Usando a captura de pacotes para analisar o tráfego de rede
Visão geral da captura de pacotes
A captura de pacotes é uma ferramenta que ajuda você a analisar o tráfego da rede e a solucionar problemas de rede. A ferramenta de captura de pacotes captura pacotes de dados em tempo real que viajam pela rede para monitoramento e registro.
A captura de pacotes é suportada em interfaces físicas, interfaces de reth e interfaces de túnel, como gr, ip e lsq-/ls. No entanto, a captura de pacotes não é suportada na interface de túnel seguro (st0).
Os pacotes são capturados como dados binários, sem modificação. Você pode ler as informações do pacote offline com um analisador de pacotes, como Wireshark ou tcpdump. Se você precisar capturar rapidamente pacotes destinados ou originados do Mecanismo de Roteamento e analisá-los on-line, você pode usar a ferramenta de diagnóstico de captura de pacotes J-Web.
A ferramenta de captura de pacotes não oferece suporte à captura de pacotes IPv6.
Você pode usar o editor de configuração J-Web ou o editor de configuração CLI para configurar a captura de pacotes.
Administradores de rede e engenheiros de segurança usam a captura de pacotes para executar as seguintes tarefas:
Monitore o tráfego da rede e analise os padrões de tráfego.
Identificar e solucionar problemas de rede.
Detecte violações de segurança na rede, como invasões não autorizadas, atividade de spyware ou ping scans.
A captura de pacotes opera como amostragem de tráfego no dispositivo, exceto que ele captura pacotes inteiros, incluindo o cabeçalho de Camada 2 e economiza o conteúdo em um arquivo no formato libpcap. A captura de pacotes também captura fragmentos de IP.
Você não pode habilitar a captura de pacotes e a amostragem de tráfego no dispositivo ao mesmo tempo. Ao contrário da amostragem de tráfego, não há operações de rastreamento para captura de pacotes.
Você pode habilitar a captura de pacotes e espelhamento de porta simultaneamente em um dispositivo.
Esta seção contém os seguintes tópicos:
- Captura de pacotes em interfaces de dispositivo
- Filtros de firewall para captura de pacotes
- Arquivos de captura de pacotes
- Análise de arquivos de captura de pacotes
Captura de pacotes em interfaces de dispositivo
A captura de pacotes é suportada nas interfaces T1, T3, E1, E3, serial, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE e ISDN.
Para capturar pacotes em uma interface ISDN, configure a captura de pacotes na interface do dialer. Para capturar pacotes em uma interface PPPoE, configure a captura de pacotes na interface lógica de PPPoE.
A captura de pacotes oferece suporte a PPP, Cisco HDLC, Frame Relay e outros encapsulamentos de ATM. A captura de pacotes também oferece suporte a encapsulamentos multilink PPP (MLPPP), multilink Frame Relay de ponta a ponta (MLFR) e encapsulamentos UNI/NNI (MFR) de retransmissão de quadros multilink.
Você pode capturar todos os pacotes IPv4 que fluem em uma interface na direção de entrada ou saída. No entanto, no tráfego que ignora o módulo de software de fluxo (pacotes de protocolo como ARP, OSPF e PIM), os pacotes gerados pelo Mecanismo de Roteamento não são capturados a menos que você tenha configurado e aplicado um filtro de firewall na interface na direção de saída.
Interfaces de túnel suportam a captura de pacotes apenas na direção de saída.
Use o editor de configuração J-Web ou o editor de configuração CLI para especificar o tamanho máximo do pacote, o nome de arquivo a ser usado para armazenar os pacotes capturados, o tamanho máximo do arquivo, o número máximo de arquivos de captura de pacotes e as permissões de arquivo.
Para pacotes capturados em interfaces T1, T3, E1, E3, serial e ISDN na direção de saída (saída), o tamanho do pacote capturado pode ser 1 byte menor do que o tamanho máximo do pacote configurado devido à prioridade de perda de pacote (PLP).
Para modificar o encapsulamento em uma interface com a captura de pacotes configurada, você deve desativar a captura de pacotes.
