Packet Sniffer / Streaming

In Echtzeit Paketmitschnitte auswerten

Von Mikrotik Routern aus ist es möglich, Paketmitschnitte an einen Server (z. B. Wireshark) zu senden. Dazu wird das TZSP-Protokoll (TaZmen Sniffer Protocol) genutzt, welches die auszuwertenden Pakete in ein UDP-Datagramm einkapselt.

Im Folgenden wird eine Beispielkonfiguration von Mikrotik zu einem Wireshark-Server beschrieben.

 

Mikrotik

 

Unter „Tools“ -> „Packet Sniffer“ das Ziel (den Wireshark-Server) konfigurieren.
Dazu unter Streaming:

  • Streaming Enabled = aktiviert die Übertragung an den Server
  • Server = IP/FQDN des Wireshark-Servers
  • Port = Standard ist 37008
  • Filter Stream = schließt die TZSP-Datagramme an den Server selbst aus (sollte immer aktiviert sein, ansonsten wird der gestreamte Traffic erneut gesnifft und so entsteht eine Schleife, natürlich nur, wenn die Schnittstelle die streamt auch unter „Filter“ -> „Interface“ ausgewählt wurde…)

Unter „Filter“ kann eingestellt werden, was mitgeschnitten werden soll. Die Konfiguration auf Mikrotik-Seite ist damit abgeschlossen.

 

Wireshark

Optional: Einen neuen Mitschnittsfilter anlegen. Damit spart man sich das Eintippen bei späteren Aufrufen:

Aufzeichnen -> Mitschnittsfilter

Hier kann der Filtername frei vergeben werden, der Filterausdruck muss „udp port 37008“ lauten.
Bzw. der Port, der im Mikrotik unter Streaming vergeben wurde (Standard ist 37008).

udp port 37008

Nun die Schnittstelle auswählen und danach unter dem grünen Fähnchen, den gerade erstellen Filter auswählen:

Ansonsten hier „udp port 37008“ eingeben:

Nun werden die Daten in Echtzeit an den Wireshark-Server gesendet und angezeigt:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert