Как перехватить трафик на сокете

Обзор

Cato Networks предоставляет утилиту PCAP (Packet Capture), встроенную в веб-интерфейс сокета, так что любой, у кого есть учетные данные для входа, может диагностировать сетевые проблемы.

Для получения дополнительной информации о веб-интерфейсе сокета, см. Доступ к веб-интерфейсу сокета.

Использование веб-интерфейса сокета для выполнения PCAP

Этот раздел представляет собой пошаговое объяснение того, как использовать утилиту PCAP сокета для анализа проблем в вашей сети.

Примечание: Если вы подключены напрямую к ЛВС сокета, управляющий IP сокета также можно использовать для внутреннего доступа к веб-интерфейсу.

  1. Войдите в веб-интерфейс сокета из приложения управления Cato.

  2. Запустите PCAP.

  3. Воспроизведите проблему.

  4. Загрузите файл PCAP.

  5. Проанализируйте результаты в файле.

Вход в веб-интерфейс сокета из приложения управления Cato

Администраторы с разрешениями редактора могут автоматически входить в веб-интерфейс сокета из приложения управления Cato.

Чтобы войти в веб-интерфейс сокета из приложения управления Cato:

  1. В навигационном меню нажмите Сеть > Площадки и выберите площадку.

  2. В навигационном меню нажмите Настройки Сайта > Сокет.

  3. В меню Действия сокета выберите Веб-интерфейс сокета.

Браузер откроет новую вкладку и войдет в веб-интерфейс сокета.

image.png

Веб-интерфейс сокета автоматически завершает сеанс, если окно находится в режиме ожидания более 10 минут.

Запуск PCAP (Socket v17.0 и выше)

Начиная с версии сокета 17.0, вы можете использовать вкладку Перехват трафика в Веб-интерфейс сокета.

image.png

Вкладка Перехват трафика позволяет продвинутый перехват трафика на нескольких Активные интерфейсах/туннелях/SDWAN туннелях одновременно.

Просто выберите соответствующие параметры для каждого интерфейса и нажмите кнопку Начать, чтобы начать захват пакетов. Максимальный временной интервал для перехвата пакетов составляет 60 минут, иначе захват прерывается и вы не сможете загрузить файл.

Расширенный перехват трафика включает следующие опции: 

  • Подсеть и порт стороны 1 - фильтрация на основе IP и порта.

  • Подсеть и порт стороны 2 - фильтрация на основе IP и порта.

    • Примечание: Обе стороны 1 и 2 могут быть источником или назначением. При необходимости используйте Правило синтаксиса пакета для фильтрации IP-адресов источника и назначения, используя поля srcip/dstip с правильными операторами. Подробнее о синтаксисе смотрите ниже.

  • IP протокол - фильтрация пакетов по протоколу:

    • '*' - без фильтрации IP протокола

    • ICMP

    • TCP

    • UDP

  • MAC-адрес - фильтрация на основе MAC-адреса.

  • Правило синтаксиса пакета 

    • Позволяет фильтровать пакеты на основе настраиваемого интеллектуального правила синтаксиса.

    • Показать возможные поля Эта ссылка открывает JSON-файл, содержащий все возможные поля с их доступными операторами, которые могут быть применены к этому правилу. 

      Файл прикреплен к этой статье, и вы можете скачать его для справки.

    • Показать пример — это кликабельный пример использования правила синтаксиса.

    Примечание: Синтаксис пакета не основан на синтаксисе фильтра захвата Wireshark.

  • Ограничить размер пакета (в байтах) - Фильтр для установки предела записи размера пакета.

  • Суффикс файла - Позволяет добавить суффикс в конце файла.

    • Если вы решите добавить суффикс, имя файла будет структурировано следующим образом: {site_name}.{account_name}.{time}.{suffix}.pcapng

После того как вы Начнете запись пакетов, вы можете выбрать Остановить, Скачать или Скачать и Остановить для завершения записи пакетов.

Утилита PCAP сохраняет файл в каталог загрузки, настроенный для вашего браузера в этом формате: <site_name>.<account_name>.<interface>.<timestamp>.pcapng.

Фильтрация интерфейса

Загруженный файл PCAP включает трафик, записанный на нескольких интерфейсах. Для того чтобы осуществить поиск трафика, записанного на специфическом интерфейсе:

  • Откройте файл PCAP и под Кадр, найдите 'идентификатор интерфейса':

  • Щелкните правой кнопкой мыши на идентификатор интерфейса, выберите Применить как фильтр и затем нажмите Выбрано

    • Примечание: у каждого интерфейса есть два идентификатора, один для TX (Передача) и один для RX (Прием). В следующем примере видно, что фильтр применяется к стороне TX WAN1.

      image.png

  • Также возможно фильтровать вручную, применяя фильтр ниже, где X представляет идентификатор интерфейса. 

    frame.interface_id == X

Примечание: Если Sokcet настроен на LAN LAG, то агрегированный интерфейс появится в списке интерфейсов.

Запуск PCAP (Socket v16.x и ранее)

Настройте PCAP настроек для специфического интерфейса, чтобы начать PCAP.

Лучшие практики: Для устранения большинства сетевых проблем рекомендуется выполнить захват пакетов на интерфейсе LAN. WAN захваты пакетов могут быть полезны, если сокет не может подключиться к PoP, но после подключения весь трафик через интерфейс WAN зашифрован и инкапсулирован в DTLS. Трудно анализировать PCAP с зашифрованным трафиком.

Чтобы начать PCAP:

  1. На странице Мониторинг нажмите на колонку PCAP. Колонка расширяется, чтобы показать опции PCAP.

    image.png

  2. Введите настройки для PCAP. Вы можете выбрать специфические настройки для Источник, Назначение и портов.

    image.png

    Эти необязательные настройки ограничивают трафик, который захватывается; без них PCAP может накопить много данных за короткое время.

  3. Чтобы начать захват, установите флажок в колонке PCAP.

    pcap3.png

Воспроизведение проблемы

Пока утилита PCAP работает, воспроизведите сетевую проблему, которую вы устраняете.

Анализ пакетов

Рекомендуем использовать Wireshark или аналогичную программу для открытия файла захвата и анализа пакетов. Wireshark - это бесплатная программа для Windows, Mac и Linux, которую можно скачать с https://www.wireshark.org/.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев