技能 routeros-sniffer
📦

routeros-sniffer

安全

在 MikroTik RouterOS 上捕获和分析网络数据包

RouterOS 缺少类似 tcpdump 的标准数据包捕获工具。本技能提供完整的的数据包捕获工作流程,使用内置的 RouterOS 嗅探器和 TZSP 流媒体将数据发送到主机上的 Wireshark 或 tshark。

支持: Claude Codex Code(CC)
🥉 75 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“routeros-sniffer”。 Configure a live TZSP stream from RouterOS to Wireshark on the host at 192.168.88.10

预期结果:

  • 在 RouterOS 设备上配置嗅探器,启用流式传输到主机 IP。
  • 设置 filter-interface 和 filter-ip-protocol 以缩小捕获范围。
  • 使用 /tool/sniffer/start 启动嗅探器。
  • 在主机上,打开 Wireshark 并使用过滤器 'udp port 37008' 在适当接口上捕获。
  • Wireshark 将解码 TZSP 头部,并显示内部以太网/IP/TCP 层,就像在本地捕获一样。

正在使用“routeros-sniffer”。 Capture only ICMP traffic to file and download the PCAP

预期结果:

  • 在 RouterOS 上设置嗅探器 file-name 和 filter-ip-protocol=icmp。
  • 启动捕获,等待流量,然后停止嗅探器。
  • 通过 SCP 从路由器闪存下载 PCAP 文件。
  • 在 Wireshark 中打开文件或在主机上使用 tshark -r 进行分析。

安全审计

安全
v1 • 4/16/2026

This skill contains only documentation markdown files for MikroTik RouterOS packet capture and TZSP streaming. The static analyzer flagged 154 patterns, but all are false positives. The scanner confused markdown code fence backticks with Ruby shell execution, documentation example IPs with hardcoded secrets, and relative markdown links with path traversal. No executable code, no data exfiltration, and no security risk exists.

2
已扫描文件
414
分析行数
0
发现项
1
审计总数
未发现安全问题
审计者: claude

质量评分

41
架构
100
可维护性
87
内容
50
社区
100
安全
91
规范符合性

你能构建什么

在 MikroTik 路由器上调试网络连接问题

在 RouterOS 设备上捕获实时数据包并将其流式传输到工作站上的 Wireshark,进行实时协议分析,无需物理访问路由器。

在实验室环境中分析应用程序流量

设置带有 TZSP 流式传输的基于 QEMU 的 RouterOS CHR 实例,捕获和检查 DNS、HTTP 或自定义协议流量在隔离的测试环境中。

排查 VoIP 或流媒体质量问题

使用防火墙标记规则将特定流量(按端口或协议)镜像到 TZSP 接收器,对实时媒体流进行详细的逐数据包分析。

试试这些提示

在 RouterOS 上进行基本数据包捕获 
在我的 MikroTik 路由器上设置数据包捕获,监控 ether1 上的流量。我希望将数据包流式传输到 IP 为 192.168.1.50 的电脑上的 Wireshark。
过滤捕获特定流量 
我需要仅捕获来自我的 RouterOS 路由器的 DNS 流量(UDP 端口 53),并将其保存到闪存上的文件中。向我展示命令以及如何检索文件。
防火墙标记逐流镜像 
我想将来自特定主机(192.168.88.100)的所有 HTTP 流量镜像到 10.0.0.5 的 TZSP 接收器,不影响其他流量。设置标记规则并向我展示接收流的 tshark 命令。
使用 CHR 和 TZSP 的完整实验设置 
帮助我使用 QEMU 中的 RouterOS CHR 设置完整的的数据包捕获实验。我需要带端口转发的 QEMU 启动命令、配置嗅探器的 REST API 命令(带 TZSP 流式传输到我的主机)、以及接收和解码数据包的 tshark 命令。包括完成后的清理命令。

最佳实践

  • 始终设置 filter-stream=yes(默认),以防止嗅探器捕获自己的 TZSP 输出数据包,从而造成反馈循环。
  • 调试后清理嗅探器配置和标记规则,避免在路由器上留下意外的捕获规则。
  • 当你需要向不同接收器进行多个独立捕获时,请使用防火墙标记 sniff-tzsp 规则,因为 /tool/sniffer 仅支持一个流式传输目标。

避免

  • 不要在生产路由器上持续运行嗅探器,因为数据包捕获会消耗 CPU 和内存资源。
  • 不要将 file-limit 设置高于路由器上可用的空闲内存,因为这可能导致系统崩溃。
  • 使用 TZSP 流式传输时不要禁用 filter-stream,因为这将导致嗅探器捕获自己的输出,形成无限循环。

常见问题

为什么 RouterOS 没有像其他 Linux 系统那样的 tcpdump?
RouterOS 是一个专有操作系统,不包含标准的 Linux 工具。内置的 /tool/sniffer 提供了等效的数据包捕获功能,还包括 TZSP 流式传输等附加功能。
什么是 TZSP,为什么用于 RouterOS 捕获?
TZSP(TaZmen Sniffer Protocol)是一种基于 UDP 的封装协议,用于封装捕获的以太网帧并将其作为 UDP 数据报发送。它允许将数据包从 RouterOS 实时流式传输到任何运行 Wireshark 或 tshark 的主机,而无需传输文件。
我可以同时从多个接口捕获数据包吗?
是的。设置 filter-interface=all 以捕获所有接口,或运行多个防火墙标记 sniff-tzsp 规则将特定接口镜像到不同接收器。
捕获的数据包在内存中保留多长时间?
嗅探器内存缓冲区中的数据包可保留 10 分钟。对于持久捕获,请保存到闪存上的文件或使用 TZSP 流式传输到远程接收器。
为什么我的 CHR 捕获运行缓慢?
免费 CHR 许可证有 1 Mbps 的吞吐量限制。这是许可证限制,不是嗅探器问题。60 天试用许可证可以解除此限制。
我可以使用 tcpdump 接收 TZSP 数据包吗?
tcpdump 可以捕获原始 UDP 数据包,但无法解码 TZSP 封装。使用 tshark 或 Wireshark 解码 TZSP 数据包中的内部以太网帧。

开发者详情

作者

tikoci

许可证

MIT

仓库

https://github.com/tikoci/routeros-skills/tree/main/routeros-sniffer

引用

main

文件结构

📁 references/

📄 tzsp-receivers.md

📄 SKILL.md