Захват сетевых пакетов — инструмент диагностики сети, который позволяет захватывать и сохранять пакеты, проходящие через сетевые интерфейсы интернет-центра.
Вы можете включить захват сетевого трафика, проходящего через выбранный интерфейс интернет-центра. В результате будет создан специальный файл, который затем можно открыть для просмотра и анализа на компьютере в программе Wireshark или предоставить для анализа в службу поддержки.
Дамп сетевых пакетов поможет диагностировать проблемы связанные с прохождением трафика в сети, проанализировать, что происходит с конкретными пакетами. На основании этой информации можно будет сделать вывод о корректности или некорректности работы маршрутизации, хоста или шлюза провайдера, определить причины проблемы и варианты их устранения.
NOTE: Важно! При обращении в нашу службу технической поддержки помимо файла с дампом сетевого трафика (*.pcapng), полученного в результате захвата пакетов, нужно обязательно предоставить системный файл self-test.txt. Сохраните его сразу после выполнения захвата пакетов.
Информация одного файла *.pcapng без self-test.txt будет бесполезной, т.к. по дампам невозможно определить условия, в которых осуществлялся захват пакетов.
Чтобы в веб-конфигураторе интернет-центра появилась настройка захвата сетевых пакетов, нужно установить компонент системы "Захват сетевых пакетов". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".
Для выполнения захвата сетевых пакетов перейдите на страницу "Диагностика". В разделе "Захват пакетов" нажмите "Добавить правило захвата".
Откроется окно "Параметры захвата пакетов", в котором обязательно нужно указать "Подключение" (интерфейс, с которого нужно выполнять захват пакетов). В большинстве случаев, это активный интерфейс для подключения в Интернет — "Провайдер". Если же при подключении к Интернету вы используете протокол PPTP, L2TP, PPPoE или 3G/4G-модем, в этих случаях указывайте нужный интерфейс.
В некоторых случаях также может быть интересен трафик на интерфейсе "Домашняя сеть".
Укажите "Место хранения" файла с дампом пакетов. Если ваш интернет-центр имеет порт USB для работы с внешними накопителями, рекомендуем использовать его для сохранения файла. Если интернет-центр не имеет порта USB, файл дампа пакетов будет сохраняться во внутреннюю память устройства.
В поле "Тип захватываемого трафика" можно выбрать значение, в зависимости от того какой именно трафик вы хотите захватить — "Входящий", "Исходящий" или "Входящий и исходящий" (по умолчанию).
При необходимости, в поле "Фильтр захвата" можно применить фильтр, чтобы уменьшить объем захватываемого трафика и сохранить место в памяти для интересующих вас данных. Синтаксис фильтра используется такой же, как Capture Filter в программе Wireshark. Например, с фильтром "host 192.168.1.33 and port 53" будет захвачен только DNS-трафик с хоста 192.168.1.33. Если в поле "Фильтр захвата" ничего не указывать, будет осуществляться захват всех сетевых пакетов, но в этом случае файл с дампом пакетов будет больше в объеме.
Примеры использования фильтров:
ip host x.x.x.x — фильтр, захватывающий пакеты только с адресом x.x.x.x
tcp dst port 80 — фильтр, захватывающий только HTTP-пакеты (порт назначения tcp 80)
ip proto icmp — фильтр, захватывающий только icmp-запросы (ping)
udp port 53 — фильтр, захватывающий обмен запросами и ответами с DNS-сервером
udp port 68 — фильтр, захватывающий обмен запросами и ответами с DHCP-сервером
В остальных полях оставьте значения, которые установлены по умолчанию.
Дополнительную информацию по всем параметрам вы найдете в статье "Расширенная настройка захвата сетевых пакетов"
Теперь можно перейти к запуску захвата пакетов.
NOTE: Важно! Пожалуйста, производите захват пакетов таким образом, чтобы можно было увидеть информацию о трафике при возникновении проблемы. Рекомендуется начать снимать дамп (захват пакетов) до возникновения проблемы.
Чтобы запустить созданное правило нажмите кнопку "Запустить".
Интернет-центр начнет собирать сетевые пакеты.
После того как проблема была воспроизведена, нужно остановить захват пакетов, нажав кнопку "Остановить".
Если в поле "Место хранения" был указан USB-накопитель, файл с дампом сетевых пакетов будет сохранен на него. Если же в поле "Место хранения" указано значение "Внутренняя память", нажмите кнопку "Сохранить на компьютер".
Вам будет предложено сохранить файл в формате *.pcapng, который содержит захваченные сетевые пакеты.
