Mikrotik a tshark/tethereal/packetyzer

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání

Starší verze Mikrotiku neměly žádnou možnost analýzy packetů. I když novější verze už vám dovolí nahlédnout, co v packetu je, pořád se to nedá srovnat s možnostmi, která poskytuje tshark (tethereal) nebo Packetyzer.

Mikrotik ale umí přeposílat všechny packety na jiný stroj - za tímto účelem je zabaluje do packetu ve formátu TZSP, který tshark/tethereal/packetyzer umí rozbalit a analyzovat.

Příklad: necháte v MK, který má IP adresu 10.143.0.27 všechny packety přeposílat na svůj počítač s linuxem. Zajímají vás ale pouze ARP packety. Na linuxu proto napíšete:

tethereal -i ath0 -R "(ip.src == 10.143.0.27) && (tzsp) && (frame[59:2] == 08:06)"

kde "frame[59:2] == 08:06" je filtr, přes který projdou pouze ARP packety a "tzsp" je fitr, přes který projdou pouze packety ve formátu TZSP.