Verwenden der Paketerfassung zur Analyse des Netzwerkverkehrs
Paketerfassung – Übersicht
Die Paketerfassung ist ein Tool, mit dem Sie den Netzwerkverkehr analysieren und Netzwerkprobleme beheben können. Das Paketerfassungstool erfasst Echtzeit-Datenpakete, die über das Netzwerk übertragen werden, zur Überwachung und Protokollierung.
Die Paketerfassung wird auf physischen Schnittstellen, reth-Schnittstellen und Tunnelschnittstellen wie gr, ip und lsq-/ls unterstützt. Die Paketerfassung wird jedoch auf der sicheren Tunnelschnittstelle (st0) nicht unterstützt.
Pakete werden als Binärdaten ohne Modifikation erfasst. Sie können die Paketinformationen offline mit einem Paketanalysator wie Wireshark oder tcpdump lesen. Wenn Sie Pakete, die für die Routing-Engine bestimmt sind oder von ihr stammen, schnell erfassen und online analysieren müssen, können Sie das J-Web-Paketerfassungs-Diagnosetool verwenden.
Das Paketerfassungstool unterstützt die IPv6-Paketerfassung nicht.
Sie können entweder den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor verwenden, um die Paketerfassung zu konfigurieren.
Netzwerkadministratoren und Sicherheitstechniker verwenden die Paketerfassung, um die folgenden Aufgaben auszuführen:
Überwachen Sie den Netzwerkverkehr und analysieren Sie Datenverkehrsmuster.
Identifizieren und beheben Sie Netzwerkprobleme.
Erkennen Sie Sicherheitslücken im Netzwerk, wie z. B. unbefugtes Eindringen, Spyware-Aktivitäten oder Ping-Scans.
Die Paketerfassung funktioniert wie das Traffic-Sampling auf dem Gerät, mit dem Unterschied, dass ganze Pakete einschließlich des Layer-2-Headers erfasst und der Inhalt in einer Datei im libpcap-Format gespeichert wird. Bei der Paketerfassung werden auch IP-Fragmente erfasst.
Es ist nicht möglich, die Paketerfassung und das Sampling des Datenverkehrs gleichzeitig auf dem Gerät zu aktivieren. Im Gegensatz zur Datenverkehrsstichprobenerstellung gibt es bei der Paketerfassung keine Ablaufverfolgungsvorgänge.
Sie können Paketerfassung und Portspiegelung gleichzeitig auf einem Gerät aktivieren.
Dieser Abschnitt enthält die folgenden Themen:
- Paketerfassung auf Geräteschnittstellen
- Firewall-Filter für die Paketerfassung
- Paketerfassungsdateien
- Analyse von Paketerfassungsdateien
Paketerfassung auf Geräteschnittstellen
Die Paketerfassung wird auf den Schnittstellen T1, T3, E1, E3, seriell, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE und ISDN unterstützt.
Um Pakete auf einer ISDN-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der Dialer-Schnittstelle. Um Pakete auf einer PPPoE-Schnittstelle zu erfassen, konfigurieren Sie die Paketerfassung auf der logischen PPPoE-Schnittstelle.
Die Paketerfassung unterstützt PPP, Cisco HDLC, Frame Relay und andere ATM-Kapselungen. Die Paketerfassung unterstützt auch Multilink PPP (MLPPP), Multilink Frame Relay End-to-End (MLFR) und Multilink Frame Relay UNI/NNI (MFR)-Kapselungen.
Sie können alle IPv4-Pakete erfassen, die auf einer Schnittstelle in eingehender oder ausgehender Richtung fließen. Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete jedoch nur erfasst, wenn Sie einen Firewall-Filter auf der Schnittstelle in ausgehender Richtung konfiguriert und angewendet haben.
Tunnelschnittstellen unterstützen die Paketerfassung nur in ausgehender Richtung.
Verwenden Sie den J-Web-Konfigurationseditor oder den CLI-Konfigurationseditor, um die maximale Paketgröße, den Dateinamen, der zum Speichern der erfassten Pakete verwendet werden soll, die maximale Dateigröße, die maximale Anzahl von Paketerfassungsdateien und die Dateiberechtigungen anzugeben.
Bei Paketen, die auf T1-, T3-, E1-, E3-, seriellen und ISDN-Schnittstellen in ausgehender Richtung (Ausgangsrichtung) erfasst werden, kann die Größe des erfassten Pakets aufgrund des PLP-Bits (Packet Loss Priority) um 1 Byte kleiner sein als die maximal konfigurierte Paketgröße.
Um die Kapselung auf einer Schnittstelle mit konfigurierter Paketerfassung zu ändern, müssen Sie die Paketerfassung deaktivieren.
Firewall-Filter für die Paketerfassung
Wenn Sie die Paketerfassung auf einem Gerät aktivieren, werden alle Pakete, die in die in der Paketerfassungskonfiguration angegebene Richtung fließen (eingehend, ausgehend oder beides), erfasst und gespeichert. Die Konfiguration einer Schnittstelle, die alle Pakete erfasst, kann die Leistung des Geräts beeinträchtigen. Sie können die Anzahl der Pakete, die auf einer Schnittstelle erfasst werden, mit Firewall-Filtern steuern und verschiedene Kriterien angeben, um Pakete für bestimmte Datenverkehrsflüsse zu erfassen.
Sie müssen auch geeignete Firewallfilter auf der Schnittstelle konfigurieren und anwenden, wenn Sie vom Hostgerät generierte Pakete erfassen müssen, da das Schnittstellen-Sampling keine Pakete erfasst, die vom Hostgerät stammen.
Paketerfassungsdateien
Wenn die Paketerfassung auf einer Schnittstelle aktiviert ist, wird das gesamte Paket einschließlich des Layer-2-Headers erfasst und in einer Datei gespeichert. Sie können die maximale Größe des zu erfassenden Pakets angeben, bis zu 1500 Byte. Bei der Paketerfassung wird für jede physische Schnittstelle eine Datei erstellt.
Die Dateierstellung und -speicherung erfolgt auf folgende Weise. Angenommen, Sie nennen die Paketerfassungsdatei pcap-file. Bei der Paketerfassung werden mehrere Dateien (eine pro physischer Schnittstelle) erstellt, wobei jeder Datei der Name der physischen Schnittstelle angehängt wird. zum Beispiel pcap-file.fe-0.0.1 für die Gigabit-Ethernet-Schnittstelle fe-0.0.1. Wenn die Datei mit dem Namen pcap-file.fe-0.0.1 die maximale Größe erreicht, wird die Datei umbenannt pcap-file.fe-0.0.1.0. Wenn die benannte pcap-file.fe-0.0.1 Datei wieder die maximale Größe erreicht, wird die benannte pcap-file.fe-0.0.1.0 Datei umbenannt pcap-file.fe-0.0.1.1 und pcap-file.fe-0.0.1 umbenannt pcap-file.fe-0.0.1.0. Dieser Vorgang wird so lange fortgesetzt, bis die maximale Anzahl von Dateien überschritten und die älteste Datei überschrieben wird. Die pcap-file.fe-0.0.1 Datei ist immer die neueste Datei.
Paketerfassungsdateien werden auch nach dem Deaktivieren der Paketerfassung auf einer Schnittstelle nicht entfernt.
Analyse von Paketerfassungsdateien
Paketerfassungsdateien werden im libpcap-Format im /var/tmp Verzeichnis gespeichert. Sie können Benutzer- oder Administratorrechte für die Dateien festlegen.
Paketerfassungsdateien können offline mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format erkennt, geöffnet und analysiert werden. Sie können auch FTP oder das Session Control Protocol (SCP) verwenden, um die Paketerfassungsdateien auf ein externes Gerät zu übertragen.
Deaktivieren Sie die Paketerfassung, bevor Sie die Datei zur Analyse öffnen oder die Datei mit FTP oder SCP auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.
Paketerfassung aus dem Betriebsmodus
Das Debuggen von Datenpfaden oder End-to-End-Debuggen ermöglicht die Ablaufverfolgung und das Debuggen auf mehreren Verarbeitungseinheiten entlang des Paketverarbeitungspfads. Die Paketerfassung ist eine der Funktionen zum Debuggen von Datenpfaden. Sie können die Paketerfassung aus dem Betriebsmodus mit minimalen Auswirkungen auf das Produktionssystem ausführen, ohne die Konfigurationen festschreiben zu müssen.
Sie können die Pakete mithilfe von Filtern erfassen, um zu definieren, welche Pakete erfasst werden sollen. Der Paketfilter kann Pakete basierend auf logischer Schnittstelle, Protokoll, Quell-IP-Adresspräfix, Quellport, Ziel-IP-Adresspräfix und Zielport herausfiltern. Sie können den Dateinamen, den Dateityp, die Dateigröße und die Erfassungsgröße der Paketerfassungsausgabe ändern. Sie können die Filter auch in zwei Filter erweitern und die Werte der Filter vertauschen.
Die Paketerfassung aus dem Betriebsmodus wird auf SRX4600, SRX5400, SRX5600 und SRX5800 unterstützt.
Um Pakete aus dem Betriebsmodus zu erfassen, müssen Sie die folgenden Schritte ausführen:
-
Definieren Sie im Betriebsmodus den Paketfilter, um den Datenverkehrstyp basierend auf Ihren Anforderungen mithilfe des
request packet-capture startCLI-Befehls zu verfolgen. Unter Anfordern des Paketerfassungsstarts finden Sie die verfügbaren Paketerfassungsfilteroptionen. - Erfassen Sie die erforderlichen Pakete.
- Sie können entweder den
request packet-capture stopCLI-Befehl verwenden, um die Paketerfassung zu stoppen, oder nachdem Sie die angeforderte Anzahl von Paketen erfasst haben, wird die Paketerfassung automatisch beendet. - Zeigen Sie den erfassten Paketdatenbericht an oder analysieren Sie ihn.
Einschränkungen beim Erfassen von Paketen aus dem Betriebsmodus sind:
Die Paketerfassung im Konfigurationsmodus und die Paketerfassung im Betriebsmodus können nicht nebeneinander existieren.
Die Paketerfassung im Betriebsmodus ist ein einmaliger Vorgang, und das System speichert den Verlauf dieses Befehls nicht.
Sie sollten den Betriebsmodus Paketerfassung bei niedriger Datenverkehrsrate verwenden.
Siehe auch
Beispiel: Aktivieren der Paketerfassung und Konfigurieren des Firewallfilters auf einem Gerät
In diesem Beispiel wird gezeigt, wie die Paketerfassung aktiviert und ein Firewallfilter für die Paketerfassung konfiguriert und auf eine logische Schnittstelle auf einem Gerät angewendet wird. Sie können den Firewallfilter konfigurieren, um die Menge des zu erfassenden Datenverkehrs einzuschränken oder zu filtern, den Netzwerkverkehr zu analysieren und Netzwerkprobleme zu beheben.
Anforderungen
Bevor Sie beginnen:
-
Stellen Sie eine grundlegende Konnektivität her.
-
Konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
In diesem Beispiel legen Sie die maximale Paketerfassungsgröße in jeder Datei auf 500 Byte fest. Der Bereich liegt zwischen 68 und 1500, und der Standardwert ist 68 Byte. Sie geben den Zieldateinamen für die Paketerfassungsdatei als pcap-file an. Anschließend geben Sie die maximale Anzahl der zu erfassenden Dateien als 100 an. Der Bereich liegt zwischen 2 und 10.000, und der Standardwert ist 10 Dateien. Sie legen die maximale Größe jeder Datei auf 1024 Byte fest. Der Bereich liegt zwischen 1.024 und 104.857.600, und der Standardwert ist 512.000 Byte.
Sie legen einen Firewallfilter mit dem Namen "dest-all" und einen Begriffsnamen mit dem Namen "dest-term" fest, um Pakete von einer bestimmten Zieladresse zu erfassen, nämlich 192.168.1.1/32. Sie definieren die Übereinstimmungsbedingung, um die abgetasteten Pakete zu akzeptieren. Schließlich wenden Sie den Filter "Alles ziel" auf alle ausgehenden Pakete auf der Schnittstelle fe-0/0/1 an.
Wenn Sie einen Firewall-Filter auf die Loopback-Schnittstelle anwenden, wirkt sich dies auf den gesamten Datenverkehr zur und von der Routing-Engine aus. Wenn der Firewallfilter über eine sample Aktion verfügt, werden Pakete zur und von der Routing-Engine abgetastet. Wenn die Paketerfassung aktiviert ist, werden Pakete zu und von der Routing-Engine in den Dateien erfasst, die für die Eingabe- und Ausgabeschnittstellen erstellt wurden.
Sie geben an, dass alle Benutzer über die Berechtigung zum Lesen der Paketerfassungsdateien verfügen.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set forwarding-options packet-capture maximum-capture-size 500 set forwarding-options packet-capture file filename pcap-file files 100 size 1024 world-readable set firewall filter dest-all term dest-term from destination-address 192.168.1.1/32 set firewall filter dest-all term dest-term then sample accept set firewall filter dest-all term allow-all-else then accept set interfaces fe-0/0/1 unit 0 family inet filter output dest-all set interfaces fe-0/0/1 unit 0 family inet filter input dest-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So aktivieren Sie die Paketerfassung auf einem Gerät:
Legen Sie die maximale Paketerfassungsgröße fest.
[edit] user@host# edit forwarding-options user@host# set packet-capture maximum-capture-size 500
Geben Sie den Namen der Zieldatei an.
[edit forwarding-options] user@host# set packet-capture file filename pcap-file
Geben Sie die maximale Anzahl der zu erfassenden Dateien an.
[edit forwarding-options] user@host# set packet-capture file files 100
Geben Sie die maximale Größe jeder Datei an.
[edit forwarding-options] user@host# set packet-capture file size 1024
Geben Sie an, dass alle Benutzer über die Berechtigung zum Lesen der Datei verfügen.
[edit forwarding-options] user@host# set packet-capture file world-readable
Konfigurieren Sie den Firewallfilter für die Paketerfassung.
[edit] user@host# edit firewall user@host# set filter dest-all term dest-term from destination-address 192.168.1.1/32
Definieren Sie die Übereinstimmungsbedingung und ihre Aktion. Der Begriff
allow-all-elsewird verwendet, um sicherzustellen, dass der SRX keinen anderen Datenverkehr verwirft.[edit firewall] user@host# set filter dest-all term dest-term then sample accept user@host# set filter dest-all term allow-all-else then accept
Wenden Sie den Firewall-Filter auf der Schnittstelle an, um die ein- und ausgehenden Pakete zu erfassen.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet filter output dest-all user@host# set fe-0/0/1 unit 0 family inet filter input dest-all
Bestätigen Sie, um die Paketerfassung zu aktivieren.
user@host# commit
Deaktivieren Sie die Paketerfassung, um das Sammeln von Objekten zu stoppen.
user@host# rollback 1 user@host# commit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den run show forwarding-optionsrun show firewall filter dest-all Befehlund seingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# run show forwarding-options
packet-capture {
file filename pcap-file files 100 size 1k world-readable;
maximum-capture-size 500;
}
[edit]
user@host# run show firewall filter dest-all
term dest-term {
from {
destination-address 192.168.1.1/32;
}
then {
sample;
accept;
}
}
term allow-all-else {
then accept;
}Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen des Firewallfilters für die Paketerfassungskonfiguration
- Verifizieren von abgefangenen Paketen
Überprüfen des Firewallfilters für die Paketerfassungskonfiguration
Zweck
Stellen Sie sicher, dass der Firewallfilter für die Paketerfassung auf dem Gerät konfiguriert ist.
Action!
Geben Sie im Konfigurationsmodus den run show forwarding-options Befehlund run show firewall filter dest-all sein. Stellen Sie sicher, dass die Ausgabe die beabsichtigte Dateikonfiguration zum Erfassen von Paketen anzeigt, die an die Zieladressegesendet werden.
Zweck
Vergewissern Sie sich, dass die erfassten Pakete im /var/tmp Verzeichnis auf dem Gerät gespeichert sind.
Action!
Geben Sie im Betriebsmodus den file list /var/tmp/ Befehl ein.
user@host> file list /var/tmp/ | match pcap-file* pcap-file fe-0.0.1
Verifizieren von abgefangenen Paketen
Zweck
Stellen Sie sicher, dass die Paketerfassungsdatei im /var/tmp Verzeichnis gespeichert ist und die Pakete offline analysiert werden können.
