Menu Close

Paketsniffern

Det är två verktyg som jag tar fram väldigt snabbt när jag felsöker flödet av paket i en Fortigate. Det är diagnose sniffer packet & diagnose debug flow. Dessa kommandon gör att man väldigt snabbt får visibilitet på vad som händer med paketet, om det kommer fram till Fortigate och vad som händer med paketet efter detta. I denna artikel går jag igenom delar ett utav dessa kommandon och förklarar utvalda delar av outputen.

Sniffern

den inbyggda sniffern, som är väldigt lik TCP dump, startas med följande syntax:

diagnose sniffer packet <interface> 'filter' <level> <count> <tsformat>
<count> = antalet paket att samla in
<tsformat> justera tidsstämpelformatet
a - Absolut UTC time
l - Lokal tid

Ett exempel kan se ut som följande:

diagnose sniffer packet any 'host 192.168.86.13' 4 0 l

Filter

Om du har svårt att hålla reda på hur man bygger syntax för sniffern så finns det bra hjälp här: https://tcpdump101.com/#

Fyll bara i de olika attributen du vill ha så hjälper sidan dig med att skapa CLI-syntaxet du behöver för att komma vidare. Bilden nedan visar samma exempel som i blocket ovan.

Det finns mycket mer att läsa om hur man gör filter för att se endast det man vill se. Några utav mina favorit filter är:

  • ‘net 192.168.86.0/24’
  • host 192.168.86.13
  • port <Port NR>
  • src host
  • dst host
  • src net
  • dst net

Man kan självklart också kombinera filter. Tex:

diagnose sniffer packet internal 'src net 10.0.0.0/24 and proto icmp and not host 10.0.0.10' 

Filtret ovan visar alla ICMP paket från nätet 10.0.0.0/24 förutom från 10.0.0.10.

Wireshark analys

För att kunna analysera flödet av paket i ett mer praktiskt perspektiv kan det ibland vara bra att kunna exportera sniffern till ett program med GUI, tex Wireshark. För att göra detta behöver du använda dig utav följande växlar efter att du har gjort klart ditt filter:

diag sniffer packet any <'filter'> 6 0 a

Har du däremot en Fortigate av -1 modell (, tex Fortigate 61E, eller 101F) så har din Fortigate en inbyggd hårddisk och då kan du skapa en sniffer för export direkt i gränssnittet.

Klicka sedan på Apply längst ner och för att starta sniffern högerklickar du på den Packet Capture du precis har skapat och väljer start.

Detta är en utav de starkaste anledningarna till att alltid välja en Fortigate med inbyggd hårddisk och det blir ännu tydligare om det inte finns någon FortiAnalyzer tillgänglig för att kunna spara loggarna på.