Filtros de firewall para captura de pacotes
Quando você habilita a captura de pacotes em um dispositivo, todos os pacotes que fluem na direção especificada na configuração de captura de pacotes (de entrada, saída ou ambos) são capturados e armazenados. Configurar uma interface para capturar todos os pacotes pode degradar o desempenho do dispositivo. Você pode controlar o número de pacotes capturados em uma interface com filtros de firewall e especificar vários critérios para capturar pacotes para fluxos de tráfego específicos.
Você também deve configurar e aplicar filtros de firewall apropriados na interface se precisar capturar pacotes gerados pelo dispositivo host, pois a amostragem de interface não captura pacotes originados do dispositivo host.
Arquivos de captura de pacotes
Quando a captura de pacotes é habilitada em uma interface, todo o pacote, incluindo o cabeçalho de Camada 2, é capturado e armazenado em um arquivo. Você pode especificar o tamanho máximo do pacote a ser capturado, até 1500 bytes. A captura de pacotes cria um arquivo para cada interface física.
A criação e armazenamento de arquivos ocorrem da seguinte maneira. Suponha que você nomeie o arquivo pcap-filede captura de pacotes. A captura de pacotes cria vários arquivos (um por interface física), sufocando cada arquivo com o nome da interface física; por exemplo, pcap-file.fe-0.0.1 para a interface fe-0.0.1Gigabit Ethernet. Quando o arquivo nomeado pcap-file.fe-0.0.1 atinge o tamanho máximo, o arquivo é renomeado pcap-file.fe-0.0.1.0. Quando o arquivo nomeado pcap-file.fe-0.0.1 atinge o tamanho máximo novamente, o arquivo nomeado pcap-file.fe-0.0.1.0 é renomeado pcap-file.fe-0.0.1.1 e pcap-file.fe-0.0.1 é renomeado pcap-file.fe-0.0.1.0. Esse processo continua até que o número máximo de arquivos seja excedido e o arquivo mais antigo seja sobreescrito. O pcap-file.fe-0.0.1 arquivo é sempre o arquivo mais recente.
Os arquivos de captura de pacotes não são removidos mesmo após você desabilitar a captura de pacotes em uma interface.
Análise de arquivos de captura de pacotes
Os arquivos de captura de pacotes são armazenados no formato libpcap no /var/tmp
diretório. Você pode especificar privilégios de usuário ou administrador para os arquivos.
Os arquivos de captura de pacotes podem ser abertos e analisados offline com tcpdump ou qualquer analisador de pacotes que reconheça o formato libpcap. Você também pode usar o FTP ou o Session Control Protocol (SCP) para transferir os arquivos de captura de pacotes para um dispositivo externo.
Desativar a captura de pacotes antes de abrir o arquivo para análise ou transferir o arquivo para um dispositivo externo com FTP ou SCP. A desativação da captura de pacotes garante que o buffer interno do arquivo seja lavado e que todos os pacotes capturados estejam escritos no arquivo.
Captura de pacotes do modo operacional
A depuração de caminhos de dados ou a depuração de ponta a ponta fornecem rastreamento e depuração em várias unidades de processamento ao longo do caminho de processamento de pacotes. A captura de pacotes é uma das funções de depuração do caminho de dados. Você pode executar a captura de pacotes do modo operacional com impacto mínimo ao sistema de produção sem comprometer as configurações.
Você pode capturar os pacotes usando filtros para definir quais pacotes capturar. O filtro de pacotes pode filtrar pacotes com base em interface lógica, protocolo, prefixo de endereço IP de origem, porta de origem, prefixo de endereço IP de destino e porta de destino. Você pode modificar o nome do arquivo, tipo de arquivo, tamanho do arquivo e o tamanho de captura da saída de captura de pacotes. Você também pode estender os filtros em dois filtros e trocar os valores dos filtros.
A captura de pacotes do modo operacional é suportada em SRX4600, SRX5400, SRX5600 e SRX5800.
