在Mikrotik路由器上进行抓包分析内网设备流量
在网络分析的时候需要分析某个内网主机或者服务器、网络设备的网络流量情况。ROS在这方面可以通过流式数据的方式,把sniffer数据传递到远程的linux tcpdump工具或者windows的wireshark抓包工具上。进行更友好的网络数据分析。
在win上开启wireshark
注意设置端口为port 37008 不设置将本机所有流量抓出,不好分析
在ROS设备上开启sniffer streaming
在tools-Packet Sniffer里面
设置远程流量接收机器ip
然后设置远程win或者linux的ip,勾选Filter Stream 表示通过规则进行抓包,如果不勾选。将全部流量会镜像到远程主机。
获取感兴趣流量规则
设置filter 表示设置13.1的udp协议数据全部远程镜像给远程主机
其他平台听包设置
1.- Tshark
终端:
tshark -i vmx0 -f "udp port 37008" -n -d udp.port==37008,tzsp
2.- Tcpdump
终端:
tcpdump -i vmx0 -tttt 'udp port 37008' -w capture.pcap