Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

数据包捕获概述

数据包捕获工具捕获 SRX 系列设备发送的 IDP 攻击数据包。它是作为 Security Director 安装的一部分安装的,并在 Junos Space 网络管理设置上运行。您可以使用它来帮助您分析网络流量和解决网络问题。

根据一组预配置的规则,SRX 系列设备将数据包分类为正常数据包或攻击。发生攻击时,SRX 系列设备会将攻击数据包发送到 Junos Space 网络管理平台。您必须配置 SRX 系列设备以将攻击数据包发送到 Junos Space 网络管理平台。

Junos Space 网络管理平台运行与虚拟 IP 地址绑定的负载平衡器。您必须将虚拟 IP 地址配置为 SRX 系列设备,作为转发捕获的数据包的目标。Junos Space 网络管理平台接收并存储这些数据包。您可以查看攻击信息,并从 Security Director 应用程序下载构成攻击的数据包。

在 SRX 系列设备和 Security Director 之间打开的端口包括:

  • 端口 2050 (UDP) - 用于接收 SRX 系列防火墙发送的攻击数据包“>??SRX 系列防火墙。

  • 端口 2051 (TCP) - 由 Security Director 用于获取存储在 Junos Space 网络管理平台数据库中的攻击数据包。

有关修改 SRX 系列设备上的 IPS 配置的信息,请参阅 修改安全设备的 IPS 配置

注意:

数据包捕获仅适用于 IPS 数据包。

网络管理员和安全工程师使用数据包捕获来执行以下任务:

  • 监控 网络流量并分析流量模式。

  • 识别并排查网络问题。

  • 检测网络中的安全漏洞,例如未经授权的入侵、间谍软件活动或 ping 扫描。

此工具捕获整个数据包,包括第 2 层报头,并将内容以 .pcap 格式保存到 Junos Space 网络管理平台数据库中。您可以下载 SRX 系列设备捕获的攻击数据包,并使用 Wireshark、tcpdump、tshark 等工具在外部分析这些数据包。

注意:

默认情况下启用的日志抑制机制可以抑制 PCAP。要禁用日志抑制,请参阅 抑制。要配置 SRX IDP 数据包捕获,请参阅 配置安全数据包捕获