Para capturar pacotes do modo operacional, você deve executar as seguintes etapas:
-
A partir do modo operacional, defina o filtro de pacotes para rastrear o tipo de tráfego com base em sua exigência usando o
request packet-capture start
comando CLI. Consulte o início da solicitação de captura de pacotes para as opções disponíveis de filtro de captura de pacotes. - Capture os pacotes necessários.
- Você pode usar o
request packet-capture stop
comando CLI para interromper a captura de pacotes ou depois de coletar o número solicitado de pacotes, a captura de pacotes para automaticamente. - Visualize ou analise o relatório de dados do pacote capturado.
As limitações da captura de pacotes do modo operacional são:
A captura de pacotes do modo de configuração e a captura de pacotes do modo operacional não podem coexistir.
A captura de pacotes de modo operacional é uma operação única e o sistema não armazena a história deste comando.
Você deve usar a captura de pacotes do modo operacional em baixa taxa de fluxo de tráfego.
Consulte também
Exemplo: Habilite a captura de pacotes e configure o filtro de firewall em um dispositivo
Este exemplo mostra como habilitar a captura de pacotes e configurar um filtro de firewall para captura de pacotes e aplicá-lo a uma interface lógica em um dispositivo. Você pode configurar o filtro de firewall para restringir ou filtrar a quantidade de tráfego a ser capturado e analisar o tráfego de rede e solucionar problemas de rede.
Requisitos
Antes de começar:
-
Estabeleça conectividade básica.
-
Configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Neste exemplo, você define o tamanho máximo de captura de pacotes em cada arquivo como 500 bytes. A faixa é de 68 a 1500, e o padrão é de 68 bytes. Você especifica o nome de arquivo alvo para o arquivo de captura de pacotes como arquivo pcap. Em seguida, você especifica o número máximo de arquivos para capturar como 100. O intervalo é de 2 a 10.000, e o padrão é de 10 arquivos. Você define o tamanho máximo de cada arquivo para 1024 bytes. A faixa é de 1.024 a 104.857.600, e o padrão é de 512.000 bytes.
Você define um filtro de firewall chamado dest-all e um termo chamado dest-term para capturar pacotes de um endereço de destino específico, que é 192.168.1.1/32. Você define a condição de correspondência para aceitar os pacotes amostrados. Por fim, você aplica o filtro dest-all em todos os pacotes de saída na interface fe-0/0/1.
Se você aplicar um filtro de firewall na interface de loopback, ele afeta todo o tráfego de e para o Mecanismo de Roteamento. Se o filtro de firewall tiver uma sample
ação, os pacotes de e para o Mecanismo de Roteamento serão amostrados. Se a captura de pacotes for habilitada, os pacotes de e para o mecanismo de roteamento são capturados nos arquivos criados para as interfaces de entrada e saída.
Você especifica que todos os usuários têm permissão para ler os arquivos de captura de pacotes.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set forwarding-options packet-capture maximum-capture-size 500 set forwarding-options packet-capture file filename pcap-file files 100 size 1024 world-readable set firewall filter dest-all term dest-term from destination-address 192.168.1.1/32 set firewall filter dest-all term dest-term then sample accept set firewall filter dest-all term allow-all-else then accept set interfaces fe-0/0/1 unit 0 family inet filter output dest-all set interfaces fe-0/0/1 unit 0 family inet filter input dest-all
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para habilitar a captura de pacotes em um dispositivo:
Defina o tamanho máximo de captura de pacotes.
[edit] user@host# edit forwarding-options user@host# set packet-capture maximum-capture-size 500
Especifique o nome do arquivo alvo.
[edit forwarding-options] user@host# set packet-capture file filename pcap-file
Especifique o número máximo de arquivos para capturar.
[edit forwarding-options] user@host# set packet-capture file files 100
Especifique o tamanho máximo de cada arquivo.
[edit forwarding-options] user@host# set packet-capture file size 1024
Especifique que todos os usuários têm permissão para ler o arquivo.
[edit forwarding-options] user@host# set packet-capture file world-readable
Configure o filtro de firewall para captura de pacotes.