Action!
Deaktivieren Sie die Paketerfassung.
Übertragen Sie mithilfe von FTP eine Paketerfassungsdatei (z. B. ) an einen Server,
126b.fe-0.0.1tools-serverauf dem Sie Paketanalysetools installiert haben (z. B. ).Stellen Sie im Konfigurationsmodus eine Verbindung über FTP her
tools-server.[edit] user@host# run ftp tools-server Connected to tools-server.mydomain.net 220 tools-server.mydomain.net FTP server (Version 6.00LS) ready Name (tools-server:user):remoteuser 331 Password required for
remoteuser. Password: 230 User remoteuser logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>Navigieren Sie zu dem Verzeichnis, in dem Paketerfassungsdateien auf dem Gerät gespeichert sind.
ftp> lcd /var/tmp Local directory now /cf/var/tmp
Kopieren Sie die Paketerfassungsdatei, die Sie analysieren möchten, auf den Server, z. B
126b.fe-0.0.1. .ftp> put 126b.fe-0.0.1 local: 126b.fe-0.0.1 remote: 126b.fe-0.0.1 200 PORT command successful. 150 Opening BINARY mode data connection for '126b.fe-0.0.1'. 100% 1476 00:00 ETA 226 Transfer complete. 1476 bytes sent in 0.01 seconds (142.42 KB/s)
Kehren Sie in den Konfigurationsmodus zurück.
ftp> bye 221 Goodbye. [edit] user@host#
Öffnen Sie die Paketerfassungsdatei auf dem Server mit tcpdump oder einem beliebigen Paketanalysator, der das libpcap-Format unterstützt, und überprüfen Sie die Ausgabe.
root@server% tcpdump -r 126b.fe-0.0.1 -xevvvv
01:12:36.279769 Out 0:5:85:c4:e3:d1 > 0:5:85:c8:f6:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 33133, offset 0, flags [none], proto: ICMP (1), length: 84) 14.1.1.1 > 15.1.1.1: ICMP echo request seq 0, length 64
0005 85c8 f6d1 0005 85c4 e3d1 0800 4500
0054 816d 0000 4001 da38 0e01 0101 0f01
0101 0800 3c5a 981e 0000 8b5d 4543 51e6
0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000
01:12:36.279793 Out 0:5:85:c8:f6:d1 > 0:5:85:c4:e3:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 41227, offset 0, flags [none], proto: ICMP (1), length: 84) 15.1.1.1 > 14.1.1.1: ICMP echo reply seq 0, length 64
0005 85c4 e3d1 0005 85c8 f6d1 0800 4500
0054 a10b 0000 3f01 bb9a 0f01 0101 0e01
0101 0000 445a 981e 0000 8b5d 4543 51e6
0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa
aaaa aaaa 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000
root@server% Beispiel: Konfigurieren der Paketerfassung auf einer Schnittstelle
In diesem Beispiel wird gezeigt, wie die Paketerfassung auf einer Schnittstelle konfiguriert wird, um Datenverkehr zu analysieren.
Anforderungen
Bevor Sie beginnen:
Stellen Sie eine grundlegende Konnektivität her.
Konfigurieren Sie Netzwerkschnittstellen. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Überblick
In diesem Beispiel erstellen Sie eine Schnittstelle mit dem Namen fe-0/0/1 und konfigurieren dann die Richtung des Datenverkehrs, für den Sie die Paketerfassung auf der logischen Schnittstelle aktivieren, als eingehend und ausgehend.
Bei Datenverkehr, der das Flow-Softwaremodul umgeht (Protokollpakete wie ARP, OSPF und PIM), werden die von der Routing-Engine generierten Pakete nicht erfasst, es sei denn, Sie haben einen Firewall-Filter auf der Schnittstelle in Ausgaberichtung konfiguriert und angewendet.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
edit interfaces fe-0/0/1 set unit 0 family inet sampling input output
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie die Paketerfassung auf einer Schnittstelle:
Erstellen Sie eine Schnittstelle.
[edit] user@host# edit interfaces fe-0/0/1
Konfigurieren Sie die Richtung des Datenverkehrs.
[edit interfaces fe-0/0/1] user@host# set unit 0 family inet sampling input output
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Überprüfen der Paketerfassungskonfiguration
Zweck
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Stellen Sie sicher, dass die Paketerfassung auf der Schnittstelle konfiguriert ist.
Action!
Geben Sie im Konfigurationsmodus den run show interfaces fe-0/0/1 Befehl ein.
Paketerfassung deaktivieren
Sie müssen die Paketerfassung deaktivieren, bevor Sie die Paketerfassungsdatei zur Analyse öffnen oder die Datei auf ein externes Gerät übertragen. Durch das Deaktivieren der Paketerfassung wird sichergestellt, dass der interne Dateipuffer geleert wird und alle erfassten Pakete in die Datei geschrieben werden.
Um die Paketerfassung zu deaktivieren, geben Sie im Konfigurationsmodus Folgendes ein:
[edit forwarding-options] user@host# set packet-capture disable
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Ändern der Kapselung auf Schnittstellen mit konfigurierter Paketerfassung
Bevor Sie die Kapselung auf einer Geräteschnittstelle ändern, die für die Paketerfassung konfiguriert ist, müssen Sie die Paketerfassung deaktivieren und die neueste Paketerfassungsdatei umbenennen. Andernfalls speichert die Paketerfassung die Pakete mit unterschiedlichen Kapselungen in derselben Paketerfassungsdatei. Paketdateien, die Pakete mit unterschiedlichen Kapselungen enthalten, sind nicht nützlich, da Paketanalysetools wie tcpdump solche Dateien nicht analysieren können.
Nachdem Sie die Kapselung geändert haben, können Sie die Paketerfassung auf dem Gerät sicher wieder aktivieren.
So ändern Sie die Kapselung auf Schnittstellen mit konfigurierter Paketerfassung:
- Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
- Geben Sie den Befehl aus dem Konfigurationsmodus ein
commit. - Benennen Sie die letzte Paketerfassungsdatei, in der Sie die Kapselung ändern, mit der
.chdslErweiterung um. - Ändern Sie die Kapselung auf der Schnittstelle mithilfe der J-Web-Benutzeroberfläche oder des CLI-Konfigurationseditors.
- Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf
commit. - Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
- Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf
commit.
Paketerfassungsdateien löschen
Durch das Löschen von Paketerfassungsdateien aus dem Verzeichnis /var/tmp werden die Paketerfassungsdateien nur vorübergehend entfernt. Paketerfassungsdateien für die Schnittstelle werden automatisch neu erstellt, wenn das nächste Mal ein Commit für eine Änderung der Paketerfassungskonfiguration ausgeführt wird, oder als Teil einer Paketerfassungsdateirotation.
So löschen Sie eine Paketerfassungsdatei:
- Deaktivieren Sie die Paketerfassung (siehe Deaktivieren der Paketerfassung).
- Löschen Sie die Paketerfassungsdatei für die Schnittstelle.
- Aktivieren Sie die Paketerfassung erneut (siehe Beispiel: Aktivieren der Paketerfassung auf einem Gerät).
- Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf
commit.
Paket-Header anzeigen
Geben Sie den monitor traffic Befehl ein, um Paketheader anzuzeigen, die über Netzwerkschnittstellen mit der folgenden Syntax übertragen werden:
Die Verwendung des monitor traffic Befehls kann die Systemleistung beeinträchtigen. Es wird empfohlen, Filteroptionen wie count und matchingzu verwenden, um die Auswirkungen auf den Paketdurchsatz auf dem System zu minimieren.
user@host> monitor traffic <absolute-sequence> <count number> <interface interface-name> <layer2-headers> <matching "expression"> <no-domain-names> <no-promiscuous> <no-resolve> <no-timestamp> <print-ascii> <print-hex> <size bytes> <brief | detail | extensive>
Tabelle 1 Beschreibt die monitor traffic Befehlsoptionen.
Option |
Beschreibung |
|---|---|
|
(Optional) Zeigt die absoluten TCP-Sequenznummern an. |
|
(Optional) Zeigt die angegebene Anzahl von Paket-Headern an. Geben Sie einen Wert von |
|
(Optional) Zeigt Paketheader für Datenverkehr auf der angegebenen Schnittstelle an. Wenn keine Schnittstelle angegeben ist, wird die Schnittstelle mit der niedrigsten Nummer überwacht. |
|
(Optional) Zeigt den Link-Layer-Paket-Header in jeder Zeile an. |
|
(Optional) Zeigt Paketheader an, die mit einem Ausdruck übereinstimmen, der in Anführungszeichen (" ") eingeschlossen ist. Tabelle 2 Durch Tabelle 4 Listenübereinstimmungsbedingungen, logische Operatoren und arithmetische, binäre und relationale Operatoren, die Sie im Ausdruck verwenden können. |
|
(Optional) Unterdrückt die Anzeige des Domänennamenteils des Hostnamens. |
|
(Optional) Gibt an not , dass die überwachte Schnittstelle in den promiskuitiven Modus versetzt werden soll. Im Promiscuous-Modus liest die Schnittstelle jedes Paket, das sie erreicht. Im nicht-promiskuitiven Modus liest die Schnittstelle nur die an sie adressierten Pakete. |
|
(Optional) Unterdrückt die Anzeige von Hostnamen. |
|
(Optional) Unterdrückt die Anzeige von Zeitstempeln im Paket-Header. |
|
(Optional) Zeigt jeden Paket-Header im ASCII-Format an. |
|
(Optional) Zeigt jeden Paket-Header (mit Ausnahme der Link-Layer-Header) im Hexadezimalformat an. |
|
(Optional) Zeigt die Anzahl der Bytes für jedes Paket an, das Sie angeben. Wenn ein Paket-Header diese Größe überschreitet, wird der angezeigte Paket-Header abgeschnitten. Der Standardwert ist |
|
(Optional) Zeigt minimale Paket-Header-Informationen an. Dies ist die Standardeinstellung. |
|
(Optional) Zeigt Paket-Header-Informationen in moderaten Details an. Bei einigen Protokollen müssen Sie auch die |
|
(Optional) Zeigt die umfangreichste Ebene der Paket-Header-Informationen an. Für einige Protokolle müssen Sie auch die |
Um den monitor traffic Befehl zu beenden und zur Eingabeaufforderung zurückzukehren, drücken Sie Strg-C.
Um die vom Befehl angezeigten Paket-Header-Informationen einzuschränken, schließen Sie monitor traffic die matching "expression" Option ein. Ein Ausdruck besteht aus einer oder mehreren Übereinstimmungsbedingungen, die in aufgeführt sind Tabelle 2, eingeschlossen in Anführungszeichen (" " ). Sie können Übereinstimmungsbedingungen kombinieren, indem Sie die logischen Operatoren verwenden, die in Tabelle 3 (in der Reihenfolge der höchsten bis niedrigsten Priorität) aufgeführt sind.
Um z. B. TCP- oder UDP-Paket-Header anzuzeigen, geben Sie Folgendes ein:
user@host> monitor traffic matching “tcp || udp”
Um die folgenden Arten von Ausdrücken zu vergleichen, verwenden Sie die relationalen Operatoren, die in Tabelle 4 (aufgelistet von der höchsten zur niedrigsten Priorität) aufgeführt sind:
Arithmetik: Ausdrücke, die die arithmetischen Operatoren verwenden, die in aufgeführt sind Tabelle 4.
Binary: Ausdrücke, die die binären Operatoren verwenden, die in Tabelle 4.
