前言:pfsense自带有tcpdump抓包工具,根据版本的不同,区别在于老版本的可能不支持某些tcpdump的参数。使用之前可以查看tcpdump --help查看支持的参数,在进一步进行配置。
一、登录pfsense的web界面,打开ssh。
二、防火墙放行ssh。
三、使用putty登录pfsense,其他工具因为密钥的关系可能会失败,注意root密码就是admin的密码。
1、输入8进入shell命令行。
2、查看tcpdump支持参数。
[2.4.4-RELEASE][[email protected]]/root: tcpdump --help
tcpdump version 4.9.2
libpcap version 1.8.1
OpenSSL 1.0.2o-freebsd 27 Mar 2018
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
[ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
[ -Q in|out|inout ]
[ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
[ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
[ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
[ -Z user ] [ expression ]
[2.4.4-RELEASE][[email protected]]/root:
3、输入命令
tcpdump icmp -i em0 -s0 -w ./aa.cap
#其他参数
-a 尝试将网络和广播地址转换成名称。
-c<数据包数目> 收到指定的数据包数目后,就停止进行倾倒操作。
-d 把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出。
-dd 把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出。
-ddd 把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出。
-e 在每列倾倒资料上显示连接层级的文件头。
-f 用数字显示网际网络地址。
-F<表达文件> 指定内含表达方式的文件。
-i<网络界面> 使用指定的网络截面送出数据包。
-l 使用标准输出列的缓冲区。
-n 不把主机的网络地址转换成名字。
-N 不列出域名。
-O 不将数据包编码最佳化。
-p 不让网络界面进入混杂模式。
-q 快速输出,仅列出少数的传输协议信息。
-r<数据包文件> 从指定的文件读取数据包数据。
-s<数据包大小> 设置每个数据包的大小,加上-s 0 后可以抓到完整的数据包
-S 用绝对而非相对数值列出TCP关联数。
-t 在每列倾倒资料上不显示时间戳记。
-tt 在每列倾倒资料上显示未经格式化的时间戳记。
-T<数据包类型> 强制将表达方式所指定的数据包转译成设置的数据包类型。
-v 详细显示指令执行过程。
-vv 更详细显示指令执行过程。
-x 用十六进制字码列出数据包资料。
-w<数据包文件> 把数据包数据写入指定的文件。
#注意:ctrl+c停止抓包
4、使用winscp,将包拉到本地查看。
四、是用wireshark查看抓取包内容。