[edit] user@host# edit firewall user@host# set filter dest-all term dest-term from destination-address 192.168.1.1/32
Definir a condição da partida e sua ação. O termo
allow-all-else
é usado para garantir que o SRX não solte nenhum outro tráfego.[edit firewall] user@host# set filter dest-all term dest-term then sample accept user@host# set filter dest-all term allow-all-else then accept
Aplique o filtro de firewall na interface para capturar os pacotes de entrada e saída.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet filter output dest-all user@host# set fe-0/0/1 unit 0 family inet filter input dest-all
Comprometa-se a ativar a captura de pacotes.
user@host# commit
Desativar a captura de pacotes para impedir a coleta de objetos.
user@host# rollback 1 user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os run show forwarding-options
comandos.run show firewall filter dest-all
Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# run show forwarding-options packet-capture { file filename pcap-file files 100 size 1k world-readable; maximum-capture-size 500; }
[edit] user@host# run show firewall filter dest-all term dest-term { from { destination-address 192.168.1.1/32; } then { sample; accept; } } term allow-all-else { then accept; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificação do filtro de firewall para configuração de captura de pacotes
- Verificação de pacotes capturados
Verificação do filtro de firewall para configuração de captura de pacotes
Propósito
Verifique se o filtro de firewall para captura de pacotes está configurado no dispositivo.
Ação
A partir do modo de configuração, entre no run show forwarding-options
e run show firewall filter dest-all
no comandos. Verifique se a saída mostra a configuração de arquivo pretendida para capturar pacotes enviados para o endereçode destino.
Propósito
Verifique se os pacotes capturados são armazenados sob o /var/tmp
diretório do dispositivo.
Ação
A partir do modo operacional, entre no file list /var/tmp/
comando.
user@host> file list /var/tmp/ | match pcap-file* pcap-file fe-0.0.1
Verificação de pacotes capturados
Propósito
Verifique se o arquivo de captura de pacotes está armazenado no /var/tmp
diretório e os pacotes podem ser analisados offline.
Ação
Desativar a captura de pacotes.
Usando FTP, transfira um arquivo de captura de pacotes (por exemplo
126b.fe-0.0.1
), para um servidor onde você instalou ferramentas de analisador de pacotes (por exemplotools-server
).Do modo de configuração, conecte-se ao
tools-server
uso de FTP.[edit] user@host# run ftp tools-server Connected to tools-server.mydomain.net 220 tools-server.mydomain.net FTP server (Version 6.00LS) ready Name (tools-server:user):remoteuser 331 Password required for
remoteuser
. Password: 230 User remoteuser logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>Navegue até o diretório onde os arquivos de captura de pacotes são armazenados no dispositivo.
ftp> lcd /var/tmp Local directory now /cf/var/tmp
Copie o arquivo de captura de pacotes que você deseja analisar para o servidor, por exemplo
126b.fe-0.0.1
.ftp> put 126b.fe-0.0.1 local: 126b.fe-0.0.1 remote: 126b.fe-0.0.1 200 PORT command successful. 150 Opening BINARY mode data connection for '126b.fe-0.0.1'. 100% 1476 00:00 ETA 226 Transfer complete. 1476 bytes sent in 0.01 seconds (142.42 KB/s)
Volte ao modo de configuração.
ftp> bye 221 Goodbye. [edit] user@host#
Abra o arquivo de captura de pacotes no servidor com tcpdump ou qualquer analisador de pacotes que ofereça suporte ao formato libpcap e analise a saída.
root@server% tcpdump -r 126b.fe-0.0.1 -xevvvv
01:12:36.279769 Out 0:5:85:c4:e3:d1 > 0:5:85:c8:f6:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 33133, offset 0, flags [none], proto: ICMP (1), length: 84) 14.1.1.1 > 15.1.1.1: ICMP echo request seq 0, length 64 0005 85c8 f6d1 0005 85c4 e3d1 0800 4500 0054 816d 0000 4001 da38 0e01 0101 0f01 0101 0800 3c5a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 01:12:36.279793 Out 0:5:85:c8:f6:d1 > 0:5:85:c4:e3:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 41227, offset 0, flags [none], proto: ICMP (1), length: 84) 15.1.1.1 > 14.1.1.1: ICMP echo reply seq 0, length 64 0005 85c4 e3d1 0005 85c8 f6d1 0800 4500 0054 a10b 0000 3f01 bb9a 0f01 0101 0e01 0101 0000 445a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 root@server%
Exemplo: Configure a captura de pacotes em uma interface
Este exemplo mostra como configurar a captura de pacotes em uma interface para analisar o tráfego.
