LANCOM Support Knowledgebase Dokument-Nr. 1901.3116.2200.RHOO - V1.00

Verwendung von LCOSCAP zur Erstellung von Wireshark-kompatiblen Paketmitschnitten



Beschreibung:

Dieses Dokument beschreibt, wie Sie mit der LANCOM-Anwendung LCOSCAP Paketmitschnitte erstellen können, welche mit der Anwendung Wireshark ausgelesen werden können.

LCOSCAP schneidet Pakete mit, die über ein beliebiges Interface eines LANCOM-Routers übertragen werden und leitet diese in eine Wireshark-kompatible *.pcap-Datei.


Voraussetzung:
  • aktuelle Version von LCOSCAP (Download)
  • aktuelle LCOS-Version (Download)
  • IP-Konnektivität zwischen dem Windows-PC, auf welchem LCOSCAP ausgeführt wird, und dem zu untersuchenden LANCOM-Router


Vorgehensweise:

1. WebConfig:

1.1 Öffnen Sie die Konfiguration des LANCOM Routers in WebConfig und wechseln Sie in das Menü Extras -> Paket-Capturing.

1.2 Wählen Sie die Schnittstelle, auf welcher Sie den Paketmitschnitt durchführen wollen.

1.3 Klicken Sie auf Los um den Mitschnitt zu starten.

1.4 Mit der Schaltfläche Stop können Sie den Paketmitschnitt anhalten.




2. Kommandozeile:

2.1 Öffnen Sie eine SSH-Sitzung auf Ihrem LANCOM Router und geben Sie an der Eingabeaufforderung folgenden Befehl ein, um das Paket-Capturing auf dem Gerät zu aktivieren:

set /Setup/Packet-Capture/LCOSCap-Operating yes



2.2 Öffnen Sie die Eingabeaufforderung in Windows.

2.3 Um sich die Befehlssyntax und die möglichen zusätzlichen Optionen anzeigen zu lassen, müssen Sie den Befehl lcoscap eingeben.

Die Befehlssyntax ist immer: lcoscap [Option(en)] <IP-Adresse>



Folgende Optionen sind nutzbar:

-o Zieldatei, in der der Mitschnitt gespeichert wird.

-p Passwort des LANCOM-Gerätes, auf dem der Datenverkehr aufgenommen werden soll.

-i Interface des LANCOM-Gerätes, dessen Daten erfasst werden sollen. Wenn sie diesen Parameter auslassen, gibt
LCOSCAP die Interface-Liste des Gerätes aus.


-b Schalter, der die Beacons des Datenverkehrs mit einbezieht (nur für WLAN).

-h Schalter, der die 802.11-Header mit einbezieht, allerdings ohne Payload (nur für WLAN). Ohne diesen Schalter
werden auf dem WLAN Pakete komplett mitgeschnitten (802.11-Header und Payload), mit diesem Schalter nur die
802.11-Header.


-l Gibt die maximale Größe der Capture-Datei an. Wird der angegebene Wert erreicht, erzeugt LCOSCAP eine neue
Datei. Die erstellten Dateien sind durchnummeriert.


-n Gibt die Anzahl der Dateien an, die LCOSCAP erzeugt. Wenn die maximale Anzahl der Dateien erreicht wird,
überschreibt LCOSCAP die erste Datei.



2.4 Zuerst ist zu ermitteln, welche Interfaces sich auf dem aktuellen Gerät (hier ein LANCOM 1781AW) mitschneiden lassen. Geben Sie dazu folgenden Befehl ein:

lcoscap -p PASSWORT 192.168.50.1

(PASSWORT ist der Platzhalter für das Hauptgerätepasswort des LANCOM-Routers)



2.5 Möchten Sie z.B. den Datenverkehr auf dem ersten WLAN-Interface mitschneiden, müssen Sie folgenden Befehl eingeben:

lcoscap -o output.pcap -i WLAN-1 -p PASSWORT 192.168.50.1



2.6 Die Aufzeichnung lässt sich mit der Tastenkombination CTRL+C stoppen. Die erzeugte Datei mit der Endung *.pcap wird im Installationsverzeichis von LCOSCAP gespeichert und kann mit der Software Wireshark geöffnet werden.



Info:
  • Ein LCOScap ist über die Kommandozeile ist performanter als im WebConfig, somit ist die Chance das Pakete nicht aufgezeichnet werden können geringer.