MikroTik 设备如何做抓包和流量记录

RouterOS 为我们提供了一个工具用于抓取设备中的流量数据，可以灵活的过滤接口（子接口）、MAC、协议、甚至是 CPU，并可以生成标准的数据流数据包文件或发送到远端设备，供我们进行分析使用。

工具位置

Winbox –> Tools > Packet Sniffer

使用方法

当我们配置好过滤器之后，我们有两种方式处理抓到的数据包。

配置过滤器

在 Filter 中配置过滤器。

你可以对接口、MAC、协议、IP 地址、端口、CPU、目的地址进行过滤，还可以组合过滤项。

保存到文件

在 General 中填写 File Name 并指定文件的大小，要注意一下你的设备磁盘有足够的空间存放 pacp。

最好的方法还是将抓取的数据包直接发给第三方设备上。

发送到 WireShark

在 Streaming 中添加 Server 和端口，打勾 Streaming Enable 和 Filter Stream，如果不需要流量过滤，则不需要勾选 Filter Stream。

在远端电脑，也就是 Server IP 的电脑，打开 WireShark，选择有线网卡，并添加、启用 udp port 37008 的过滤器，如果你调整了 ROS 侧的端口，Server 端的端口也要调整。

创建捕获过滤器

回到 ROS Winbox 的 Packet Snifter 中，点击 Start，开始抓包。这时候，你在 WireShark 中将看到你抓取到的数据包。

当调整过 Filter 之后，抓包将自动停止，但 Packet Snifter 中仍然显示 Running，需要手动 Stop 并重新 Start。

做流量记录，可以直接把流量甩给 Arkime 这种流量分析系统。