技能 routeros-sniffer
📦

routeros-sniffer

安全

在 MikroTik RouterOS 上擷取並分析網路封包

RouterOS 缺乏像 tcpdump 這樣的標準封包擷取工具。此技能提供完整的封包擷取工作流程,使用 RouterOS 內建的 sniffer 和 TZSP 串流到您主機上的 Wireshark 或 tshark。

支援: Claude Codex Code(CC)
🥉 75 青銅
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「routeros-sniffer」。 Configure a live TZSP stream from RouterOS to Wireshark on the host at 192.168.88.10

預期結果:

  • 在 RouterOS 裝置上,設定 sniffer 並啟用串流至您的主機 IP。
  • 設定 filter-interface 和 filter-ip-protocol 以縮小擷取範圍。
  • 使用 /tool/sniffer/start 啟動 sniffer。
  • 在主機上,開啟 Wireshark 並在適當的介面上擷取,過濾條件為 'udp port 37008'。
  • Wireshark 會解碼 TZSP 標頭,並將內部 Ethernet/IP/TCP 層顯示為如同在本地擷取。

正在使用「routeros-sniffer」。 Capture only ICMP traffic to file and download the PCAP

預期結果:

  • 在 RouterOS 上設定 sniffer 的 file-name 和 filter-ip-protocol=icmp。
  • 啟動擷取,等待流量,然後停止 sniffer。
  • 透過 SCP 從路由器的快閃儲存器下載 PCAP 檔案。
  • 在 Wireshark 中開啟檔案,或使用 tshark -r 在主機上分析。

安全審計

安全
v1 • 4/16/2026

This skill contains only documentation markdown files for MikroTik RouterOS packet capture and TZSP streaming. The static analyzer flagged 154 patterns, but all are false positives. The scanner confused markdown code fence backticks with Ruby shell execution, documentation example IPs with hardcoded secrets, and relative markdown links with path traversal. No executable code, no data exfiltration, and no security risk exists.

2
已掃描檔案
414
分析行數
0
發現項
1
審計總數
未發現安全問題
審計者: claude

品質評分

41
架構
100
可維護性
87
內容
50
社群
100
安全
91
規範符合性

你能建構什麼

在 MikroTik 路由器上除錯網路連線問題

在 RouterOS 裝置上擷取即時封包並串流到工作站上的 Wireshark,進行即時協定分析,無需實體存取路由器。

在實驗室環境中分析應用程式流量

使用基於 QEMU 的 RouterOS CHR 執行個體設定 TZSP 串流,在隔離的測試環境中擷取並檢查 DNS、HTTP 或自訂協定流量。

排除 VoIP 或串流品質問題

使用防火牆 mangle 規則鏡像特定流量(依連接埠或協定),並將其傳送到 TZSP 接收端,以進行即時媒體串流的詳細封包層級分析。

試試這些提示

在 RouterOS 上進行基本封包擷取 
在我的 MikroTik 路由器上設定封包擷取,監控 ether1 上的流量。我想要將封包串流到 IP 位址為 192.168.1.50 的電腦上的 Wireshark。
過濾擷取為特定流量 
我需要只從我的 RouterOS 路由器擷取 DNS 流量(UDP 連接埠 53),並將其儲存到快閃儲存器的檔案中。請顯示命令以及如何擷取檔案。
防火牆 mangle 逐流鏡像 
我想要將來自特定主機(192.168.88.100)的所有 HTTP 流量鏡像到 10.0.0.5 的 TZSP 接收端,而不影響其他流量。請設定 mangle 規則並顯示接收串流的 tshark 命令。
使用 CHR 和 TZSP 的完整實驗室設定 
幫我使用 QEMU 中的 RouterOS CHR 設定完整的封包擷取實驗室。我需要帶連接埠轉送的 QEMU 開機命令、用於設定 sniffer(搭配 TZSP 串流至主機)的 REST API 命令,以及接收並解碼封包的 tshark 命令。請包含完成後的清理命令。

最佳實務

  • 務必設定 filter-stream=yes(預設值),以防止 sniffer 擷取自己的 TZSP 輸出封包,否則會產生回饋迴圈。
  • 除錯完成後清理 sniffer 設定和 mangle 規則,避免在路由器上留下非預期的擷取規則。
  • 當您需要多個獨立擷取至不同接收端時,請使用防火牆 mangle sniff-tzsp 規則,因為 /tool/sniffer 只支援一個串流目標。

避免

  • 請勿在生產路由器上持續執行 sniffer,因為封包擷取會消耗 CPU 和記憶體資源。
  • 請勿將 file-limit 設定高於路由器上可用的空閒記憶體,否則可能導致系統當機。
  • 使用 TZSP 串流時,請勿停用 filter-stream,否則 sniffer 會在無限迴圈中擷取自己的輸出。

常見問題

為什麼 RouterOS 沒有像其他 Linux 系統一樣的 tcpdump?
RouterOS 是專有作業系統,不包含標準 Linux 工具。內建的 /tool/sniffer 提供等效的封包擷取功能,並具備 TZSP 串流等額外功能。
什麼是 TZSP?為什麼要用它來擷取 RouterOS 流量?
TZSP(TaZmen Sniffer Protocol)是一種基於 UDP 的封裝協定,可包裝擷取的乙太網路框架並作為 UDP 資料包傳送。它允許將封包從 RouterOS 即時串流到任何執行 Wireshark 或 tshark 的主機,無需傳輸檔案。
我可以同時從多個介面擷取封包嗎?
可以。設定 filter-interface=all 以擷取所有介面,或執行多個防火牆 mangle sniff-tzsp 規則,將特定介面鏡像到不同的接收端。
擷取的封包會在記憶體中保留多久?
sniffer 記憶體緩衝區中的封包可保留 10 分鐘。若要進行持續擷取,請儲存到快閃儲存器的檔案,或使用 TZSP 串流至遠端接收端。
為什麼我的 CHR 擷取執行得很慢?
免費 CHR 授權有 1 Mbps 流量限制。這是授權限制,不是 sniffer 問題。60 天試用版授權可解除此限制。
我可以將 tcpdump 用於接收 TZSP 封包嗎?
tcpdump 可以擷取原始 UDP 封包,但無法解碼 TZSP 封裝。請使用 tshark 或 Wireshark 來解碼 TZSP 封包中的內部乙太網路框架。

開發者詳情

作者

tikoci

授權

MIT

儲存庫

https://github.com/tikoci/routeros-skills/tree/main/routeros-sniffer

引用

main

檔案結構

📁 references/

📄 tzsp-receivers.md

📄 SKILL.md