10.200.2.1/24 puerto 2] FortiGate 2 [10.200.3.10 /24 port1]

Este ejemplo muestra una prueba de ping del host 1 al host 2. Considere dos escenarios;

(i) Host alcanzable
(ii) Host inalcanzable

Caso 1: Host accesible.

Inicialmente, se realiza un ping desde el host1 (10.200.1.10/24) al host2 (10.200.2.10/24). La solicitud de eco ICMP se recibe en el puerto 1 de FortiGate 2. La solicitud se reenvía al puerto 2. Se recibe una respuesta ICMP del host 2 que luego se reenvía al puerto 1.
Dado que el puerto 1 recibe la solicitud de eco ICMP, la respuesta se enviará a través del mismo puerto 1.

La salida del comando sniffer se tomó en FortiGate 2.

# diagnose sniffer packet any «host 10.200.1.10 and host 10.200.2.10» 4
interfaces=[any]
filtros=[host 10.200.1.10 and host 10.200.2.10]
2.429703 port1 in 10.200.1.10 -> 10.200.2.10: icmp: echo request     <—– El puerto 1 recibe la solicitud de FortiGate 1.
2.429798 port2 out 10.200.1.10 -> 10.200.2.10: icmp: echo request    <—– El puerto 2 envía la solicitud al host 2.
2.430238 port2 in 10.200.2.10 -> 10.200.1.10: icmp: echo reply       <—– El puerto 2 recibe la respuesta del host 2.
2.430277 port1 out 10.200.2.10 -> 10.200.1.10: icmp: echo reply      <—- – El puerto 1 responde a FortiGate 1.

Caso 2: Host inalcanzable.

Ahora se envía un ping desde el host 1 a un host 10.200.2.11 que no se puede alcanzar, el puerto 1 en FortiGate 2 recibe la solicitud de eco ICMP y reenvía la solicitud al puerto 2 pero no recibe ninguna respuesta. El puerto 1 responde al host 1 que el host 10.200.2.11 no está disponible.

# diagnose sniffer packet any «host 10.200.2.11 and icmp» 4
interfaces=[any]
filtros=[host 10.200.2.11]
2.835286 puerto1 en 10.200.1.10 -> 10.200.2.11: icmp: echo request                <—– Puerto 1 recibe la solicitud de FortiGate 1.
2.835400 port2 out arp who-has 10.200.2.11 tell 10.200.2.1                        <—– 10.200.2.1 envía la solicitud ARP porque quiere enviar datos pero no conoce la dirección MAC de 10.200.2.11 para enviarlo.
No se puede acceder a ningún puerto 2 en el paquete recibido como host.
8.142688 port1 out 10.201.2.10 -> 10.200.1.10: icmp: host 10.200.2.11 inalcanzable <—– Port1 responde a FortiGate 1 que el host 10.200.2.11 es inalcanzable.

 

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *