网络抓包

操作场景

网络通信中的数据以数据包的形式在设备之间传输，但这一过程通常是不可见的。当出现网络延迟、连接失败、安全威胁等情况时，难以直接观察数据流动，无法快速定位问题。为此，云防火墙提供网络抓包工具，支持通过源/目的IP、端口、协议等多维度精准过滤流量，捕获流量数据包，便于您快速快速获取原始数据包内容、检测攻击并排查安全隐患。

本这章节介绍新建抓包任务检查网络状态、查看抓包任务以及下载抓包结果。

约束限制

• 仅“专业版”防火墙支持网络抓包功能。
• 每日创建最多20个抓包任务，但同一时间仅支持运行1个抓包任务。
• 抓包数最大支持一百万个。
• “状态”为“异常”的任务，抓包结果存在两种情况：
  • 抓包数据完全缺失，无法下载。
  • 抓包数据部分缺失，已有数据支持下载。

新建抓包任务检查网络状态

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“系统管理 > 网络抓包”，进入“网络抓包”页面。
6. 单击“新建抓包任务”，在“新建抓包任务”中，填写参数如表1所示。

   表1 新建抓包任务

   参数名称	参数说明	取值样例
   任务名称	自定义抓包任务名称。 命名规则如下： 可输入中文字符（占用3个字符）、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（-_）。 长度不能超过30个字符。	cfw
   最大抓包数	设置最大抓包数。支持输入1~1,000,000之间的整数。	100,000
   抓包时长（分钟）	设置抓包的最长时间。支持输入1~10分钟之间的整数。	3
   IP类型	设置抓包的IP类型，默认IPv4。	IPv4
   协议类型	选择抓包的协议类型。支持选择以下协议： Any TCP UDP ICMP	Any
   源地址	支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24	192.168.10.5
   源端口	（可选）设置源端口。 输入规则如下： 为空时代表所有端口号（1-65535）。 支持1-65535范围内的单个端口号。	80
   目的地址	目的IP地址支持以下输入格式： 单个IP地址，如：192.168.10.5 多个连续地址，中间使用“-”隔开，如：192.168.0.2-192.168.0.10 地址段，使用"/"隔开掩码，如：192.168.2.0/24	192.168.10.6
   目的端口	（可选）设置目的端口。 输入规则如下： 为空时代表所有端口号（1-65535）。 支持1-65535范围内的单个端口号。	-

7. 单击“确认”，完成抓包任务的创建。

查看抓包任务

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“系统管理 > 网络抓包”，进入“网络抓包”页面。
6. （可选）当任务较多时，可以通过搜索功能，选择“任务名称”或“IP地址”，并在搜索框中输入关键词，单击，即可快速查询指定任务。
   • 任务名称：支持模糊搜索。输入规则如下：
     • 可输入中文字符（占用3个字符）、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（-_）。
     • 长度不能超过30个字符。
   • IP地址：支持输入单个且完整的IP地址，例如0.0.0.0。

7. 查看抓包任务信息，参数说明如表2所示。

   表2 抓包任务参数说明

   参数名称	参数说明
   任务名称	抓包任务的名称。
   状态	当前任务的状态。 执行中：抓包命令已下发，任务进行中。 已完成：抓包结果上传完毕，任务已完成。 异常：网络原因导致抓包数据上传超时，抓包结果部分缺失。 说明： 您可单击“操作”列中的“复制”，新建一个抓包任务重新执行。 截止中：截止命令已下发，抓包结果上传中。 已截止：抓包结果上传完毕，任务已提前结束。
   协议类型	抓包的协议类型。
   IP地址	抓包的IP地址，包括“源地址”和“目的地址”。
   端口	抓包的端口，包括“源端口”和“目的端口”。
   最大抓包数	当前任务的最大抓包数。
   抓包时间	抓包任务运行的起止时间。
   抓包时长（分钟）	抓包的运行时长。
   剩余保留天数	抓包任务的保留天数，默认7天。
   容量	抓包数据的大小。

下载抓包结果

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择区域。
3. 在左侧导航栏中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的总览页面。
4. （可选）切换防火墙实例：在页面左上角的下拉框中切换防火墙。
5. 在左侧导航栏中，选择“系统管理 > 网络抓包”，进入“网络抓包”页面。
6. 在目标任务所在行的“操作”列中，单击“下载”，查看“抓包结果下载”。
7. 抓包结果分享或下载，根据需求选择“抓包结果下载范围”。
   

   分享链接生成后三十分钟内有效，请及时使用或重新生成。

   • 无限制：任意人员都可以通过链接下载抓包文件。
     • 抓包结果分享：单击右下角“复制全部”，将信息分享给他人。
     • 抓包结果下载：单击右下角“跳转”，前往浏览器中，单击“提取码”侧的“复制”，粘贴至“提取码”中，单击“获取分享目录列表”。
   • 指定公网IP可用：设置允许下载抓包结果的地址段；仅支持该地址段通过本次生成的链接下载抓包结果。
     设置完成后单击“生成链接”，抓包结果的所有文件将展示在下方列表中。

     • 单个/多个抓包结果分享：单击列表中“下载链接”列的“复制链接”，将信息分享给他人。

       对方收到信息后，将链接信息粘贴至浏览器中，可直接下载抓包结果文件。

     • 抓包结果下载：
       • 下载单个结果：单击列表中“下载链接”列的“下载”，获取单个结果文件。
       • 下载全部结果：单击右下角“下载全部”，获取全部结果文件。
   图1 抓包结果下载
   
   

   • 单次设置最大支持添加三个地址段。
   • “抓包结果下载”页面再次打开时，可重新设置地址段并生成新的链接信息。
   • 如果您的IP地址不在设置的地址段内，您仍可以分享但无法下载抓包结果。

8. 分析抓包文件中的数据信息和业务数据信息的一致性，识别并评估网络通信中的安全风险。

相关操作

• 复制任务信息：在目标任务所在行的“操作”列中，单击“复制”，在“新建抓包任务”填写“任务名称”后，单击“确认”，可以快速复制抓包任务。
• 截止抓包任务：在目标任务所在行的“操作”列中，单击“截止”，可以截止抓包任务。
• 删除抓包任务：勾选目标任务，单击列表上方的“删除”，可以批量删除抓包任务。
• 开启互联网边界流量防护请参见开启互联网边界流量防护。
• 开启VPC边界流量防护请参见开启VPC边界流量防护。
• 开启NAT网关流量防护请参见开启NAT网关流量防护。