routeros-sniffer
在 MikroTik RouterOS 上捕获和分析网络数据包
RouterOS 缺少类似 tcpdump 的标准数据包捕获工具。本技能提供完整的的数据包捕获工作流程,使用内置的 RouterOS 嗅探器和 TZSP 流媒体将数据发送到主机上的 Wireshark 或 tshark。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“routeros-sniffer”。 Configure a live TZSP stream from RouterOS to Wireshark on the host at 192.168.88.10
预期结果:
- 在 RouterOS 设备上配置嗅探器,启用流式传输到主机 IP。
- 设置 filter-interface 和 filter-ip-protocol 以缩小捕获范围。
- 使用 /tool/sniffer/start 启动嗅探器。
- 在主机上,打开 Wireshark 并使用过滤器 'udp port 37008' 在适当接口上捕获。
- Wireshark 将解码 TZSP 头部,并显示内部以太网/IP/TCP 层,就像在本地捕获一样。
正在使用“routeros-sniffer”。 Capture only ICMP traffic to file and download the PCAP
预期结果:
- 在 RouterOS 上设置嗅探器 file-name 和 filter-ip-protocol=icmp。
- 启动捕获,等待流量,然后停止嗅探器。
- 通过 SCP 从路由器闪存下载 PCAP 文件。
- 在 Wireshark 中打开文件或在主机上使用 tshark -r 进行分析。
安全审计
安全This skill contains only documentation markdown files for MikroTik RouterOS packet capture and TZSP streaming. The static analyzer flagged 154 patterns, but all are false positives. The scanner confused markdown code fence backticks with Ruby shell execution, documentation example IPs with hardcoded secrets, and relative markdown links with path traversal. No executable code, no data exfiltration, and no security risk exists.
质量评分
你能构建什么
在 MikroTik 路由器上调试网络连接问题
在 RouterOS 设备上捕获实时数据包并将其流式传输到工作站上的 Wireshark,进行实时协议分析,无需物理访问路由器。
在实验室环境中分析应用程序流量
设置带有 TZSP 流式传输的基于 QEMU 的 RouterOS CHR 实例,捕获和检查 DNS、HTTP 或自定义协议流量在隔离的测试环境中。
排查 VoIP 或流媒体质量问题
使用防火墙标记规则将特定流量(按端口或协议)镜像到 TZSP 接收器,对实时媒体流进行详细的逐数据包分析。
试试这些提示
在我的 MikroTik 路由器上设置数据包捕获,监控 ether1 上的流量。我希望将数据包流式传输到 IP 为 192.168.1.50 的电脑上的 Wireshark。
我需要仅捕获来自我的 RouterOS 路由器的 DNS 流量(UDP 端口 53),并将其保存到闪存上的文件中。向我展示命令以及如何检索文件。
我想将来自特定主机(192.168.88.100)的所有 HTTP 流量镜像到 10.0.0.5 的 TZSP 接收器,不影响其他流量。设置标记规则并向我展示接收流的 tshark 命令。
帮助我使用 QEMU 中的 RouterOS CHR 设置完整的的数据包捕获实验。我需要带端口转发的 QEMU 启动命令、配置嗅探器的 REST API 命令(带 TZSP 流式传输到我的主机)、以及接收和解码数据包的 tshark 命令。包括完成后的清理命令。
最佳实践
- 始终设置 filter-stream=yes(默认),以防止嗅探器捕获自己的 TZSP 输出数据包,从而造成反馈循环。
- 调试后清理嗅探器配置和标记规则,避免在路由器上留下意外的捕获规则。
- 当你需要向不同接收器进行多个独立捕获时,请使用防火墙标记 sniff-tzsp 规则,因为 /tool/sniffer 仅支持一个流式传输目标。
避免
- 不要在生产路由器上持续运行嗅探器,因为数据包捕获会消耗 CPU 和内存资源。
- 不要将 file-limit 设置高于路由器上可用的空闲内存,因为这可能导致系统崩溃。
- 使用 TZSP 流式传输时不要禁用 filter-stream,因为这将导致嗅探器捕获自己的输出,形成无限循环。
常见问题
为什么 RouterOS 没有像其他 Linux 系统那样的 tcpdump?
什么是 TZSP,为什么用于 RouterOS 捕获?
我可以同时从多个接口捕获数据包吗?
捕获的数据包在内存中保留多长时间?
为什么我的 CHR 捕获运行缓慢?
我可以使用 tcpdump 接收 TZSP 数据包吗?
开发者详情
文件结构