Forigate 防護(hù)墻有專門(mén)的記錄設(shè)備，不過(guò)為了省錢(qián)，我們沒(méi)去買(mǎi)。不過(guò)我們可以用ssh 把輸出保存到本地慢慢分析，格式
ssh admin@[firewall ip] "diagnose sniffer packet [your wan port.eg:port2]  'tcp and port 1863'  3 "  >  [logfile]
例如：
ssh admin@10.10.79.1 "diagnose sniffer packet port4  'tcp and port 1863'  3 "  > today.log
10.10.79.1 是防火墻ip port4是外網(wǎng)端口， 1863是msn messenger 使用的tcp 端口 ，最后把結(jié)果抓到文件  today.log

抓下來(lái)的文件片段如下：

粗略看下 結(jié)果，絕大多數(shù)是協(xié)議控制包，和msn機(jī)器人發(fā)的消息報(bào)，我統(tǒng)計(jì)下來(lái) 平均 每10000個(gè)包里面，實(shí)際消息包不到100個(gè)，即不到1％，所以需要寫(xiě)腳本，刷選出來(lái)消息。

為了分析TCP報(bào)，可以使用dpkt這個(gè)python moudle。通過(guò)處理結(jié)果文件，將文本格式的包數(shù)據(jù)，轉(zhuǎn)換成實(shí)際的二進(jìn)制數(shù)組，傳給dpkt，通過(guò)它生成結(jié)構(gòu)化的以太網(wǎng)包對(duì)象。

例如一個(gè)以太網(wǎng)包 pkt，其pkt.src和pkt.dest分別為原和目的端mac地址，其pkt.data為所包涵的ip包.所以pkt.data.src和pkt.data.dest就是原和目的端ip地址。pkt.data.data為ip包所包涵的tcp包,pkt.data.data.dport和pkt.data.data.sport為原和目的端口。實(shí)際的協(xié)議層數(shù)據(jù)為pkt.data.data.data,通過(guò)對(duì)捕捉到的包簡(jiǎn)單分析，有消息的包都包涵  字符“Content-Type: text/plain”，所以可以寫(xiě)個(gè)簡(jiǎn)單的正則表達(dá)式來(lái)找出包涵消息的報(bào)文。

原本打算發(fā)出代碼和示例的，因?yàn)榇a是趕工的，寫(xiě)的很簡(jiǎn)陋 ，純粹 it just work這種的，就不拿出來(lái)獻(xiàn)丑了。打算重新整理一下，再做個(gè)界面，希望能抓緊時(shí)間盡快做好吧。