网络抓包
操作场景
网络通信中的数据以数据包的形式在设备之间传输,但这一过程通常是不可见的。当出现网络延迟、连接失败、安全威胁等情况时,难以直接观察数据流动,无法快速定位问题。为此,云防火墙提供网络抓包工具,支持通过源/目的IP、端口、协议等多维度精准过滤流量,捕获流量数据包,便于您快速快速获取原始数据包内容、检测攻击并排查安全隐患。
本这章节介绍新建抓包任务检查网络状态、查看抓包任务以及下载抓包结果。
约束限制
- 仅“专业版”防火墙支持网络抓包功能。
- 每日创建最多20个抓包任务,但同一时间仅支持运行1个抓包任务。
- 抓包数最大支持一百万个。
- “状态”为“异常”的任务,抓包结果存在两种情况:
- 抓包数据完全缺失,无法下载。
- 抓包数据部分缺失,已有数据支持下载。
新建抓包任务检查网络状态
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 在左侧导航栏中,单击左上方的
,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“网络抓包”页面。 ,进入
- 单击“新建抓包任务”,在“新建抓包任务”中,填写参数如表1所示。
表1 新建抓包任务 参数名称
参数说明
取值样例
任务名称
自定义抓包任务名称。
命名规则如下:- 可输入中文字符(占用3个字符)、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
- 长度不能超过30个字符。
cfw
最大抓包数
设置最大抓包数。支持输入1~1,000,000之间的整数。
100,000
抓包时长(分钟)
设置抓包的最长时间。支持输入1~10分钟之间的整数。
3
IP类型
设置抓包的IP类型,默认IPv4。
IPv4
协议类型
选择抓包的协议类型。支持选择以下协议:
- Any
- TCP
- UDP
- ICMP
Any
源地址
支持以下输入格式:- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
192.168.10.5
源端口
(可选)设置源端口。
输入规则如下:- 为空时代表所有端口号(1-65535)。
- 支持1-65535范围内的单个端口号。
80
目的地址
目的IP地址支持以下输入格式:- 单个IP地址,如:192.168.10.5
- 多个连续地址,中间使用“-”隔开,如:192.168.0.2-192.168.0.10
- 地址段,使用"/"隔开掩码,如:192.168.2.0/24
192.168.10.6
目的端口
(可选)设置目的端口。
输入规则如下:- 为空时代表所有端口号(1-65535)。
- 支持1-65535范围内的单个端口号。
-
- 单击“确认”,完成抓包任务的创建。
查看抓包任务
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 在左侧导航栏中,单击左上方的
,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“网络抓包”页面。 ,进入
- (可选)当任务较多时,可以通过搜索功能,选择“任务名称”或“IP地址”,并在搜索框中输入关键词,单击
,即可快速查询指定任务。
- 任务名称:支持模糊搜索。输入规则如下:
- 可输入中文字符(占用3个字符)、英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)和特殊字符(-_)。
- 长度不能超过30个字符。
- IP地址:支持输入单个且完整的IP地址,例如0.0.0.0。
- 任务名称:支持模糊搜索。输入规则如下:
- 查看抓包任务信息,参数说明如表2所示。
表2 抓包任务参数说明 参数名称
参数说明
任务名称
抓包任务的名称。
状态
当前任务的状态。
- 执行中:抓包命令已下发,任务进行中。
- 已完成:抓包结果上传完毕,任务已完成。
- 异常:网络原因导致抓包数据上传超时,抓包结果部分缺失。
说明:
您可单击“操作”列中的“复制”,新建一个抓包任务重新执行。
- 截止中:截止命令已下发,抓包结果上传中。
- 已截止:抓包结果上传完毕,任务已提前结束。
协议类型
抓包的协议类型。
IP地址
抓包的IP地址,包括“源地址”和“目的地址”。
端口
抓包的端口,包括“源端口”和“目的端口”。
最大抓包数
当前任务的最大抓包数。
抓包时间
抓包任务运行的起止时间。
抓包时长(分钟)
抓包的运行时长。
剩余保留天数
抓包任务的保留天数,默认7天。
容量
抓包数据的大小。
下载抓包结果
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。
- 在左侧导航栏中,单击左上方的
,选择 ,进入云防火墙的总览页面。
- (可选)切换防火墙实例:在页面左上角的下拉框中切换防火墙。
- 在左侧导航栏中,选择“网络抓包”页面。 ,进入
- 在目标任务所在行的“操作”列中,单击“下载”,查看“抓包结果下载”。
- 抓包结果分享或下载,根据需求选择“抓包结果下载范围”。
分享链接生成后三十分钟内有效,请及时使用或重新生成。
- 无限制:任意人员都可以通过链接下载抓包文件。
- 抓包结果分享:单击右下角“复制全部”,将信息分享给他人。
- 抓包结果下载:单击右下角“跳转”,前往浏览器中,单击“提取码”侧的“复制”,粘贴至“提取码”中,单击“获取分享目录列表”。
- 指定公网IP可用:设置允许下载抓包结果的地址段;仅支持该地址段通过本次生成的链接下载抓包结果。
图1 抓包结果下载- 单次设置最大支持添加三个地址段。
- “抓包结果下载”页面再次打开时,可重新设置地址段并生成新的链接信息。
- 如果您的IP地址不在设置的地址段内,您仍可以分享但无法下载抓包结果。
- 无限制:任意人员都可以通过链接下载抓包文件。
- 分析抓包文件中的数据信息和业务数据信息的一致性,识别并评估网络通信中的安全风险。
相关操作
- 复制任务信息:在目标任务所在行的“操作”列中,单击“复制”,在“新建抓包任务”填写“任务名称”后,单击“确认”,可以快速复制抓包任务。
- 截止抓包任务:在目标任务所在行的“操作”列中,单击“截止”,可以截止抓包任务。
- 删除抓包任务:勾选目标任务,单击列表上方的“删除”,可以批量删除抓包任务。
- 开启互联网边界流量防护请参见开启互联网边界流量防护。
- 开启VPC边界流量防护请参见开启VPC边界流量防护。
- 开启NAT网关流量防护请参见开启NAT网关流量防护。