บทนำ
เครื่องมือ Packet Capture บน Athena STA ใช้สำหรับจับ (Capture) ทราฟฟิกจาก Mirror Interface เพื่อวัตถุประสงค์ด้าน Forensics, Troubleshooting หรือยืนยันผลการตรวจจับภัยคุกคาม รองรับสองโหมดคือ Packet Capture in Kernel และ Interface Capture
ข้อกำหนดเบื้องต้น
- Athena STA ได้รับ Mirror Traffic เข้ามาแล้ว
- มีพื้นที่ดิสก์เพียงพอสำหรับเก็บไฟล์ PCAP
- มีสิทธิ์ระดับ Ordinary Admin หรือ Audit Admin บน STA Web Console
ขั้นตอนการใช้งาน
- ล็อกอินเข้า STA Web Console ไปที่ Maintenance > Packet Capture
- คลิก Add เพื่อสร้าง Task ใหม่
- ในหน้าต่าง Add Packet Capture เลือกโหมด:
- Packet Capture in Kernel — จับแพ็กเก็ตที่เข้าสู่ Kernel ของ STA (ทราฟฟิกที่ STA สามารถประมวลผลได้)
- Interface Capture — จับแพ็กเก็ตที่ Interface โดยตรง แม้ว่าจะเป็นทราฟฟิกที่ STA ไม่ประมวลผล
- ระบุเงื่อนไขการจับ เช่น Interface, IP, Port, Protocol ตามต้องการ
- คลิก Capture เพื่อเริ่ม Task
- เมื่อจบการจับ สามารถดาวน์โหลดไฟล์ PCAP ไปวิเคราะห์ด้วย Wireshark หรือเครื่องมืออื่นได้
- หากต้องการปรับการตั้งค่า PCAP Forensics คลิก Advanced ที่ด้านบนของหน้า Packet Capture เพื่อเปิด/ปิด PCAP forensics และกำหนดขนาดไฟล์ PCAP (แนะนำให้ใช้ค่าเริ่มต้น)
หมายเหตุ
- หากใช้ Packet Capture in Kernel แต่ไม่พบข้อมูล แสดงว่าทราฟฟิกนั้นไม่ถูก Forward เข้าสู่ Kernel ให้เปลี่ยนไปใช้ Interface Capture แทน
- การจับแพ็กเก็ตจำนวนมากอาจกระทบต่อประสิทธิภาพของอุปกรณ์ โปรดกำหนดขอบเขตให้เหมาะสม (เช่น จำกัดด้วย IP หรือ Port)
- ไฟล์ PCAP อาจมีข้อมูลที่อ่อนไหว โปรดจัดเก็บและแชร์อย่างระมัดระวัง
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น