联想网御防火墙抓包方法

2012-03-16 · 网络分析 · 参考资料 · 13399 次阅读

网御防火墙也带有tcpdump抓包功能，网御防火墙使用tcpdump需要使用root登录。

登录用户名为：root
密码为：g8#6vod3

关于tcpdump使用的方法参见linux的《tcpdump的使用手册》。

WEBUI图形化界面的方式

在WEBUI图形化界面中进行抓包相对比较简单，在“状态检测”->“网络测试”中，有“tcpdump”选项，但是只能指定接口来抓包，如下图示：

命令行方式

通过串口、ssh或者telnet的方式登录防火墙。
1，首先需要在防火墙上先要开启相应的管理权限，如下图所示：

2，用户名密码使用dump这是一个专门的抓报用户名。也可以用管理员登录的身份进行抓包，用户名与密码:administrator 或者是用户名：administrator 密码：leadsec@7766 ，不同的版本密码不一样。
3，tcpdump的使用说明和案例
tcpdump -i eth0 -c 1000 –s 0 –w eth0.cap （注：物理设备显示或者WEBUI界面显示的接口名称为FEX表示，而抓包时是以ETHY显示，Y为X-1）
-c 1000 代表抓1000个包，-s 0 代表抓完整的数据包（可省略） -w 代表写入dom ，文件名后坠cap
例如：抓来自192.168.100.77的包，用命令
tcpdump -i eth1 -n host 192.168.100.77 -c 1000 –s 0 –w eth0.cap
-n表示不解析域名
例如：抓来自端口号为9998的包，用命令
tcpdump -i eth1 port 9998 -c 1000 –s 0 –w eth0.cap
例如：抓来自vpn内的包，用命令
tcpdump -i ipsec -c 1000 –s 0 –w eth0.cap
第二步、上传抓包
使用sz eth0.cap命令可以将第一步所抓的包上传到SecureCRT软件安装的目录下的一个download的子目录里，文件名为eth0.cap，用ethereal可以打开这个文件。
dump>sz eth0.cap
第三步、清除抓包文件 ，这个步骤一定要做
用命令rm eth0.cap文件可以清空用tcpdump抓的包