Requisitos
Antes de começar:
Estabeleça conectividade básica.
Configure interfaces de rede. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
Neste exemplo, você cria uma interface chamada fe-0/0/1 e depois configura a direção do tráfego para a qual você está permitindo a captura de pacotes na interface lógica como de entrada e saída.
No tráfego que ignora o módulo de software de fluxo (pacotes de protocolo como ARP, OSPF e PIM), os pacotes gerados pelo Mecanismo de Roteamento não são capturados a menos que você tenha configurado e aplicado um filtro de firewall na interface na direção de saída.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
edit interfaces fe-0/0/1 set unit 0 family inet sampling input output
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar a captura de pacotes em uma interface:
Crie uma interface.
[edit] user@host# edit interfaces fe-0/0/1
Configure a direção do tráfego.
[edit interfaces fe-0/0/1] user@host# set unit 0 family inet sampling input output
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Desativar a captura de pacotes
Você deve desabilitar a captura de pacotes antes de abrir o arquivo de captura de pacotes para análise ou transferir o arquivo para um dispositivo externo. A desativação da captura de pacotes garante que o buffer interno do arquivo seja lavado e que todos os pacotes capturados estejam escritos no arquivo.
Para desativar a captura de pacotes, entre no modo de configuração:
[edit forwarding-options] user@host# set packet-capture disable
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Modifique o encapsulamento em interfaces com a captura de pacotes configurada
Antes de modificar o encapsulamento em uma interface de dispositivo configurada para captura de pacotes, você deve desativar a captura de pacotes e renomear o arquivo de captura de pacotes mais recente. Caso contrário, a captura de pacotes salva os pacotes com encapsulamentos diferentes no mesmo arquivo de captura de pacotes. Os arquivos de pacotes que contêm pacotes com diferentes encapsulamentos não são úteis, porque ferramentas de analisador de pacotes como o tcpdump não podem analisar esses arquivos.
Após a modificação do encapsulamento, você pode reenvelar com segurança a captura de pacotes no dispositivo.
Para alterar o encapsulamento em interfaces com a captura de pacotes configurada:
- Desativar a captura de pacotes (ver Desativar a captura de pacotes).
- Entre no
commit
modo de configuração. - Renomeie o mais recente arquivo de captura de pacotes no qual você está mudando o encapsulamento com a
.chdsl
extensão. - Altere o encapsulamento na interface usando a interface de usuário J-Web ou o editor de configuração de CLI.
- Se você terminar de configurar o dispositivo, entre no
commit
modo de configuração. - Captura de pacotes reenável (veja Exemplo: Habilitando a captura de pacotes em um dispositivo).
- Se você terminar de configurar o dispositivo, entre no
commit
modo de configuração.
Exclua arquivos de captura de pacotes
Excluir arquivos de captura de pacotes do diretório /var/tmp apenas remove temporariamente os arquivos de captura de pacotes. Os arquivos de captura de pacotes para a interface são criados automaticamente novamente da próxima vez que uma mudança de configuração de captura de pacotes for comprometida ou como parte de uma rotação de arquivo de captura de pacotes.
Para excluir um arquivo de captura de pacotes:
- Desativar a captura de pacotes (ver Desativar a captura de pacotes).
- Exclua o arquivo de captura de pacotes para a interface.
- Captura de pacotes reenável (veja Exemplo: Habilitando a captura de pacotes em um dispositivo).
- Se você terminar de configurar o dispositivo, entre no
commit
modo de configuração.
