วิธีจับการรับส่งข้อมูลเครือข่ายทั้งหมดใน pfSense เพื่อตรวจหาปัญหา

March 19, 2021 แมตต์มิลส์ วิธีการ, ซอฟต์แวร์ 0

ระบบปฏิบัติการ pfSense มุ่งเน้นไปที่ไฟร์วอลล์และทำหน้าที่เป็นเราเตอร์ช่วยให้สามารถบันทึกการรับส่งข้อมูลเครือข่ายทั้งหมดในอินเทอร์เฟซบางอย่างที่เราได้กำหนดค่าไว้ทั้งจาก WAN และ LAN และแน่นอนว่ายังช่วยให้สามารถจับการรับส่งข้อมูลของ VLAN บางอย่างหากเรากำหนดค่าไว้ในคอมพิวเตอร์ เราจะสามารถจับการรับส่งข้อมูลได้ทั้งสองทิศทางทั้งในการดาวน์โหลดและอัปโหลดและยังอนุญาตให้ จำกัด ด้วยที่อยู่ IP และแม้แต่พอร์ต TCP / UDP วันนี้ในบทความนี้เราจะแสดงวิธีจับการรับส่งข้อมูลเครือข่ายเพื่อทำการวิเคราะห์อย่างละเอียดและดูว่ามีปัญหาใด ๆ หรือไม่

เหตุใดฉันจึงต้องการจับภาพการรับส่งข้อมูลในเครือข่าย

การดักจับการรับส่งข้อมูลบนเครือข่ายเป็นสิ่งสำคัญมากในการตรวจจับปัญหาการสื่อสารที่อาจเกิดขึ้น ลองจินตนาการว่าคอมพิวเตอร์เครื่องใดเครื่องหนึ่งต้องส่งหรือรับปริมาณการใช้งานบางอย่างและไม่ได้รับมันเป็นไปได้ว่ากฎในไฟล์ ไฟร์วอลล์ กำลังป้องกันหรือว่าปัญหาไม่ได้อยู่ในไฟร์วอลล์ แต่อยู่ในสวิตช์ที่เราเชื่อมต่อ เป็นเรื่องปกติมากที่จะมีการกำหนดค่าสวิตช์ด้วย ACL บางตัวเพื่อปกป้องเครือข่ายเพิ่มเติมและเรายังสามารถเปิดใช้มาตรการตอบโต้ประเภทต่างๆสำหรับการโจมตี DoS ที่อาจเกิดขึ้นในเครือข่ายท้องถิ่น ในกรณีที่การรับส่งข้อมูลไปไม่ถึง pfSense อาจเป็นไปได้ว่าปัญหาอยู่ที่ "ตรงกลาง" นั่นคือในสวิตช์ดังนั้นจะช่วยให้เราสามารถขจัดปัญหาการกำหนดค่าและดูการรับส่งข้อมูลทั้งหมดได้

pfsense

หากเรามีปัญหาการสื่อสารบางประเภทและเราไม่พบว่าปัญหาอยู่ที่ใดเราต้องแยกแยะว่าเป็นปัญหากับไฟร์วอลล์ / เราเตอร์ด้วย pfSense จากนั้นไปตรวจสอบสวิตช์ต่างๆที่เรามีอยู่ . นี่คือที่ที่«การจับแพ็คเก็ต»ของ pfSense เข้ามาซึ่งจะช่วยให้เราสามารถบันทึกการรับส่งข้อมูลทั้งหมดของอินเทอร์เฟซเครือข่ายบางอย่างได้

"การดักจับแพ็กเก็ต" ทำงานอย่างไรใน pfSense

อุปกรณ์ดักจับการรับส่งข้อมูลได้รับการติดตั้งโดยค่าเริ่มต้นในระบบปฏิบัติการ pfSense เราจะไม่ต้องติดตั้งผ่านรายการซอฟต์แวร์ที่มีอยู่ซึ่งเรามีความเป็นไปได้ในการติดตั้ง เราต้องไปที่ " การวินิจฉัย / การจับแพ็คเก็ต ” เพื่อดูตัวเลือกการกำหนดค่าที่มี

ในส่วนนี้เราจะมีตัวเลือกการกำหนดค่าที่แตกต่างกันในการ "ปรับแต่ง" ตัวจับแพ็กเก็ตซึ่งเป็นสิ่งพื้นฐานที่จะไม่ดักจับการรับส่งข้อมูลเครือข่ายทั้งหมด แต่เฉพาะการรับส่งข้อมูลที่เราเลือกโดยเฉพาะ

สิ่งแรกที่เราต้องทำคือ« อินเตอร์เฟซ «ที่นี่เราต้องเลือกอินเทอร์เฟซทางกายภาพหรือเชิงตรรกะ (หากคุณใช้ VLAN) เพื่อใช้ในการจับแพ็กเก็ต

ระบบปฏิบัติการ pfSense ช่วยให้เราสามารถเปิดใช้งาน“ โหมดสำส่อน” ได้ ใน“ โหมดไม่สำส่อน” ระบบจะจับเฉพาะการรับส่งข้อมูลโดยตรงไปยังโฮสต์ที่ส่งผ่านอินเทอร์เฟซที่กำหนด ใน "โหมดสำส่อน" เราจะเปิดใช้งานโหมดการดมกลิ่นและจะเก็บข้อมูลทั้งหมดที่อะแดปเตอร์เครือข่ายเห็นอย่างไรก็ตามเป็นไปได้ว่าฮาร์ดแวร์ที่คุณใช้ใน pfSense ไม่รองรับฟังก์ชันนี้

