MikroTik Shorts - Wireshark

A RouterOS-ben végezhető forgalmi vizsgálatok első lépcsője kétséget kizáróan a Torch, hiszen itt egy interfacet kiválasztva jobb klikkel a Torch-ra kattintva láthatjuk, hogy milyen forráscímről milyen célcímre, milyen IP csomagok és keretinformációk haladnak. Amikor ez nem elegendő akkor kell a Packet Sniffer tool-hoz nyúlni.

A 3 menü első általános részén megadhatunk memória limit használatot és egyéb alapkonfigurációkat, illetve amennyiben egy file-ba szeretnénk menteni az eredményt úgy annak az elérését is definiálhatjuk. Ilyenkor minden esetben szükséges figyelni az eszköz tárolókapacitására, valamint memóriába kiírás esetén arra, hogy a memory scroll legyen bekapcsolva hiszen ez által a legrégebbi adatokat felülírva lehet folyamatos az adatgyűjtés.

Elemzést az oldalt található 4 gomb segítségével tudunk végezni: Packets, Connections, Hosts, Protocols

Streaming fül: Itt a TZSP (TaZmen Sniffer Protocol) segítségével leszünk képesek arra, hogy az összegyűjtött adatokat továbbítsuk egy csomagelemző program számára mely jelen esetben a Wireshark. A felületen magát a streaming funkciót tudjuk elfogadottá tenni egy radio gomb segítségével majd meg kell adni a szerver IP címét, ahol a Wireshark található, illetve az adott portot melyen kommunikálhatunk. A továbbítandó adatot pedig az utolsó filter fülön tudjuk még jobban paraméterezni.

A filter menü megfelelő használata nagyban megkönnyítheti azt, hogy valóban csak a számunkra éppen érdekes adatokat továbbítsuk, hogy ne vesszünk el az adatrengetegben.

Fontos, hogy az elindított Sniffer szolgáltatás nem áll le a WinBox, SSH, CLI megszakításával/ bezárásával. Így érdemes figyelnünk arra, hogy amikor már nem szükséges feleslegesen ne hagyjuk futni a háttérben.

A Wireshark beállításainál először ki kell választanunk azt az interface-t, ahonnan beérkeznek a csomagok majd a filternél a TZSP protokollra szűrve láthatjuk az ezen keresztül érkező információkat.