Manuale Utente (Inglese)

Le seguenti funzionalità sono disponibili quando si lavora con il modulo Cattura dei pacchetti di rete:

Successivamente, esamineremo più da vicino le impostazioni di acquisizione dei pacchetti.

Connessione — l'interfaccia per la quale viene eseguita l'acquisizione dei pacchetti. Di solito, in caso di problemi con il Router, è necessario raccogliere il traffico da una connessione Internet attiva (può essere un'interfaccia WAN ISP o una connessione tramite un modem USB). Se per la connessione all'ISP viene utilizzata una connessione tunnel (PPTP, L2TP, PPPoE), il traffico deve essere raccolto da questa interfaccia. In caso di problemi con il flusso di traffico o il port forwarding, si consiglia di raccogliere il traffico sia dall'interfaccia WAN (ad es. ISP) sia dall'interfaccia della rete Domestica.

Posizione di archiviazione specifica la posizione per il salvataggio del file in formato Wireshark (estensione *.pcapng) contenente i pacchetti acquisiti. Se viene selezionata un'unità USB esterna, viene visualizzato un campo aggiuntivo Cartella di archiviazione, in cui è necessario definire il percorso della cartella sull'unità USB esterna. Se è selezionata l'Archiviazione interna, il file verrà salvato nella memoria interna del Router. Se al Router è collegata un'unità USB esterna con memoria libera sufficiente (almeno quanto la memoria interna), si consiglia di utilizzarla per garantire la memorizzazione di informazioni più utili.

Dimensione del buffer imposta la dimensione del buffer per la memorizzazione temporanea dei pacchetti nella libreria di acquisizione (o nel kernel, a seconda della piattaforma). Il valore minimo è 64 KB, il massimo è [dimensione RAM in KB]/16. Ad esempio, per il modello KN-1711, la dimensione massima del buffer può essere 128*1024/16 = 8192 KB. Si consiglia di impostare il valore massimo possibile per un determinato modello al fine di raccogliere il dump di pacchetti più completo.

Dimensione massima del file — la dimensione massima del file di output con i pacchetti acquisiti. La dimensione è specificata in kilobyte. Se questo parametro è impostato, l'acquisizione viene eseguita in un buffer circolare e salvata nel file di output al termine della sessione di acquisizione. Questo parametro è necessario per i dispositivi che non dispongono di una memoria USB. Il valore minimo è 64 KB, il massimo è [dimensione RAM in KB]/16. Ad esempio, per il modello KN-1711, la dimensione massima del buffer può essere 128*1024/16 = 8192 KB.

Dimensione massima dei pacchetti specifica la quantità massima di dati che verranno salvati dal frame ricevuto. Il parametro restituisce sempre il valore configurato. Il valore predefinito è 1518, l'intervallo accettabile è [1...16380].

Tipo di traffico da acquisire determina quale tipo di traffico verrà acquisito (in entrata/in uscita/entrambi). Il valore predefinito è In entrata e in uscita. L'impostazione selezionata viene sempre salvata nella configurazione.

Filtro di acquisizione specifica una stringa che descrive il filtro dei pacchetti in formato Berkeley packet filter. La sintassi del filtro è la stessa utilizzata in Wireshark.

Esempi di utilizzo dei filtri:

ip host x.x.x.x — un filtro che acquisisce solo i pacchetti con l'indirizzo x.x.x.x

tcp dst port 80 — un filtro che acquisisce solo i pacchetti HTTP (porta di destinazione tcp 80)

ip proto \icmp — un filtro che acquisisce solo le richieste ICMP (ping)

udp port 53 — un filtro che acquisisce le richieste e le risposte scambiate con un server DNS

udp port 67 or udp port 68 or arp — un filtro che acquisisce le richieste DHCP e ARP scambiate

Timeout imposta il valore di timeout durante la lettura di un pacchetto dall'interfaccia, in millisecondi. Restituisce sempre il valore configurato. Il valore predefinito è 1000. L'intervallo accettabile è [10...10000].

Modalità promiscua — abilita la logica per registrare tutti i pacchetti, compresi quelli non destinati all'interfaccia selezionata. In modalità normale, tali pacchetti vengono scartati.

Ad esempio, consideriamo l'acquisizione di pacchetti di rete da un PC su una rete domestica per tracciare le richieste ICMP tra quel PC e una risorsa su Internet. In questo caso, l'acquisizione dei pacchetti deve essere eseguita dall'interfaccia del segmento Domestico e dall'interfaccia esterna (WAN) del Router connesso a Internet (nel nostro esempio, questa è l'interfaccia ISP).

L'indirizzo IP del PC sulla rete locale è 192.168.4.34 e l'indirizzo IP sull'interfaccia WAN dell'ISP è 46.72.188.17

La risorsa Internet a cui inviamo le richieste di ping è 8.8.8.8 (nel nostro esempio, questo è il server DNS pubblico di Google).

È necessario creare due filtri (per le interfacce Segmento Domestico e ISP):

1. Sulla rete locale, è necessario filtrare i pacchetti con l'indirizzo IP 192.168.4.34 utilizzando il protocollo ICMP.

Il filtro sarà: ip host 192.168.4.34 and ip proto \icmp

2. Sull'interfaccia WAN, è necessario filtrare i pacchetti per indirizzo IP 8.8.8.8, a cui il PC della rete locale invia richieste ICMP, e per protocollo ICMP.

Il filtro sarà: ip host 8.8.8.8 and ip proto \icmp

Di conseguenza, verranno create due regole, che è necessario abilitare facendo clic sul pulsante Avvia (Start).

Dopo aver avviato l'acquisizione del traffico di rete, il Router inizierà a raccogliere i pacchetti che corrispondono ai filtri specificati. Quando il modulo è in esecuzione, è necessario eseguire il ping della risorsa Internet specificata da un computer della rete locale:

ping 8.8.8.8 -t

Dopo diversi tentativi di ping (riusciti o meno), interrompere l'acquisizione dei pacchetti facendo clic sul pulsante Ferma (Stop). Per visualizzare il file *.pcapng, utilizzare l'analizzatore di traffico di rete Wireshark.