นอกจากนี้เรายังสามารถเลือกและกรองว่าเราต้องการ IPv4, IPv6 หรือโปรโตคอลเครือข่ายทั้งสอง

ต่อไปเราจะต้องเลือกโปรโตคอลที่เราต้องการจับภาพเราสามารถจับโปรโตคอลใดก็ได้ (Any) หรือกรองตาม ICMP, TCP, UDP และอื่น ๆ อีกมากมาย

ตัวเลือกอื่น ๆ ที่มีให้คือความเป็นไปได้ในการเลือกตัวเลือก“ ที่อยู่โฮสต์” ตัวเลือกนี้ช่วยให้เราจับได้เฉพาะการรับส่งข้อมูลที่มีต้นทางหรือปลายทางที่อยู่ IP หรือที่อยู่ MAC ที่เฉพาะเจาะจงเท่านั้น (หากเชื่อมต่อโดยตรงกับซับเน็ตเดียวกัน) หากเราไม่ใส่อะไรเลยมันจะจับแพ็กเก็ตทั้งหมดที่เดินทางผ่านอินเทอร์เฟซโดยไม่ต้องกรองด้วย IP หรือ MAC เลย

นอกจากนี้เรายังสามารถกำหนดค่าพอร์ตต้นทางหรือปลายทางได้หากเราใช้ TCP และ / หรือ UDP ซึ่งเหมาะอย่างยิ่งสำหรับการจับภาพทราฟฟิกที่เราสนใจเท่านั้น โปรโตคอลเลเยอร์แอปพลิเคชันทั้งหมดใช้ประโยชน์จากพอร์ตต้นทางและปลายทางที่เฉพาะเจาะจงตัวอย่างเช่นหากเราต้องการจับการรับส่งข้อมูล HTTP เราจะใส่พอร์ต 80 และกรองตาม TCP เนื่องจากเป็นสิ่งที่โปรโตคอล HTTP ของแอปพลิเคชันเลเยอร์

ใน“ ความยาวแพ็คเก็ต” เราจะต้องใส่ 0 เพื่อจับภาพเฟรมทั้งหมดและไม่ จำกัด ด้วยขนาดเฟรมและใน“ จำนวน” ขอแนะนำให้ใส่ 0 เพื่อบันทึกการรับส่งข้อมูลทั้งหมดจนกว่าเราจะหยุดด้วยตนเองโดยค่าเริ่มต้นจะเป็น มูลค่า 100 ซึ่งอาจน้อยมากขึ้นอยู่กับอุปกรณ์ที่มีปัญหา

ในส่วน "ระดับรายละเอียด" เราสามารถทำให้การจับภาพเครือข่ายแสดงในส่วนล่างโดยมีรายละเอียดมากหรือน้อย แต่ในกรณีส่วนใหญ่สิ่งที่เราจะทำคือดาวน์โหลดการดักจับข้อมูลและตรวจสอบอย่างละเอียดในโปรแกรมเช่น Wireshark

ในกรณีของเราเราจะจับปริมาณการใช้งานสมาร์ทโฟนของเราเพื่อตรวจสอบว่าเรากำลังส่งข้อมูลใดไปยังอินเทอร์เน็ตเราจะกรองตามโปรโตคอล "ใด ๆ " และพอร์ตใด ๆ นั่นคือเราจะดักจับการรับส่งข้อมูลทั้งหมดที่ไปหรือ มาจาก 10.11.1.4

ในตัวอย่างนี้เราจะจับภาพด้วยความยาวแพ็คเก็ตเท่าใดก็ได้ แต่สูงสุด 100 แพ็คเก็ต ระดับรายละเอียดเป็น "ปกติ" และเราคลิกที่ "เริ่ม" เพื่อเริ่มการบันทึกข้อมูล

ในขณะที่ตัวจับแพ็กเก็ตกำลังทำงานเราจะเห็นว่ามันจะแสดงปุ่ม "หยุด" ให้เราและด้านล่างเราจะเห็น "การจับแพ็กเก็ตกำลังทำงานอยู่"

เมื่อเราคลิกที่«หยุด»มันจะแสดงให้เราเห็นเมื่อการจับภาพเริ่มต้นขึ้นและเมื่อหยุดลง เราสามารถดูภาพหน้าจอด้านล่าง แต่เรามีข้อมูลน้อยมากเนื่องจากระดับของรายละเอียดอยู่ในระดับ "ปกติ" ในกรณีส่วนใหญ่ที่ดีที่สุดคือคลิกที่“ ดาวน์โหลดการจับภาพ” และดาวน์โหลดการบันทึกข้อมูลเพื่อทำการวิเคราะห์เพิ่มเติม

ในขณะที่เราติดตั้งโปรแกรม Wireshark สิ่งที่เราจะทำได้คือเปิดการจับภาพนี้โดยตรงเพื่อตรวจสอบการจับภาพโดยละเอียด

ดังที่คุณเห็นด้านล่างเรามีการบันทึกข้อมูลทั้งหมดใน Wireshark และเราสามารถดูการรับส่งข้อมูลขาเข้าและขาออกทั้งหมดไปยังสมาร์ทโฟนของเรา

ดังที่คุณได้เห็นแล้วการจับภาพการรับส่งข้อมูลด้วย pfSense นั้นง่ายมากและง่ายมากและจะช่วยให้เราตรวจพบปัญหาการสื่อสารที่อาจเกิดขึ้นของอุปกรณ์ต่างๆและขจัดปัญหาการกำหนดค่าของสวิตช์ pfSense หรือในพีซีโดยตรง