1.Giới thiệu

Packet Capture là quá trình bắt và ghi lại lưu lượng truy cập, từ đó bạn có thể phân tích các gói tin dữ liệu được truyền qua một mạng, giúp điều tra sự cố mạng, giám sát cũng như quản lý mạng. Bài viết này sẽ hướng dẫn cách bắt gói và download PCAP từ Sophos Firewall bằng cách sử dụng PSCP.

2.Các bước thực hiện

Để tạo Packet Capture (bắt gói), ta tiến hành truy cập vào Sophos Firewall CLI thông qua sử dụng Putty hoặc trên trang Web Admin của Sophos Firewall bằng cách ta chọn Console.

Sau đó bạn sẽ phải nhập mật khẩu dùng để truy cập vào Web Admin của Sophos Firewall.

Ở đây ta cần truy cập vào Device Console.

Bạn tiến hành nhập dòng lệnh sau: tcpdump filedump 'host x.x.x.x -s0

Lưu ý: Thay x.x.x.x bằng địa chỉ IP interface của Sophos Firewall.

Nhấn Ctrl + C để dừng quá trình Packet Capture.

Lưu ý: Khi tạo Packet Capture xong, file sẽ được lưu dưới dạng tcpdump.pcap trong thư mục /tmp/data/. Khi bạn bắt đầu tạo 1 Packet Capture khác thì nó sẽ ghi đè lên file Packet Capture đã bắt trước đó. Vì vậy, bạn có thể download xuống hoặc đổi tên file Packet Capture lần đầu tiên trước khi bạn bắt đầu tạo 1 Packet Capture khác.

Để đổi tên bằng cách đi vào Device Management.

Sau đó chọn Advanced Shell.

Chạy với câu lệnh sau:  cp /tmp/data/tcpdump.pcap /tmp/data/ tcpdump1.pcap

Sau khi đã xong các bước trên, ta sẽ tiến hành download Packet Capture thông qua PSCP. Có thể hiểu đơn giản là phần mềm này sẽ giúp bạn di chuyển file trong hệ thống một cách an toàn. Để làm được điều này, bạn cần vào đường link sau để download: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

Tiếp theo bạn mở CMD (Command Prompt) lên và nhập các lệnh sau:

cd Desktop: lệnh cd này sẽ giúp di chuyển file cần lưu vào vị trí mình muốn, ở đây mình chọn Desktop, bạn có thể chọn nơi chứa khác.

pscp.exe -scp admin@172.16.16.1:/tmp/data/tcpdump.pcap /Users/CHAU/Desktop/

Cuối cùng, bạn nhập mật khẩu admin của Sophos Firewall.

Sau khi chạy lệnh xong, bạn ra Desktop sẽ thấy file Packet Capture đã được download xuống.

Sau khi có file, bạn download thêm phần mềm WireShark, đây là phần mềm sẽ giúp bạn đọc được cũng như phân tích các gói tin mạng.

Đến đây thì mình xin kết thúc bài viết, chúc các bạn thực hiện thành công.