Захват локальных пакетов с помощью командной строки

Kaspersky NGFW позволяет захватывать локальные пакеты, проходящие через Kaspersky NGFW, на определенных интерфейсах, вне зависимости от их статуса или конфигурации. Пакеты трафика записываются в файл сетевого дампа до применения к ним механизма MITM. Вы можете использовать захват пакетов для анализа работы Kaspersky NGFW и решения возникающих проблем. По умолчанию захват пакетов выключен. Вы можете включить захват пакетов через командную строку с помощью команд pcapdump, используя параметры по умолчанию либо предварительно задав необходимые параметры.

Управление захватом пакетов

Чтобы запустить или остановить захват пакетов:

  1. Запустите захват пакетов зашифрованного трафика:

    pcapdump start <название интерфейса>

    где <название интерфейса> – это интерфейс, для которого вы хотите запустить захват пакетов.

    Kaspersky NGFW запустит захват пакетов на указанном интерфейсе. Одновременно может быть запущен только один процесс захвата пакетов. Для повторного запуска вам нужно остановить текущий процесс и запустить его заново. Файл сетевого дампа при этом будет перезаписан.

    При достижении одного из параметров запись в файл останавливается. Если в процессе захвата пакетов вы перезагрузите устройство, процесс прервется и вам нужно будет запустить захват пакетов заново.

  2. При необходимости остановите захват пакетов вручную:

    pcapdump stop

Захваченные пакеты трафика будут записаны в файл сетевого дампа traffic_dump.pcap. Файл будет сохранен на устройстве Kaspersky NGFW в разделе /var, и вы можете скачать этот файл. События о процессе захвата пакетов записываются в журнал.

Настройка параметров захвата пакетов

Вы можете просмотреть информацию о текущих параметрах захвата пакетов, выполнив следующую команду в командной строке:

show pcapdump settings

Пример вывода

В таблице ниже описаны команды, которые вы можете использовать для настройки захвата пакетов.

Команды для изменения параметров захвата пакетов

Команда

Описание

Возможные значения

Значение по умолчанию

pcapdump settings duration <значение>

Длительность захвата пакетов, в секундах.

От 1 до 600.

30

pcapdump settings max-packets <значение>

Максимальное число пакетов, которое требуется захватить.

От 1 до 100000.

1000

pcapdump settings direction <значение>

Направление записи пакетов.
  • in – только входящий.
  • out – только исходящий.
  • both – входящий и исходящий.

both

pcapdump settings max-frame-size <значение>

Максимальный размер записываемых данных сетевого фрейма, в байтах.

От 32 до 9000.

1514

pcapdump settings capture-filter-names <список значений>

Названия одного или нескольких фильтров, которые будет применяться для записи пакетов. Только пакеты, удовлетворяющие условиям всех указанных фильтров, будут записаны в файл.

Фильтры необходимо создать вручную.

Список названий фильтров через запятую, без пробелов.

Пусто

После запуска команды соответствующий параметр сохраняется и применяется автоматически после перезагрузки устройства. Изменение параметров не влияет на работоспособность Kaspersky NGFW.

В этом разделе

Фильтрация захватываемых пакетов

Управление файлами сетевого дампа
В начало