【CSMP】处理WAF业务类问题时如何抓包

李昂发表于:2020年09月16日 15:10:01更新于:2021年05月09日 22:02:11

适配版本



产品:CSMP

版本:版本无关

平台:CSMP

 

说明



在处理WAF业务类问题时,我们经常需要抓包来分析报文的交互情况,本案例将阐述在上元WAF和webray两种情况下如何抓包。

 

处理方法



1、    上元WAF抓包

SSH登录上元WAF,端口10022,用户名密码请联系csmp二线获取

抓包需要执行su –切换到root用户,密码为root

使用tcpdump命令抓吧,抓包结束后Ctrl+C结束抓包


195de3b1-50bb-44ce-a8df-a41ff4c1464d.png?resizeSmall&width=832




2、    Webray抓包

由于webray没有对我司开放root权限,无法通过后台抓包,可以通过在openstack底层抓取webray虚拟机网卡的报文来实现抓包,具体方式如下:

(1)     ssh登录任意计算节点,执行命令source /root/adminrc后执行nova list –all查看虚拟机列表,找到需要抓包虚拟机的ID


8b839c5d-fbe6-42af-9873-1d3469ad46a1.png?resizeSmall&width=832




(2)     执行nova show ID (上步查询到的ID值)查找到虚拟机所在物理服务器


df51a89a-c29f-443d-9fa0-11c7dbf2b4e3.png?resizeSmall&width=832




(3)     SSH登录到相应的物理服务器,执行命令neutron port-list | grep 业务网卡IP(此处填写需要抓取报文的网卡IP地址),记录该命令返回值第一列的前10位字符串


85354a22-60ec-4408-854f-aea61bfae3cd.png?resizeSmall&width=832




(4)     执行命令ovs-vsctl show | grep 字符串(上一步记录的字符串),获取到的tap开头字符串即为待抓包的网卡名


f63fabd5-9298-4583-98c8-4d3eed7f9742.png?resizeSmall&width=832




(5)     使用tcpdump命令抓包,抓包结束后使用Ctrl+C结束抓包


036038d6-c718-4209-8edb-80eabc280e15.png?resizeSmall&width=832