天融信防火墙tcpdump

最新推荐文章于 2024-05-18 16:59:25 发布
最新推荐文章于 2024-05-18 16:59:25 发布
阅读量4.5k 收藏 20
点赞数 3
分类专栏: 天融信 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47276392/article/details/123483753
版权

一、为什么要抓包

        平时在调试设备中最有效的排错手段就是抓包,有些时候因为网络环境不一样总会出现抓包看不到的情况,这里给大家整合了一下抓包的案例。

(1)以ICMP报文做测试:

     system tcpdump -ni any icmp and host 1.2.4.8 为例

     system tcpdump -ni  这个可以不进行修改

     any 表示抓取哪一个物理口的数据包any是所有,可以添加具体接口例如eth1、feth1

     icmp表示抓取icmp协议的报文  例如ping 、windows中的tracert

     and 多项过滤条件中间需要加上and

     host 表示抓取的主机地址

 (2)其他常用的过滤条件

     net 表示抓取的子网内 例如 system tcpdump –ni any net 192.168.1.0/24

     port 表示抓取的端口 例如 system tcpdump –ni any port 8080

     -evv 可以抓取更详细的报文参数例如显示数据包的源\目的MAC地址、VLAN ID等信息 例如 system tcpdump –ni any host 1.2.4.8 –evvvvvv

其他还有更多的参数可以百度tcpdump查看。

抓取报文后

Reth5 代表从eth5接口收到的报文

X@dummy 代表数据包是从设备本身产生的,例如ping设备管理接口、管理设备(NG不显示dummy显示为M)

Xeth5 代表从eth5接口发出的报文

二、路由模式

  路由模式基本上是最常见的部署模式,也是抓包最方便的不用添加其他的过滤条件,直接输入TCPDUMP命令即可 例如PC PING 1.2.4.8

system tcpdump -ni any icmp and host 1.2.4.8

 

三、VLAN

案例中的vlan ID是 1000

        Access模式:和路由模式一样,因为Access接口在转发的时候会移出TAG ID 也就是VLAN ID。(同时也解释了trunk抓包的时候不加vlan为什么看不到报文)

        Trunk模式:

        TOS系统:system tcpdump -ni eth1 vlan 1000  抓包必须把any替换成对应接口

        NG系统:system tcpdump -ni any vlan and icmp and host 1.2.4.8  NG系统上接口属性可以选择any,vlan属性后面也可以不写vlanID可以抓取所有VLAN

 

四、链路聚合
 

链路聚合路由模式:
 

        抓包和路由模式部署的时候一样,不用添加其他过滤条件,直接输入TCPDUMP命令即可 例如PC PING 1.2.4.8
 

        system tcpdump -ni any icmp and host 1.2.4.8  
 

 

链路聚合交换模式(access):
 

        和路由模式一样,因为Access接口在转发的时候会移出TAG ID 也就是VLAN ID。
 

链路聚合交换模式(trunk):
 

        TOS系统 system tcpdump -ni bond1 vlan 1000 and icmp  TOS系统上需要带BOND接口去抓取报文。
 

 
 

        NG系统:system tcpdump -ni any vlan and icmp   NG系统上接口属性可以选择any,vlan属性后面也可以不写vlanID可以抓取所有VLAN
 

        总结一下:现场环境如果是上下联不通的BOND或者一端是BOND另一边是路由接口,则需要开启2个或者更多的命令行通过不同的过滤条件同时抓取报文,来判断转发是否正常
 

 

  
 

  • 五、IPSEC
 

        TOS系统:system tcpdump -ni any icmp and host 1.2.4.8 没有特殊需要过滤的因为TOS中有虚接口的概念,直接可以看到
 

 

          NG系统:NG系统中取消了虚接口的概念所以抓包的时候看不到发出的报文,因此给很多同事造成了困扰0.0。给大家提供一个方法可以看出是否数据包是从隧道发出的办法。
 

PC ping一个大包
 

 

 
 

确定设备收到的数据
 

 

        然后:system tcpdump -ni any esp and host 192.168.100.7 (192.168.100.7是建立隧道时候对端的IP)
 

E:表示封装 X:表示发出,随后通过length的大小来分辨是否正常从隧道内转发

 

六、GRE
 

        system tcpdump -ni any icmp and host 1.2.4.8  GRE在TOS和NG系统中均可以直接显示GRE接口的转发 如果数据过多也可以把any 替换成gre-0
 

 

 
 

