知識庫
2017-07-31
SBF1693-如何使用封包擷取功能
本文適用於以下Sophos Lab產品:
適用Sophos XG Firewall v16
本文說明如何使用封包擷取功能,請參考以下步驟操作:
1.一般使用方法
2.進階使用方法
如需更多產品資訊,請與湛揚技術服務中心聯繫,我們將竭誠為您服務!
服務信箱:support@t-tech.com.tw
客服專線:(02)2515-1599
週一至週五 (不含國定假日) 09:00~12:30;13:30~18:00
適用Sophos XG Firewall v16
本文說明如何使用封包擷取功能,請參考以下步驟操作:
1.一般使用方法
1-1.使用管理員帳號及密碼登入您的XG Firewall網頁管理介面。
1-2.切換功能頁面至”監控與分析” > “診斷” > “封包擷取”。
1-3.將”封包擷取”區塊中的開關設置為”ON”,即可在”擷取的封包”區塊中顯示被擷取封包的詳細資訊,也可點擊”重新整理”按鈕立即的刷新頁面以顯示最新被擷取的封包資訊。
1-4.若環境中擷取的封包過多難以觀察到想看的資訊,可點擊”顯示篩選器”按鈕,選用指定的條件來顯示過濾後的封包,例如︰指定”來源IP”為192.168.111.100後,就可以單獨顯示出所有來源IP為192.168.111.100的封包資訊。
1-2.切換功能頁面至”監控與分析” > “診斷” > “封包擷取”。
1-3.將”封包擷取”區塊中的開關設置為”ON”,即可在”擷取的封包”區塊中顯示被擷取封包的詳細資訊,也可點擊”重新整理”按鈕立即的刷新頁面以顯示最新被擷取的封包資訊。
1-4.若環境中擷取的封包過多難以觀察到想看的資訊,可點擊”顯示篩選器”按鈕,選用指定的條件來顯示過濾後的封包,例如︰指定”來源IP”為192.168.111.100後,就可以單獨顯示出所有來源IP為192.168.111.100的封包資訊。
2.進階使用方法
因封包擷取的緩衝區大小只有2048KB,在終端設備較多的環境下,緩衝區很容易在短時間內就存滿了,因而可能發生還未擷取到想要的封包資訊之前封包擷取動作就已停止的情況,此時可使用”BPF字串”針對指定的主機或埠號才擷取封包。
2-1.確認”封包擷取”區塊中的開關設置為”OFF”後,點擊”設定”按鈕。
2-2.將需指定的資訊以特定格式輸入“輸入BPF字串”欄位中。(BPF字串格式請參考”BPF字串範例表”)
2-3.單擊”儲存”以保存設定。
BPF字串範例表
2-1.確認”封包擷取”區塊中的開關設置為”OFF”後,點擊”設定”按鈕。
2-2.將需指定的資訊以特定格式輸入“輸入BPF字串”欄位中。(BPF字串格式請參考”BPF字串範例表”)
2-3.單擊”儲存”以保存設定。
BPF字串範例表
| 指定主機 | host 192.168.1.100 |
| 指定來源主機 | src host 192.168.1.100 |
| 指定目的地主機 | dst host 192.168.1.100 |
| 指定網段 | net 192.168.1.0 |
| 指定來源網段 | src net 192.168.1.0 |
| 指定目的地網段 | dst net 192.168.1.0 |
| 指定埠號 | port 80 |
| 指定來源埠號 | src port 45875 |
| 指定目的地埠號 | dst port 80 |
| 指定主機與指定埠號 | host 192.168.1.100 and port 80 |
| 指定主機並排除指定埠號 | host 192.168.1.100 and port not 22 |
| 指定通訊協定 | proto icmp, proto udp, proto tcp, arp |
2-4.將”封包擷取”區塊中的開關設置為”ON”,此時緩衝區內只會暫存指定主機、網段、埠號、通訊協定的封包,”擷取的封包”區塊也只會顯示出緩衝區目前暫存的資訊。
如需更多產品資訊,請與湛揚技術服務中心聯繫,我們將竭誠為您服務!
服務信箱:support@t-tech.com.tw
客服專線:(02)2515-1599
週一至週五 (不含國定假日) 09:00~12:30;13:30~18:00
湛揚科技Copyright © 2024. All Rights Reserved.
