Firewalls/Fortinet
[Fortinet] 패킷 캡처 sniffer packet ( tcpdump )
바둑이 아저씨
2025. 8. 11. 22:28
Fortigate의 diagnose sniffer packet 명령어는 tcpdump와 유사하게 장비에서 실시간 패킷을 캡처하고 분석할 수 있는 강력한 기능입니다.
네트워크 장애 분석, 특정 트래픽 모니터링, 포트/프로토콜 필터링 등 다양한 상황에서 활용됩니다.
기본 사용법
diagnose sniffer packet <인터페이스명 또는 any> '<필터>' <상세도>
# 상세도(verbosity) 레벨
# 1 : 헤더 정보
# 2 : 헤더 + 일부 데이터
# 3 : 전체 패킷 (Hex)
# 4 : 전체 패킷 + 상세 분석자주 쓰는 필터 예시
| 필터 | 설명 |
| host <IP> | 특정 IP 주소와 관련된 트래픽 |
| port <번호> | 특정 포트의 트래픽 |
| icmp | 핑(에코) 등 ICMP 패킷 |
| net <네트워크> <서브넷마스크> | 특정 네트워크 대역 |
| and / or | 조건 결합 |
실전 예제
- 10.10.10.1을 모든 포트에서 탐지
diagnose sniffer packet any 'host 10.10.10.1' - 10.10.10.1을 wan1에서 탐지
diagnose sniffer packet wan1 'host 10.10.10.1' - 10.10.10.1을 wan2에서 탐지 + ICMP 패킷만
diagnose sniffer packet wan2 'host 10.10.10.1 and icmp' - 10.10.10.1을 wan2에서 탐지 + 10.10.10.2와 통신하는 것만
diagnose sniffer packet wan2 'host 10.10.10.1 and host 10.10.10.2' - wan2에서 탐지 + 10.10.10.1 또는 10.10.10.2와 통신
diagnose sniffer packet wan2 'host 10.10.10.1 or host 10.10.10.2' - wan1에서 탐지 + 10.10.10.1 또는 10.10.10.2와 통신 + 포트 443 또는 ICMP
diagnose sniffer packet wan1 'host 10.10.10.1 or host 10.10.10.2 and port 443 or icmp' - 10.10.10.0/24 네트워크 대역 전체 탐지
diagnose sniffer packet wan1 'net 10.10.10.0 255.255.255.0'
이 명령어들은 Fortigate에서 tcpdump 대체할 수 있고 매우 유용합니다.
필터를 적절히 조합하면 특정 트래픽만 효율적으로 분석할 수 있으며, Wireshark와 결합하면 더욱 정밀한 분석이 가능합니다.
감사합니다.