七、虚拟线
 

         虚拟线抓包,如果上下联是路由模式、或者acces模式可以直接通过system tcpdump -ni any icmp and host 1.2.4.8 进行抓包
 

        如果发现抓不到报文,有一种可能是上下联是Trunk导致收发数据的时候数据包带着vlanID进行转发所以需要使用-EVVVV参数确定数据包的vlanID是多少(此时数据报文绝对会很多,如果看不过来了,可以用CRT等工具记录会话,暂停抓包后再文件中搜索一下)
 

 

        随后在抓取正确的业务报文 
 

 


                

        

        

    




    

      

        

            

              
                
                  weixin_47276392
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    20
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
防火墙NGFW4000

				
			

			

				

					07-25
				

			

		

		

			
				
防火墙NGFW4000配置手册,全面介绍了天防火墙NGFW4000的配置方法.

			
		

	



                

              
                



	

		

			

				
					
【天TOS防火墙故障排除及定位方法】网络数据抓包~温权~

				
			

			

				

					qq_35186988的博客
				

				

					07-17
					
					7102
					
				

			

		

		

			
				
文章目录一、	TOS设备抓包命令以及注意事项:二、	wireshark的抓包方法以及数据过滤三、典型故障抓包技巧

一、	TOS设备抓包命令以及注意事项:

NAT源地址转换抓目的地址,目的地址转换抓源地址,双向转换源和目的都抓,老tos的trunk抓包需要带上vlan,下一代NG可以不带,多抓抓就能看出效果了。>

1.抓包命令的格式以及使用方法:
System tcpdump –ni a...

			
		

	



                


  
              

                


	

		

			

				
					
Cisco ASA防火墙抓包命令Capture

					
最新发布

				
			

			

				

					funnycoffee123的博客
				

				

					05-18
					
					444
					
				

			

		

		

			
				
Cisco ASA防火墙抓包命令Capture

			
		

	





	

		

			

				
					
出口防火墙抓包排查网络问题思路

				
			

			

				

					qq_38936794的博客
				

				

					04-28
					
					451
					
				

			

		

		

			
				
通过抓包看我们这边发出包后是否有收到对端回报,以及收到的回报当中是否有reset包或者drop包,如果没有reset包、drop包,来回包都正常,说明转发没有问题;如果收到了reset包,则要看reset包是哪边发的,谁发的就去排查哪一边;如果我们没有收到回包,或者对端没有收到我们发出去的包,或者对端收到了我们发出去的包但是没有给我们回包,则是对端的问题,要查对端;如果对端收到了我们发出去的包,并且也给我们回了包,但是我们这边没有收到包,则有可能是运营商的问题或者是中间设备的问题。

			
		

	



		

			
		



	

		

			

				
					
tcpdump命令详解

					
热门推荐

				
			

			

				

					wj31932的博客
				

				

					06-05
					
					11万+
					
				

			

		

		

			
				
本文介绍tcpdump的命令常用格式,参数详解和常见用法技巧范例,并有解决具体问题的实例。是全网最好的入门教程,从命令格式,参数说明,用法范例到解决问题实例,一步步深入说明。

			
		

	





	

		

			

				
					
各品牌防火墙及负载均衡抓包手册

				
			

			

				

					01-09
				

			

		

		

			
				
Juniper Netscreen OS抓包方法 2
天防火墙 抓包方法 3
Hillstone山石防火墙抓包方法 4
华为防火墙 抓包方法 5
A10 负载均衡抓包方法 6
F5 抓包方法 7
FortiGate飞塔防火墙抓包方法 11
Linux tcpdump使用方法 15

			
		

	





	

		

			

				
					
tcpdump抓包常用参数

				
			

			

				

					weixin_56319791的博客
				

				

					10-11
					
					2309
					
				

			

		

		

			
				
tcpdump 抓包工具,网络安全设备分析报文神器

			
		

	





	

		

			

				
					
思科FTD防火墙开启抓包

				
			

			

				

					Cisco_hw_zte的博客
				

				

					12-09
					
					185
					
				

			

		

		

			
				
在排除故障过程中,往往需要了解通过程中数据包的封装情况,那么思科防火墙怎样开启抓包呢?导出抓包结果到TFTP服务器。

			
		

	





	

		

			

				
					
zabbix监控天防火墙MIB库

				
			

			

				

					06-23
				

			

		

		

			
				
防火墙MIB库-NGFW2.3

			
		

	





	

		

			

				
					
防火墙配置手册.zip

				
			

			

				

					07-14
				

			

		

		

			
				
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸

			
		

	





	

		

			

				
					
防火墙配置GRE Over IPSEC

				
			

			

				

					09-19
				

			

		

		

			
				
防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...

