Использование захвата сетевых пакетов

Возможно ли средствами интернет-центра выполнить захват сетевых пакетов (по аналогии с утилитой Wireshark) для диагностики подключений?


 
Захват сетевых пакетов - инструмент диагностики сети, который позволяет захватывать и сохранять пакеты, проходящие через сетевые интерфейсы интернет-центра.
Вы можете включить захват сетевого трафика, проходящего через выбранный интерфейс интернет-центра. В результате будет создан специальный файл, который затем можно открыть для просмотра и анализа на компьютере в программе Wireshark или предоставить для анализа в службу поддержки.
Дамп сетевых пакетов поможет диагностировать проблемы связанные с прохождением трафика в сети, проанализировать, что происходит с конкретными пакетами. На основании этой информации можно будет сделать вывод о корректности или некорректности работы маршрутизации, хоста или шлюза провайдера, определить причины проблемы и варианты их устранения.
 
Для работы функции захвата пакетов в разделе Управление > Общие настройки > Обновления и компоненты необходимо нажать кнопку Изменить набор компонентов.
 
 
и установить модуль Захват сетевых пакетов.
 
capt.png
 
Итак, для выполнения захвата сетевых пакетов перейдите в веб-конфигураторе в раздел Управление на страницу Диагностика. Для включения захвата сетевого трафика нажмите Добавить правило захвата.
 
 
Откроется окно, в котором обязательно нужно указать Подключение (интерфейс, с которого нужно выполнять захват пакетов). В большинстве случаев, это активный интерфейс для подключения в Интернет — Провайдер. Если же при подключении к Интернету вы используете протокол PPTP, L2TP, PPPoE или 3G/4G-модем, в этих случаях указывайте нужный интерфейс.
Также может быть интересен трафик на интерфейсе Домашняя сеть.
Укажите Место хранения файла с дампом пакетов. Если ваш интернет-центр имеет порт USB для работы с внешними накопителями, рекомендуем использовать его для сохранения файла. Если интернет-центр не имеет порта USB, файл дампа пакетов будет сохраняться во внутреннюю память устройства.
В поле Тип захватываемого трафика можно выбрать значение, в зависимости от того какой именно трафик вы хотите захватить - Входящий, Исходящий или Входящий и исходящий (по умолчанию).
При необходимости, в поле Фильтр захвата можно применить фильтр, чтобы уменьшить объем захватываемого трафика и сохранить место в памяти для интересующих вас данных. Синтаксис фильтра используется такой же, как в программе Wireshark. Например, с фильтром "host 192.168.1.33 and port 53" будет захвачен только DNS-трафик с хоста 192.168.1.33. Если ничего не указывать в поле Фильтр захвата, будет осуществляться захват всех сетевых пакетов, но в этом случае файл с дампом пакетов будет больше в объеме.
Поставьте галочку Неразборчивый режим, если необходимо собирать все пакеты, в том числе не адресованные выбранному интерфейсу.

В остальных полях оставьте значения, которые установлены по умолчанию.
Подробное описание всех полей представлено ниже в разделе Примечание.
 
capt02.png
 
После настройки параметров нажмите кнопку Сохранить.
 
Теперь можно перейти к процедуре захвата пакетов. 
Пожалуйста, производите захват пакетов таким образом, чтобы можно было увидеть информацию о трафике при возникновении проблемы. Рекомендуется начать снимать дамп (захват пакетов) до возникновения проблемы.
Чтобы запустить созданное правило нажмите кнопку Запустить.
 
 
После запуска роутер начнет собирать сетевые пакеты.
После того как проблема была воспроизведена, нужно остановить захват пакетов, нажав кнопку Остановить.
 
 
Чтобы посмотреть сохраненные файлы, нужно нажать на кнопку Сохранить на компьютер.
 
 
Будет предложено сохранить файл в формате *.pcapng, который содержит захваченные сетевые пакеты.
 
capt07.png
 
Для просмотра этого файла на компьютере нужно использовать программу анализатор сетевого трафика Wireshark.
 
Важно! Если вы планируете обратиться в нашу службу технической поддержки с описанием проблемы, которая наблюдается, то помимо полученного файла с дампом сетевых пакетов (*.pcapng), обязательно приложите и файл диагностики self-test.txt, что поможет нашим инженерам быстрее решить вопрос.
 
Внимание! При отладке проблем с мультикастом (IPTV/VoIP) рекомендуется перед началом сбора пакетов отключить в интернет-центре компонент операционной системы Сетевой ускоритель.
 

Примечание
 
Дополнительная информация для опытных пользователей!
 
Существуют следующие особенности при работе с модулем захвата пакетов:

  • При больших объемах проходящего сетевого трафика часть пакетов может быть отброшена, т.к. роутер не успеет их обработать. Поэтому рекомендуется использовать фильтры, указывать направления захвата и ограничивать сторонний трафик во время сбора диагностики.
  • Файл записывается циклически. Если заданный размер будет превышен, начало записи стирается, а новая информация дописывается в конец файла.
Далее более подробно рассмотрим параметры настройки захвата пакетов.
 
Подключение — интерфейс, для которого осуществляется захват пакетов. Как правило, при наличии проблем в работе интернет-центра есть необходимость собирать трафик с активного подключения к Интернету (это может быть интерфейс Провайдер или подключение через USB-модем). В случае, если для подключения к провайдеру используется туннельное подключение (PPTP, L2TP, PPPoE), нужно собирать трафик именно с этого интерфейса.
В случае проблем с прохождением трафика или пробросом портов необходимо параллельно собирать трафик с внешнего интерфейса (например, Провайдер) и интерфейса Домашняя сеть.
 