Paketdatenaccessor – Ausdrücke, die die folgende Syntax verwenden:
protocol [byte-offset <size>]
Ersetzen Sie
protocoldurch ein beliebiges Protokoll in Tabelle 2. Ersetzen Siebyte-offsetdurch den Byte-Offset vom Anfang des Paketheaders, der für den Vergleich verwendet werden soll. Der optionalesizeParameter stellt die Anzahl der Bytes dar, die im Paketheader untersucht werden – 1, 2 oder 4 Byte.Mit dem folgenden Befehl wird beispielsweise der gesamte Multicastdatenverkehr angezeigt:
user@host> monitor traffic matching “ether[0] & 1 !=0”
Übereinstimmungsbedingung |
Beschreibung |
|---|---|
| Entitätstyp | |
|
Stimmt mit Paket-Headern überein, die die angegebene Adresse oder den angegebenen Hostnamen enthalten. Sie können eine der folgenden Protokollübereinstimmungsbedingungen, gefolgt von einem Leerzeichen, voranstellen: |
|
Stimmt Paket-Header mit Quell- oder Zieladressen ab, die die angegebene Netzwerkadresse enthalten. |
|
Stimmt mit Paket-Headern überein, die die angegebene Netzwerkadresse und Subnetzmaske enthalten. |
|
Stimmt mit Paket-Headern überein, die die angegebene Quell- oder Ziel-TCP- oder UDP-Portnummer oder den Portnamen enthalten. |
| Direktional | |
|
Stimmt mit Paket-Headern überein, die das angegebene Ziel enthalten. Richtungsübereinstimmungsbedingungen können allen Übereinstimmungsbedingungen des Entitätstyps vorangestellt werden, gefolgt von einem Leerzeichen. |
|
Stimmt mit Paket-Headern überein, die die angegebene Quelle enthalten. |
|
Stimmt mit Paket-Headern überein, die das angegebene Quellziel and enthalten. |
|
Stimmt mit Paket-Headern überein, die das angegebene Quellziel or enthalten. |
| Paketlänge | |
|
Entspricht Paketen mit einer Länge kleiner oder gleich dem angegebenen Wert in Bytes. |
|
Entspricht Paketen mit einer Länge größer oder gleich dem angegebenen Wert in Byte. |
| Protokoll | |
|
Stimmt mit allen ARP-Paketen überein. |
|
Passend für alle Ethernet-Frames. |
|
Passt zu Broadcast- oder Multicast-Ethernet-Frames. Dieser Übereinstimmungsbedingung kann oder vorangestellt |
|
Stimmt mit Ethernet-Frames mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , |
|
Stimmt mit allen ICMP-Paketen überein. |
|
Stimmt mit allen IP-Paketen überein. |
|
Stimmt mit Broadcast- oder Multicast-IP-Paketen überein. |
|
Stimmt IP-Pakete mit der angegebenen Adresse oder dem angegebenen Protokolltyp überein. Die Argumente , |
|
Stimmt mit allen IS-IS-Routing-Nachrichten überein. |
|
Stimmt mit allen RARP-Paketen überein. |
|
Stimmt mit allen TCP-Paketen überein. |
|
Stimmt mit allen UDP-Paketen überein. |
Logischer Operator |
Beschreibung |
|---|---|
|
Logisch NICHT. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet. |
|
Logisches UND. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung ausgewertet. Wenn die erste Bedingung nicht übereinstimmt, wird die nächste Bedingung übersprungen. |
|
Logisches ODER. Wenn die erste Bedingung zutrifft, wird die nächste Bedingung übersprungen. Wenn die erste Bedingung nicht zutrifft, wird die nächste Bedingung ausgewertet. |
|
Gruppieren Sie Operatoren, um die Standardrangfolge außer Kraft zu setzen. Klammern sind Sonderzeichen, denen jeweils ein umgekehrter Schrägstrich (\) vorangestellt werden muss. |
Betreiber |
Beschreibung |
|---|---|
| Arithmetischer Operator | |
|
Additions-Operator. |
|
Subtraktionsoperator. |
|
Divisionsbetreiber. |
| Binäroperator | |
|
Bitweises UND. |
|
Bitweises exklusives ODER. |
|
Bitweises inklusives ODER. |
| Relationaler Operator | |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner oder gleich dem zweiten ist. |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer oder gleich dem zweiten ist. |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck kleiner als der zweite ist. |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck größer als der zweite ist. |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck gleich dem zweiten ist. |
|
Eine Übereinstimmung tritt auf, wenn der erste Ausdruck nicht gleich dem zweiten ist. |
Im Folgenden finden Sie eine Beispielausgabe des monitor traffic Befehls:
user@host> monitor traffic count 4 matching “arp” detail
Listening on fe-0/0/0, capture size 96 bytes 15:04:16.276780 In arp who-has 193.1.1.1 tell host1.site2.net 15:04:16.376848 In arp who-has host2.site2.net tell host1.site2.net 15:04:16.376887 In arp who-has 193.1.1.2 tell host1.site2.net 15:04:16.601923 In arp who-has 193.1.1.3 tell host1.site2.net