ROS路由远程抓包分析网络流量


在Mikrotik路由器上进行抓包分析内网设备流量

在网络分析的时候需要分析某个内网主机或者服务器、网络设备的网络流量情况。ROS在这方面可以通过流式数据的方式,把sniffer数据传递到远程的linux tcpdump工具或者windows的wireshark抓包工具上。进行更友好的网络数据分析。

在win上开启wireshark

注意设置端口为port 37008 不设置将本机所有流量抓出,不好分析

在ROS设备上开启sniffer streaming

在tools-Packet Sniffer里面

设置远程流量接收机器ip

然后设置远程win或者linux的ip,勾选Filter Stream 表示通过规则进行抓包,如果不勾选。将全部流量会镜像到远程主机。

获取感兴趣流量规则

设置filter 表示设置13.1的udp协议数据全部远程镜像给远程主机

其他平台听包设置

1.- Tshark
终端:

tshark -i vmx0 -f "udp port 37008" -n -d udp.port==37008,tzsp

2.- Tcpdump

终端:

tcpdump -i vmx0 -tttt 'udp port 37008' -w capture.pcap
Devops