ru
ru en

Длительный мониторинг и регистрация трафика с использованием Wireshark

WiresharkВ ходе наладки и тестовой эксплуатации систем РЗА и АСУ ТП, построенных на базе протоколов стандарта МЭК 61850, специалисты часто сталкиваются с задачей длительного мониторинга и архивирования информационных потоков по Ethernet-сети. Популярнейший инструмент для анализа информационных потоков – Wireshark – уже не может прийти на помощь в таком случае, поскольку не предназначен для длительной регистрации информации и записи её на диск в режиме “онлайн”. На практике для этого могут быть использованы специальные “коробочные” (о которых мы уже рассказывали), однако что если регистратор не заказан, а потребность в длительной регистрации возникла?

На помощь в таком случае придёт уже знакомый бесплатный пакет Wireshark, однако не весь, а лишь одна из его утилит – dumpcap. Dumpcap — это утилита, которая как раз и отвечает за регистрацию трафика в Wireshark, в то время как само приложение является во многом графической оболочкой для неё. Однако dumpcap можно запускать и отдельно с использованием командной строки для записи информации в один или серию файлов.

Рассмотрим порядок работы с dumpcap на простом примере. Для регистрации пактов через командную строку Windows выберите путь к папке Wireshark, а затем наберите команду dumpcap с параметром -w packets.cap:

C:\Program Files\Wireshark\dumpcap -w digitalsubstation.cap
Capturing on \Device\NPF_{}
File: packets.cap
Packets captured: 144
...

Для остановки регистрации нажмите комбинацию клавиш Ctrl+C.

После этого в папке Wireshark будет создан файл packets.cap, в котором будет содержаться зарегистрированный трафик.

Разумеется, в условиях длительной регистрации трафика на энергообъекте запись данных в один файл невозможна, поскольку его размер быстро превысит допустимые пределы. В связи с этим требуется организовать сегментацию записанных данных. Для этого в командной строке для dumpcap должны использоваться специальные параметры, например, такие как duration, filesize и files :

C:\Program Files\Wireshark\dumpcap -b filesize: 10000 -b files:25 -w digitalsubstation.cap

С такими параметрами dumpcap будет осуществлять регистрацию информации и запись в файлы размером 10 000 кБ. При этом будет создано не более 25 файлов. После того, как будет достигнуто максимальное количество файлов dumpcap будет удалять самые старые файлы, заменяя их новыми. Аналогично может быть использован параметр duration: xxxxx, где xxxxx – длительность записи в секундах. Например, для создания архива трафика за месяц с посуточной разбивкой файлов мы можем использовать следующие параметры:

C:\Program Files\Wireshark\dumpcap -b duration: 90000 -b files:30 -w digitalsubstation.cap

Таким образом с использованием обычного ПК и утилиты dumpcap с помощью определенных параметров может быть достаточно гибко и просто настроена регистрация всего сетевого трафика в рамках локальной сети с архивацией данных на жесткий диск компьютера.

 

Цифровая подстанция

(close)