Для просмотра файла дампа пакетов на компьютере используйте программу анализатор сетевого трафика Wireshark.
TIP: Совет:
1. При обращении в нашу службу технической поддержки, помимо полученного файла с дампом сетевых пакетов (*.pcapng), обязательно приложите системный файл self-test.txt, что поможет нашим инженерам быстрее решить вопрос.
2. При отладке проблем с мультикастом (IPTV/VoIP) рекомендуется перед началом сбора пакетов отключить в интернет-центре компонент системы "Сетевой ускоритель".
Пользователи, считающие этот материал полезным: 11 из 12
NOTE: Важно! В данной статье представлена дополнительная информация по настройке захвата сетевых пакетов для опытных пользователей.
Существуют следующие особенности при работе с модулем захвата пакетов:
- При больших объемах проходящего сетевого трафика часть пакетов может быть отброшена, т.к. роутер не успеет их обработать. Поэтому рекомендуется использовать фильтры, указывать направления захвата и ограничивать сторонний трафик во время сбора диагностики.
- Файл записывается циклически. Если заданный размер будет превышен, начало записи стирается, а новая информация дописывается в конец файла.
Далее более подробно рассмотрим параметры настройки захвата пакетов.
"Подключение" — интерфейс, для которого осуществляется захват пакетов. Как правило, при наличии проблем в работе интернет-центра есть необходимость собирать трафик с активного подключения к Интернету (это может быть интерфейс "Провайдер" или подключение через USB-модем). В случае, если для подключения к провайдеру используется туннельное подключение (PPTP, L2TP, PPPoE), нужно собирать трафик именно с этого интерфейса.
В случае проблем с прохождением трафика или пробросом портов необходимо параллельно собирать трафик с внешнего интерфейса (например, "Провайдер") и интерфейса "Домашняя сеть".
"Место хранения" — задает место для сохранения файла в формате Wireshark (файл с расширением *.pcapng), содержащего захваченные пакеты. Если выбрано значение Внешний USB-накопитель, появляется дополнительное поле Каталог для хранения файлов, где необходимо указать путь к папке на внешнем USB-носителе. Если выбрано значение "Внутренняя память", файл будет сохраняться во внутренней памяти роутера.
Если к интернет-центру подключен внешний USB-накопитель с достаточным запасом свободной памяти (по крайней мере больше внутренней), рекомендуется использовать его, чтобы гарантировано поместилось больше полезной информации.
"Размер буфера" — задает размер буфера для временного хранения пакетов в библиотеке захвата (или ядре, в зависимости от платформы). Минимальное значение — 64 Кб, максимальное — /16. Например, для интернет-центра Keenetic Omni (KN-1410) максимальный размер буфера может составлять 128*1024/16 = 8192 Кб.
Рекомендуется устанавливать максимально возможное значение для конкретной модели, чтобы собрать максимально полный дамп пакетов.
"Максимальный размер файла" — максимальный размер выходного файла с захваченными пакетами. Размер задается в килобайтах. Если задан этот параметр, захват осуществляется в кольцевой буфер, а по окончании сеанса захвата сохраняется в выходной файл. Этот параметр необходим для устройств без USB-накопителя. Минимальное значение — 64Кб, максимальное — /16.
Например, для интернет-центра Keenetic Omni (KN-1410) максимальный размер буфера может составлять 128*1024/16 = 8192 Кб.
"Максимальный размер пакета" — задает максимальный размер данных, который будет сохранен из пришедшего кадра. Параметр всегда возвращает настроенное значение. Значение по умолчанию — 1518, допустимый диапазон — [1. 16380].
"Тип захватываемого трафика" — определяет, какой тип трафика будет захвачен (входящий/исходящий/оба). Значение по умолчанию — "Входящий и исходящий". Настройка всегда сохраняется в конфигурацию.
"Фильтр захвата" — задает строку с описанием фильтра пакетов в формате Berkeley packet filter. Синтаксис фильтра используется такой же, как Capture Filter в программе Wireshark.
Примеры использования фильтров:
ip host x.x.x.x — фильтр, захватывающий пакеты только с адресом x.x.x.x
tcp dst port 80 — фильтр, захватывающий только HTTP-пакеты (порт назначения tcp 80)
ip proto icmp — фильтр, захватывающий только icmp-запросы (ping)
udp port 53 — фильтр, захватывающий обмен запросами и ответами с DNS-сервером
"Тайм-аут" — задает значение тайм-аута при чтении пакета из интерфейса в миллисекундах. Всегда возвращает настроенное значение. Значение по умолчанию — 1000. Допустимый диапазон — [10. 10000].
