Network Performance Monitoring (NPM) and Diagnostics | Application Performance Monitoring (APM) | Application-Aware Network Performance Monitoring (AA NPM) | Network Fault Management | Information Security | Network Security

Dumpcap: как правильно настроить?

При анализе сложных проблем, а особенно анализе кратковременных и эпизодически появляющихся проблем, необходимо выполнять захват трафика в течение длительного периода времени. В сети происходит проблема, которая появляется раз или два в неделю и в разное время. Как ее отловить? Этим вопросом задавались многие. Использование Wireshark в данном случае не очень хороший вариант по нескольким причинам. Во-первых, графический интерфейс анализатора протоколов грузит память и процессор устройства, на котором запущен и во-вторых, Wireshark осуществляет захват трафика и одновременный анализ его, что и вызывает использование дополнительных ресурсов и по мере увеличения файла, количество выделяемых ресурсов также растет.

Как запустить и настроить Dumpcap?

Для решения задач длительного захвата трафика лучше воспользоваться программой Dumpcap.exe, которая устанавливается вместе с WireShark и находится в соответствующей папке:

Dumpcap: как правильно настроить?

Для запуска программы необходимо воспользоваться командной строкой, запущенной с правами администратора. Запуск и синтаксис программы Dumpcap выглядит следующим образом:

dumpcapi 4 –qb filesize:200000 –b files:5000 –B 1024 –w c:\traces\mytrace.pcapng

Параметры запуска Dumpcap:

  • -i 4 – индекс сетевого интерфейса, через который осуществляется захват трафика.

  • -q – запуск программы в фоновом режиме.

  • -b filesize: 200000 - размер файла в килобайтах. В данном случае файл размером 200 Мбайт.

  • -b files: 5000 - количество файлов, которые будут записаны в папку. В данном случае 5000 файлов. Т.е. общий объем будет 1 Тбайт данных – 5000 файлов по 200 Мбайт.

  • -B 1024 – это размер буфера в Мбайт, в который предварительно сохраняются захваченные пакеты.

  • -w c:\traces\mytrace.pcapng – путь к папке, в которой будут сохраняться файлы

Для удобства можно создать исполняемый файл с расширением bat, чтобы иметь всегда его под рукой с правильным синтаксисом.

Коллеги из Trimelab сделали отличный онлайн конфигуратор командной строки Dumpcap.

конфигуратор командной строки Dumpcap

В его поля достаточно ввести параметры запуска, описанных выше, и на выходе вы получите текст, скопировав который в командную строку, сможете сразу начать захват трафика.

Как работать c Dumpcap?

Как настроить Dumpcap?
 

Пакеты захватываются драйвером сетевого интерфейса, который мы указали при активации программы и далее помещаются в буфер для сглаживания пиков трафика. Размер буфера может быть настроен пользователем. При работе на 64 битных машинах рекомендуем использовать 1 Гбайт, для 32 битной операционной системе не более 500 Мбайт. Процесс «npf.sys» является частью программы, которая устанавливается при установке WireShark под названием WinPcap. Затем программа «dumpcap.exe», используя две библиотеки «wpcap.dll» и «packet.dll» перемещает пакеты из буфера в файлы в папку, которую мы указали в командной строке с расширением «pcap» или «pcapng».

В нашем примере мы указали, что количество файлов должно быть 5000 штук, таким образом, при сохранении пятитысячного файла программа начнет перезаписывать первый и так далее по кругу. Для 64 битной операционной системы мы рекомендуем использовать файлы не более 200 Мбайт, для 32 битной не более 100 Мбайт, но лучше 50 Мбайт. Это не влияет на процесс захвата трафика, но когда вы начнете анализ захваченных файлов с помощью WireShark, загрузка и анализ (фильтры, изменение колонок и т.д.) файлов большего размера будет очень медленным. При настройках в нашем примере (200 Мбайт на файл и 5000 файлов) объем папки составит 1 Тбайт и при захвате трафика на скорости 1 Гбит/сек и загрузке его на 50% скорость записи составит 450 Мбайт в час. Таким образом, в Терабайте у нас будет трафик за последние два часа.

Программу Dumpcap можно запускать на любом устройстве – рабочей станции или сервере. Какой-либо существенной загрузки процессора и памяти это не создаст, если конечно Вы не указали большой размер буфера для записи пакетов с драйвера сетевой карты. Большую нагрузку будет испытывать система ввода вывода, т.е. диски для записи файлов. Поэтому не рекомендуется использовать системные диски для сохранения файлов. Хороший выход сохранять данные на внешний USB диск.

Дальнейшее использование программы идет по очень простому сценарию. Как только обнаружена проблема, заходим в папку, где хранится захваченный Dumpcap трафик. Сохраненные файлы имеют временную метку с точность до секунд. Выбираем файлы, которые сохранялись в момент возникновения проблемы и производим их дальнейшее декодирование и анализ с помощью Wireshark.

В рамках данной статьи мы постарались дать краткие рекомендации по настройке программы Dumpcap для длительного захвата трафика и её настройках. Будем благодарны, если вы в комментариях расскажите про свои методы и подходы для решения аналогичных задач!

 

Всегда на связи, Игорь Панов

См. также:

 

Комментарии
Тут пока ничего нет, но Вы можете быть первым!
Авторизуйтесь для этого
Заказать звонок

- Email
- Confirm
Имя *
Телефон *
Комментарий
Согласие на отправку персональных данных *

* - Обязательное для заполнения