Exibir cabeçalhos de pacotes
Digite o monitor traffic
comando para exibir cabeçalhos de pacotes transmitidos por interfaces de rede com a seguinte sintaxe:
Usar o comando pode degradar o monitor traffic
desempenho do sistema. Recomendamos que você use opções de filtragem — como count
e matching
— para minimizar o impacto na taxa de transferência de pacotes no sistema.
user@host> monitor traffic <absolute-sequence> <count number> <interface interface-name> <layer2-headers> <matching "expression"> <no-domain-names> <no-promiscuous> <no-resolve> <no-timestamp> <print-ascii> <print-hex> <size bytes> <brief | detail | extensive>
Tabela 1 descreve as monitor traffic
opções de comando.
Opção |
Descrição |
---|---|
|
(Opcional) Exibe os números de sequência de TCP absolutos. |
|
(Opcional) Exibe o número especificado de cabeçalhos de pacotes. Especifique um valor de |
|
(Opcional) Exibe cabeçalhos de pacotes para tráfego na interface especificada. Se uma interface não for especificada, a interface numerada mais baixa é monitorada. |
|
(Opcional) Exibe o cabeçalho de pacote de camada de link em cada linha. |
|
(Opcional) Exibe cabeçalhos de pacotes que correspondem a uma expressão fechada entre aspas (" "). Tabela 2 por meio Tabela 4 de condições de correspondência de lista, operadores lógicos e operadores aritméticos, binários e relacionais que você pode usar na expressão. |
|
(Opcional) Suprime a exibição da parte do nome de domínio do nome de host. |
|
(Opcional) not Especifica colocar a interface monitorada no modo promíscuo. No modo promíscuo, a interface lê todos os pacotes que chegam até ele. No modo nãopromíscuo, a interface lê apenas os pacotes endereçados a ele. |
|
(Opcional) Suprime a exibição de nomes de host. |
|
(Opcional) Suprime a exibição de temporizações de cabeçalho de pacote. |
|
(Opcional) Exibe cada cabeçalho de pacote no formato ASCII. |
|
(Opcional) Exibe cada cabeçalho de pacote, exceto cabeçalhos de camada de link, no formato hexadecimal. |
|
(Opcional) Exibe o número de bytes para cada pacote que você especifica. Se um cabeçalho de pacote exceder esse tamanho, o cabeçalho de pacote exibido fica truncado. O valor padrão é |
|
(Opcional) Exibe informações mínimas de cabeçalho de pacote. Esse é o padrão. |
|
(Opcional) Exibe informações de cabeçalho de pacote em detalhes moderados. Para alguns protocolos, você também deve usar a opção |
|
(Opcional) Exibe o nível mais extenso de informações de cabeçalho de pacote. Para alguns protocolos, você também deve usar a opção |
Para deixar o monitor traffic
comando e retornar ao prompt de comando, pressione Ctrl-C.
Para limitar as informações de cabeçalho de monitor traffic
pacote exibidas pelo comando, inclua a opção matching "expression"
. Uma expressão consiste em uma ou mais condições de correspondência listadas em Tabela 2, fechadas entre aspas (" "). Você pode combinar condições de correspondência usando os operadores lógicos listados Tabela 3 (mostrados em ordem de maior a menor precedência).
Por exemplo, para exibir cabeçalhos de pacoteS TCP ou UDP, digite:
user@host> monitor traffic matching “tcp || udp”
Para comparar os seguintes tipos de expressões, use as operadoras relacionais listadas Tabela 4 (listadas da mais alta à menor precedência):
Aritmética — Expressões que usam os operadores aritméticos listados em Tabela 4.
Binário — Expressões que usam os operadores binários listados em Tabela 4.
