Захват сетевых пакетов (дамп)

Функция захвата сетевых пакетов позволяет сохранить их для дальнейшего анализа. DosGate осуществляет захват без потерь или маршрутизации пакетов на уровень ОС, а также без возникновения дополнительных задержек.

Механизм записи сетевых пакетов можно держать постоянно-активным. Это не рекомендуется на платформах обрабатывающих более 30Mpps единовременно в рамках модуля dosgate-uh (активное отслеживание соединений и др. проверки) из-за возможной деградации производительности.

Требования

  • Установленный dosgate и dosgate_uh.

Настройка

Во время установки dosgate-uh, вы должны будете указать следующую информацию в основном конфигурационном файле (/etc/dosgate-uh.conf):

capture:
  path: /var/cache/dosgate-uh/capture
  filename: cap_${DEV}_${ID}_${NUM}.pcap
  age: 3600
  count: 10
  size: 10M
  • path, путь для сохранения файлов с захваченными пакетами.
  • filename, сгенерированное название файла. dev = network interface name, num = номер в группе, id = номер в очереди.
  • count, количество файлов в группе для ротации. Например 10.
  • size, максимальный размер сохраняемого файла в мегабайтах. Например 10 мегабайт (10M).
  • age, время ожидания до остановки записи файла. Например 3600 секунд.

Алгоритм ротации

Файл в который сейчас ведется запись всегда имеет ID 0 (например, cap_ens35_000_00.pcap).

После того как размер файла соответствует size или заканчивается age (время в секундах которое выделяется на время записи), файл переименовывается в соответствии с очередью и лимитом count (например, cap_ens35_000_01.pcap или cap_ens35_000_02.pcap).

В случае, если все ID заняты - dosgate обнулит файл с последним ID и начнет его запись повторно. В таком цикле и ротации работа будет продолжаться и дальше.

Шаг 1

Создайте правило захвата сетевых пакетов (действие capture on) и его остановки (действие capture off).

Между capture on и capture off обязательно должно присутствовать правило передачи сетевых пакетов в любую из политик dosgate-uh. Именно на уровне dosgate-uh происходит захват пакетов.

Захват пакетов активируется раньше чем любые настроенные политики безопасности (терминальные действия сброса или передачи трафика конечному получателю).

Шаг 2

Обратитесь к пути сохранения файлов с захваченными пакетами, экспортируйте файл оттуда. Откройте его, например с помощью приложения Wireshark

Шаг 3

Удалите правила capture on и capture off если это требуется