Etiket arşivi: sniff

fortigatede sniff

Fortigate temelde bir Linux türevidir. Paket dinleme programı olarak ta TcpDump programı veya bu programa yakın bir program kullanılmaktadır. Paket dinleme esnasında çıkan çıktıyı anlamak için TcpDump komutunu inceleyebilirsiniz.

kullanımla ilgili bir kaç örnek verirsek;
diagnose sniffer packet ppp0 ‘dst port 80 or port 25’
komutu ppp0 interfacesinden akan ve hedef portu 80 ve 25 olan paketleri dinler.

interfaces=[ppp0]
filters=[dst port 80 or port 25]
1.269714 85.99.120.xx.51012 -> 69.13.135.1x.80: ack 1894232295
1.286980 85.99.120.xx.51012 -> 69.13.135.1x.80: ack 1894233735
1.287044 85.99.120.xx.51012 -> 69.13.135.1x.80: ack 1894233735
1.287174 85.99.120.xx.51012 -> 69.13.135.1x.80: ack 1894235436 olduğu gibi.

diagnose sniffer packet ppp0 ‘src port 80 or port 25’
komutu ppp0 intefacesinden akan ve source (kaynak) portu 80 ve 25 olan paketleri dinler.

interfaces=[ppp0]
filters=[src port 80 or port 25]
1.578004 69.13.135.1xx.80 -> 85.99.1x.x.51012: 1894684374 ack 3503966921
1.581211 69.13.135.1xx.80 -> 85.99.1x.x.51012: 1894685814 ack 3503966921

diag sniffer packet internal none 1 3
internal bacağından 3 adet paket dinler.
diag sniffer packet internal ‘src host 192.168.2.254 and dst port 80’
internal baçağında kaynak ipsi 192.168.2.254 olan ve dst portu 80 olan paketleri görüntüler.

fortigate de interfaceleri dinlemek

öncelikle fortigate de interfaceslar
local bacak:internal
dmz:dmz
wan1:ppp0
wan2:ppp1
olarak adlandırılır. bunları
diagnose ip address list komutunu verdiğimizde çıkan çıktıdaki
IP=10.10.10.1->10.10.10.1/255.255.255.0 index=4 devname=dmz1
IP=192.168.2.254->192.168.2.254/255.255.255.0 index=6 devname=internal
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=7 devname=root
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=8 devname=vsys_ha
IP=85.105.x.xxx->85.105.x.1/255.255.255.255 index=11 devname=ppp1
IP=85.99.xxx.xx->85.99.xxx.1/255.255.255.255 index=10 devname=ppp0 kısımlarında gözlemleyebiliriz.

İnterfacesleri dinlemek için
diagnose sniffer packet komutu verildiğin de sistem üzerinden akan tüm trafik sniff edilir. Biz sadece istediğimiz interfaces de istediğimiz portları dinlemek istersek eğer bunun için;

diagnose sniffer packet ppp0 ‘port 80’ komutunu kullanabiliriz. Burada ppp0 wan1 portunu port 80 ise 80. portu dinlediğimizi bildirir. Komut verildiğinde çıktı aşağıdaki gibi olacaktır.

interfaces=[ppp0]
filters=[port 80]
1.133228 85.105.112.28.34410 -> 85.99.120.86.80: psh 42129564 ack 2262099338
1.133441 85.99.120.86.80 -> 85.105.112.28.34410: ack 42129988
1.269428 69.13.135.135.80 -> 85.99.120.86.51012: 1889874324 ack 3503966921
1.269588 85.99.120.86.51012 -> 69.13.135.135.80: ack 1889875764
1.272650 69.13.135.135.80 -> 85.99.120.86.51012: 1889875764 ack 3503966921
1.272784 85.99.120.86.51012 -> 69.13.135.135.80: ack 1889877204