Accessor de dados de pacotes — Expressões que usam a seguinte sintaxe:
protocol [byte-offset <size>]
Substitua
protocol
por qualquer protocolo em Tabela 2. Substituabyte-offset
com o byte offset, desde o início do cabeçalho do pacote, para usar para a comparação. O parâmetro opcionalsize
representa o número de bytes analisados no cabeçalho do pacote — 1, 2 ou 4 bytes.Por exemplo, o comando a seguir exibe todo o tráfego multicast:
user@host> monitor traffic matching “ether[0] & 1 !=0”
Condição da partida |
Descrição |
---|---|
Tipo de entidade | |
|
Corresponde aos cabeçalhos de pacotes que contêm o endereço ou nome de host especificados. Você pode preparar qualquer uma das seguintes condições de correspondência de protocolo, seguida de um espaço, para |
|
Corresponde a cabeçalhos de pacotes com endereços de origem ou destino que contêm o endereço de rede especificado. |
|
Corresponde aos cabeçalhos de pacotes que contêm o endereço de rede especificado e a máscara de sub-rede. |
|
Corresponde aos cabeçalhos de pacotes que contêm o TCP de origem ou destino especificado ou o número de porta UDP ou nome da porta. |
Direcional | |
|
Corresponde aos cabeçalhos de pacotes que contêm o destino especificado. As condições de correspondência direcional podem ser pré-estabelecidas para quaisquer condições de correspondência do Tipo de Entidade, seguidas por um espaço. |
|
Corresponde aos cabeçalhos de pacotes que contêm a fonte especificada. |
|
Corresponde aos cabeçalhos de pacotes que contêm o destino de origem and especificado. |
|
Corresponde aos cabeçalhos de pacotes que contêm o destino de origem or especificado. |
Comprimento do pacote | |
|
Combine pacotes com comprimentos menores ou iguais ao valor especificado, em bytes. |
|
Combine pacotes com comprimentos maiores ou iguais ao valor especificado, em bytes. |
Protocolo | |
|
Combina com todos os pacotes ARP. |
|
Combina com todos os quadros Ethernet. |
|
Partidas transmitidas ou quadros Ethernet multicast. Esta condição de correspondência pode ser pré-estabelecida com |
|
Combina quadros Ethernet com o endereço ou tipo de protocolo especificados. Os argumentos |
|
Combina com todos os pacotes de ICMP. |
|
Combina com todos os pacotes de IP. |
|
Partidas transmitidas ou pacotes IP multicast. |
|
Combina pacotes IP com o endereço ou tipo de protocolo especificados. Os argumentos |
|
Corresponde a todas as mensagens de roteamento IS-IS. |
|
Combina com todos os pacotes RARP. |
|
Corresponde a todos os pacotes TCP. |
|
Combina com todos os pacotes UDP. |
Operador lógico |
Descrição |
---|---|
|
Lógico NÃO. Se a primeira condição não corresponder, a próxima condição será avaliada. |
|
Lógica e. Se a primeira condição corresponde, a próxima condição é avaliada. Se a primeira condição não corresponder, a próxima condição será desacionada. |
|
Lógico OU. Se a primeira condição corresponde, a próxima condição é descasada. Se a primeira condição não corresponder, a próxima condição será avaliada. |
|
Operadores de grupo para substituir a ordem de precedência padrão. Parênteses são personagens especiais, cada um dos quais deve ser precedido por um backslash (\). |
Operador |
Descrição |
---|---|
Operador de Aritmética | |
|
Operador de adição. |
|
Operador de subtração. |
|
Operador de divisão. |
Operador binário | |
|
Bitwise e. |
|
OR exclusiva da Bitwise. |
|
OR inclusiva em bitwise. |
Operador relacional | |
|
Uma correspondência ocorre se a primeira expressão for menor ou igual à segunda. |
|
Uma correspondência ocorre se a primeira expressão for maior ou igual à segunda. |
|
Uma correspondência ocorre se a primeira expressão for menor que a segunda. |
|
Uma correspondência ocorre se a primeira expressão for maior que a segunda. |
|
Uma correspondência ocorre se a primeira expressão for igual à segunda. |
|
Uma correspondência ocorre se a primeira expressão não for igual à segunda. |
O seguinte é a saída de amostra do monitor traffic
comando:
user@host> monitor traffic count 4 matching “arp” detail
Listening on fe-0/0/0, capture size 96 bytes 15:04:16.276780 In arp who-has 193.1.1.1 tell host1.site2.net 15:04:16.376848 In arp who-has host2.site2.net tell host1.site2.net 15:04:16.376887 In arp who-has 193.1.1.2 tell host1.site2.net 15:04:16.601923 In arp who-has 193.1.1.3 tell host1.site2.net