			
		

	





	

		

			

				
					
Fortigate防火墙抓包命令

				
			

			

				

					02-19
				

			

		

		

			
				
Fortigate防火墙常用抓包命令用法详解,故障排除神器!

			
		

	





	

		

			

				
					
TOS防火墙与网络分析软件(科来)的配合使用说明

				
			

			

				

					08-20
				

			

		

		

			
				
网络分析是网络管理者强有力的管理手段,但网络分析是基于数据包的,而数据包的抓取是一件比较头痛的事,一方面可能需要购买相应的设备,增加额外的费用;另一方面,对于互联网出口处部署抓包设备并不是十分的方便,因为涉及到地址转换前和地址转换后的两个完全不同但又相互关联的数据流;
而防火墙系统是一个网关型设备,它不仅本身就部署在互联网出口处,而且它参与了内外网的所有的数据通讯,利用天TOS防火墙自带的抓包功能,可以非常方便的获取进出互联网的所有数据包,为网络分析提供了极大的便利!

			
		

	





	

		

			

				
					
防火墙命令手册——很有用

				
			

			

				

					08-18
				

			

		

		

			
				
防火墙命令手册,希望对大家有用!谢谢支持!

			
		

	





	

		

			

				
					
思科、华为网络设备命令抓包

				
			

			

				

					04-08
				

			

		

		

			
				
针对思科路由器、ASA防火墙、华为设备和天防火墙使用命令抓包的配置方法

			
		

	





	

		

			

				
					
防火墙命令.pdf

				
			

			

				

					10-28
				

			

		

		

			
				
防火墙命令.pdf

			
		

	





	

		

			

				
					
防火墙NGFW一本通(三权分立).chm

				
			

			

				

					11-17
				

			

		

		

			
				
本文档主要介绍如何配置NGFW。通过阅读本文档,管理员能够正确地安装和配置NGFW,并综合运用安全设备提供的多种安全技术有效地保护用户网络,控制网络的非法访问和抵御网络攻击,实现高效可靠的安全通

			
		

	





	

		

			

				
					
【计算机网络】 0、各网络命令 + tcpdump + Wireshark、抓包实战、TCP 握手挥手、防火墙、保活、MTU

				
			

			

				

					呆呆的猫的博客
				

				

					11-26
					
					7849
					
				

			

		

		

			
				
tcpdump + Wireshark 抓包实战、TCP 握手挥手、防火墙、保活、MTU

			
		

	





	

		

			

				
					
防火墙Hillstone StoneOS Debug(抓包)故障调试指南

				
			

			

				

					FullStack贾凯
				

				

					05-23
					
					2639
					
				

			

		

		

			
				
防火墙Hillstone StoneOS Debug故障调试指南1.Debug抓包说明2.常见Debug抓包流程图片分享
1.Debug抓包说明
⇒ Debug抓包前请务必查看设备CPU情况,如当前CPU偏高(参考值:≥50%),请谨慎进行抓包操作,最好选择在当前设备CPU值偏低、业务低峰期进行Debug,查看设备CPU具体命令:SG-6000# show cpu detail (含历史CPU)。
⇒ Debug抓包后请务必关闭设备所有已开启的Debug,防止影响设备CPU等运行情况,关闭Debug方式:


			
		

	





	

		

			

				
					
防火墙巡检命令

				
			

			

				

					01-26
				

			

		

		

			
				
根据提供的引用内容,天防火墙巡检命令可以帮助用户确保网络安全和隐私保护。以下是一个示例的天防火墙巡检命令:

```shell
show running-config
```

该命令可以显示当前防火墙的配置息,包括网络接口、访问控制列表、NAT转换等。通过查看配置息,可以检查防火墙的设置是否符合安全要求,并及时发现潜在的安全风险。

另外,天防火墙还提供了其他巡检命令,如:

```shell
show system
```

该命令可以显示防火墙的系统息,包括硬件配置、软件版本等。通过查看系统息,可以了解防火墙的运行状态和性能状况。

```shell
show session
```

该命令可以显示当前防火墙的会话息,包括连接状态、源IP地址、目标IP地址等。通过查看会话息,可以监控网络流量和连接情况,及时发现异常活动。

请注意,具体的巡检命令可能因防火墙型号和软件版本而有所差异,请根据实际情况选择适用的命令。



			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值