fgt2eth(FGT抓包信息转换成.pcap格式的工具)
2015-10-17 22:32:24   来源:FORTINET   评论:0 点击:

用于数据格式的转换,将屏幕上diagnose sniffer packet XXX 6打印出的文本信息转换wireshark软件可以打开的报文格式。
下载方式:
不携带Perl解析器安装文件的版本下载
http://support.fortinet.com.cn/uploadfile/2015/1029/20151029045716170.rar  (743K)

携带Perl解析器安装文件的版本下载:
http://pan.baidu.com/s/1kTF7V19 (53M)

转换步骤:

一、数据格式转换
1.1 通过该命令( 例:diagnose sniffer packet wan1 tcp 6 100)抓取数据包,会直接输出到屏幕上,需要通过SecureCRT 相关工具进行抓包数据的收集。
1.2 使用抓包命令的级别为6时,导出的文件才能被Wireshark识别。
1.3 要获取大量抓包信息时,SecureCRT 工具应通过远程TELNET/SSH连接到防火墙。如果使用主机串口来抓包,由于串口速率低,获取大量数据时速度非常慢。
1.4 使用单独提供的脚本程序文件进行转换,主机必须提前安装Perl的解释程序和Wireshark软件,并在提供的转换脚本程序中做必要的路径指向。

二、SecureCRT配置
正常安装SecureCRT 软件,并通过远程方式登陆到防火墙。
2.1 配置SecureCRT:File > Log Session,选择配置文件存储的路径,文件格式为*.txt
2.2 防火墙上执行抓包命令
FGT # diagnose sniffer packet <'filter'>6
其中6 代表抓到的包输出文件支持经过转换为Wireshark格式文件。

三、脚本程序
在此页下面附件内下载fgt2eth.pl文件,并使用编辑器进行编辑。由于文件转换成pacp文件格式需要使用到抓包软件的text2pacp.exe程序,比如Wireshark的text2pacp.exe,所以需要在脚本中指明text2pcap.exe的路径。text2pcap.exe所在路径是Wireshark的安装路径。找到如下脚本行,按实际情况修改红色部分,注意路径需要用两个"\",即“\\”.
# Path to the windows text2pcap.exe
# You need to double character '\'
  my $text2pcapdirwin   = "c:\\Progra~1\\Ethereal";
# Use wireshark text2pcap if installed
  $text2pcapdirwin   = "D:\\Program Files\\Wireshark" if -e "D:\\Program Files\\Wireshark\\text2pcap.exe";

四、转换设置
4.1安装perl解释器
转换前需要安装Perl 解释器,下载链接http://www.activestate.com/activeperl/downloads

4.2准备好脚本和抓包文件
假设抓包文件为packet.log或packet.txt(packet.txt是你在FortiGate上通过diagnose sniffer packet <'filter'>6抓的包形成的txt文件)
在C盘建立一个工作目录,比如c:\pacp,把脚本fgt2eth.pl文件、fgt2eth.bat批处理文件、fgt2eth.exe文件以及抓包文件packet.txt拷贝到c:\pacp
 
五、转换工作
方式一:命令行转换
进入cmd命令行,进入perl解释器执行程序目录,然后按如下命令执行转换:
C:\>           cd c:\Perl64\bin                                                     --进入perl目录
C:\Perl64\bin> perl c:\pacp\fgt2eth.pl -in c:\pacp\packet.txt -out c:\pacp\1.pcap    --执行转换
即可得到1.pcap文件,然后在wireshark中打开即可。

方式二:通过fgt2eth.bat批处理文件执行转换
直接双击附件文件夹中的“fgt2eth.bat”即可得到1.pcap。

两种方式实际没有区别,第二种方式更简单,无需人工输入路径和执行命令,推荐使用第二种。

相关热词搜索:

上一篇:WireShark 抓包工具
下一篇:使用“ConvertPcap”工具实现“txt格式报文”到“pacp格式报文”的一键转换

分享到: 收藏