Место хранения — задает место для сохранения файла в формате Wireshark (файл с расширением *.pcapng), содержащего захваченные пакеты. Если выбрано значение Внешний USB-накопитель, появляется дополнительное поле Каталог для хранения файлов, где необходимо указать путь к папке на внешнем USB-носителе. Если выбрано значение Внутренняя память, файл будет сохраняться во внутренней памяти роутера.
Важно! Если к интернет-центру подключен внешний USB-накопитель с достаточным запасом свободной памяти (по крайней мере больше внутренней), рекомендуется использовать его, чтобы гарантировано поместилось больше полезной информации.
 
Размер буфера — задает размер буфера для временного хранения пакетов в библиотеке захвата (или ядре, в зависимости от платформы). По умолчанию не имеет никаких настроек и для ядра Linux составляет 2 Мб, задается в килобайтах. Минимальное значение - 64Кб, максимальное - <размер оперативной памяти в Кб>/16. Например, для интернет-центра Keenetic Omni максимальный размер буфера может составлять 128*1024/16 = 8192 Кб.
Данная настройка доступна через интерфейс командной строки (CLI) с помощью команды:
monitor capture interface {name} buffer-size {size-kb}
Важно! Рекомендуется устанавливать максимально возможное значение для конкретной модели, чтобы собрать максимально полный дамп пакетов.
 
Максимальный размер файла — максимальный размер выходного файла с захваченными пакетами. Размер задается в килобайтах. Если задан этот параметр, захват осуществляется в кольцевой буфер, а по окончании сеанса захвата сохраняется в выходной файл. Этот параметр необходим для устройств без USB-накопителя. Минимальное значение - 64Кб, максимальное - <размер оперативной памяти в Кб>/16.
Например, для интернет-центра Keenetic Omni максимальный размер буфера может составлять 128*1024/16 = 8192 Кб.
Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} capture-size {size-kb}
 
Максимальный размер пакета — задает максимальный размер данных, который будет сохранен из пришедшего кадра. Параметр всегда возвращает настроенное значение. Значение по умолчанию - 1518, допустимый диапазон - [1...16380].
Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} max-frame-size {size}
 
Тип захватываемого трафика — определяет, какой тип трафика будет захвачен (входящий/исходящий/оба). Значение по умолчанию - Входящий и исходящий. Настройка всегда сохраняется в конфигурацию. Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} direction {direction}
Допустимые значения direction - "in", "out", "in-out". Параметр "no" сбрасывает direction в значение по умолчанию ("in-out").
 
Фильтр захвата — задает строку с описанием фильтра пакетов в формате Berkeley packet filter. Более подробная информация доступна по ссылке: http://biot.com/capstats/bpf.html
Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} filter {bpf-program}
 
Примеры использования фильтров:
ip host x.x.x.x — фильтр, захватывающий пакеты только с адресом x.x.x.x
tcp dst port 80 — фильтр, захватывающий только HTTP-пакеты (порт назначения tcp 80)
ip proto \icmp — фильтр, захватывающий только icmp-запросы (ping)
udp port 53 — фильтр, захватывающий обмен запросами и ответами с DNS-сервером
 
Тайм-аут — задает значение тайм-аута при чтении пакета из интерфейса в миллисекундах. Всегда возвращает настроенное значение. Значение по умолчанию - 1000. Допустимый диапазон - [10...10000].
Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} timeout {timeout-ms}
 
Неразборчивый режим — включает режим "без разбора адресата", в котором записываются все пакеты, включая те, что не предназначены выбранному интерфейсу. В обычном режиме такие пакеты отбрасываются.
Данная настройка доступна через CLI с помощью команды:
[no] monitor capture interface {name} promisc-mode
 
Посмотреть подробное состояние захвата пакетов можно через CLI командой: 
show monitor capture interface [name] status
 
Рассмотрим пример захвата сетевых пакетов с определенного ПК в домашней сети, чтобы отследить обмен ICMP-запросами между этим ПК и каким-то ресурсом в сети Интернет. В этом случае захват пакетов нужно производить с интерфейса локальной сети Home и внешнего (WAN) интерфейса роутера, который подключен к сети Интернет.
IP-адрес ПК в локальной сети: 192.168.4.34
IP-адрес на WAN-интерфейсе ISP: 46.72.188.17
Ресурс в Интернете, на который отправляем пинг-запросы: 8.8.8.8 (в нашем примере это публичный DNS-сервер компании Google)
 
Необходимо создать два фильтра (для интерфейсов Домашняя сеть и Провайдер):
 
1. В локальной сети нужно отфильтровать пакеты с IP-адресом 192.168.4.34 по протоколу icmp (фильтр будет выглядеть ip host 192.168.4.34 and ip proto \icmp). 
 
2. На WAN-интерфейсе нужно отфильтровать пакеты по IP-адресу 8.8.8.8 (на который ПК локальной сети отправляет icmp-запросы) и протоколу icmp (фильтр будет выглядеть ip host 8.8.8.8 and ip proto \icmp).
 В итоге будут созданы два правила, которые нужно запустить кнопкой Запустить.
После запуска роутер начнет собирать пакеты, удовлетворяющие указанным фильтрам. В процессе работы модуля необходимо запустить пинг с компьютера локальной сети до указанного интернет-ресурса.
 
 
После нескольких попыток пинга (удачных или неудачных) необходимо остановить захват пакетов, нажав кнопку Остановить. Чтобы посмотреть сохраненные файлы, нужно нажать на кнопку Сохранить на компьютер. Будет предложено на компьютер сохранить файлы в формате *.pcapng, которые содержат захваченные сетевые пакеты.
Для просмотра файла  *.pcapng необходимо, чтобы на компьютере была установлена программа анализатор сетевого трафика Wireshark.
 
 

KB-5301

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.