"Неразборчивый режим" — включает режим "без разбора адресата", в котором записываются все пакеты, включая те, что не предназначены выбранному интерфейсу. В обычном режиме такие пакеты отбрасываются.
Рассмотрим пример захвата сетевых пакетов с определенного ПК в домашней сети, чтобы отследить обмен ICMP-запросами между этим ПК и каким-то ресурсом в сети Интернет. В этом случае захват пакетов нужно производить с интерфейса локальной сети "Домашняя сеть" (Home) и внешнего (WAN) интерфейса роутера, который подключен к сети Интернет (в нашем примере это интерфейс "Провайдер").
IP-адрес ПК в локальной сети: 192.168.4.34
IP-адрес на WAN-интерфейсе ISP: 46.72.188.17
Ресурс в Интернете, на который отправляем пинг-запросы: 8.8.8.8 (в нашем примере это публичный DNS-сервер компании Google)
Необходимо создать два фильтра (для интерфейсов "Домашняя сеть" и "Провайдер"):
1. В локальной сети нужно отфильтровать пакеты с IP-адресом 192.168.4.34 по протоколу icmp.
Фильтр будет: ip host 192.168.4.34 and ip proto icmp
2. На WAN-интерфейсе нужно отфильтровать пакеты по IP-адресу 8.8.8.8, на который ПК локальной сети отправляет icmp-запросы, и протоколу icmp.
Фильтр будет: ip host 8.8.8.8 and ip proto icmp
В итоге будут созданы два правила, которые нужно включить, нажав кнопку "Запустить".
После запуска захвата сетевого трафика роутер начнет собирать пакеты, удовлетворяющие указанным фильтрам. В процессе работы модуля необходимо запустить пинг с компьютера локальной сети до указанного интернет-ресурса:
После нескольких попыток пинга (удачных или неудачных) необходимо остановить захват пакетов, нажав кнопку "Остановить". Для просмотра файла *.pcapng используйте программу анализатор сетевого трафика Wireshark.
NOTE: Важно! При обращении в нашу службу технической поддержки помимо файла с дампом сетевого трафика (*.pcapng), полученного в результате захвата пакетов, нужно обязательно предоставить системный файл self-test.txt. Сохраните его сразу после выполнения захвата пакетов.
Информация одного файла *.pcapng без self-test.txt будет бесполезной, т.к. по дампам невозможно определить условия, в которых осуществлялся захват пакетов.
Пользователи, считающие этот материал полезным: 3 из 3
Как выполнить захват сетевых пакетов с помощью программы-анализатора трафика?
Выполнить захват сетевых пакетов (собрать дамп) можно с помощью распространенной программы захвата трафика Wireshark.
Wireshark — программа для анализа сетевых протоколов, которая широко используется для захвата сетевых пакетов. Программа распространяется бесплатно.
Скачать последнюю версию можно с официального сайта программы: http://www.wireshark.org/
Выполните установку на вашем компьютере программы Wireshark. Для завершения установки следуйте инструкциям Wireshark Setup Wizard.
Далее запустите программу.
После запуска вы увидите основное окно программы.
Зайдите в меню Capture > Options или нажмите Ctrl+K для дальнейшей настройки параметров программы.
Вы увидите окно Capture Options.
В разделе Capture в поле Interface выберите из выпадающего списка адаптер, через который будет происходить захват пакетов.
Затем нажмите кнопку 
для начала захвата пакетов.
Подключите ваш компьютер к LAN-порту вашего устройства. Подождите пока ваш компьютер получит IP-адрес от устройства (если включен DHCP-сервер), или установите на компьютере вручную IP-адрес из той же подсети, что и LAN IP-адрес устройства.
В программе Wireshark вы увидите все захваченные пакеты, которые присутствуют на LAN-порту устройства.
Пожалуйста, производите захват пакетов таким образом, чтобы можно было увидеть информацию о трафике при возникновении проблемы.
Для завершения захвата пакетов нажмите кнопку 
на панели инструментов программы Wireshark.
Зайдите в меню File > Save As… для сохранения захваченных данных в файл.
Выберите местоположение, введите имя файла и нажмите кнопку 
для сохранения пакетов.
По запросу от инженера технической поддержки полученный файл можно отправить в нашу службу поддержки.
Для удобства поиска/просмотра информации о нужных пакетах в программе Wireshark можно отфильтровать захваченные пакеты по IP-адресу или номеру порта.
Приведем примеры:
