Sur cette page
Utilisation de la capture de paquets pour analyser le trafic réseau
Présentation de la capture de paquets
La capture de paquets est un outil qui vous aide à analyser le trafic réseau et à résoudre les problèmes réseau. L’outil de capture de paquets capture les paquets de données en temps réel qui circulent sur le réseau à des fins de surveillance et de journalisation.
La capture de paquets est prise en charge sur les interfaces physiques, les interfaces de reth et les interfaces de tunnel, telles que gr, ip, st0 et lsq-/ls.
Les paquets sont capturés en tant que données binaires, sans modification. Vous pouvez lire les informations de paquets hors ligne avec un analyseur de paquets tel que Wireshark ou tcpdump. Si vous avez besoin de capturer rapidement des paquets à destination ou en provenance du moteur de routage et de les analyser en ligne, vous pouvez utiliser l’outil de diagnostic de capture de paquets J-Web.
L’outil de capture de paquets ne prend pas en charge la capture de paquets IPv6.
Vous pouvez utiliser l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour configurer la capture de paquets.
Les administrateurs réseau et les ingénieurs de sécurité utilisent la capture de paquets pour effectuer les tâches suivantes :
Surveillez le trafic réseau et analysez les schémas de trafic.
Identifiez et résolvez les problèmes réseau.
Détectez les violations de sécurité sur le réseau, telles que les intrusions non autorisées, les activités de logiciels espions ou les analyses ping.
La capture de paquets fonctionne comme un échantillonnage de trafic sur l’équipement, sauf qu’elle capture des paquets entiers, y compris l’en-tête de couche 2 et enregistre le contenu dans un fichier au format libpcap. La capture de paquets capture également des fragments IP.
Vous ne pouvez pas activer la capture de paquets et l’échantillonnage du trafic sur l’équipement en même temps. Contrairement à l’échantillonnage du trafic, il n’y a pas d’opérations de traçage pour la capture de paquets.
Vous pouvez activer simultanément la capture de paquets et la mise en miroir des ports sur un équipement.
Cette section contient les sujets suivants :
- Capture de paquets sur les interfaces des équipements
- Filtres de pare-feu pour la capture de paquets
- Fichiers de capture de paquets
- Analyse des fichiers de capture de paquets
Capture de paquets sur les interfaces des équipements
La capture de paquets est prise en charge sur les interfaces T1, T3, E1, E3, série, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE et ISDN.
Pour capturer des paquets sur une interface ISDN, configurez la capture de paquets sur l’interface du numéroteur. Pour capturer des paquets sur une interface PPPoE, configurez la capture de paquets sur l’interface logique PPPoE.
La capture de paquets prend en charge ppp, Cisco HDLC, frame relay et autres encapsulations ATM. La capture de paquets prend également en charge le PPP multilink (MLPPP), le relais de trames multilink de bout en bout (MLFR) et les encapsulations UNI/NNI de relais de trames multilink (MFR).
Vous pouvez capturer tous les paquets IPv4 circulant sur une interface dans le sens entrant ou sortant. Toutefois, sur le trafic qui contourne le module logiciel de flux (paquets de protocole tels que ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont capturés que si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens de sortie.
Les interfaces tunnel prennent uniquement en charge la capture des paquets dans la direction sortante.
Utilisez l’éditeur de configuration J-Web ou l’éditeur de configuration CLI pour spécifier la taille maximale des paquets, le nom de fichier à utiliser pour stocker les paquets capturés, la taille maximale du fichier, le nombre maximal de fichiers de capture de paquets et les autorisations de fichier.
Pour les paquets capturés sur les interfaces T1, T3, E1, E3, série et ISDN dans le sens sortant (sortant), la taille du paquet capturé peut être inférieure de 1 octet à la taille maximale de paquet configurée en raison du bit PLP (Packet Loss Priority).
Pour modifier l’encapsulation sur une interface avec la capture de paquets configurée, vous devez désactiver la capture de paquets.
Filtres de pare-feu pour la capture de paquets
Lorsque vous activez la capture de paquets sur un équipement, tous les paquets circulant dans la direction spécifiée dans la configuration de capture de paquets (entrant, sortant ou les deux) sont capturés et stockés. La configuration d’une interface pour capturer tous les paquets peut dégrader les performances de l’équipement. Vous pouvez contrôler le nombre de paquets capturés sur une interface à l’aide de filtres de pare-feu et spécifier divers critères pour capturer des paquets pour des flux de trafic spécifiques.
Vous devez également configurer et appliquer des filtres de pare-feu appropriés sur l’interface si vous devez capturer les paquets générés par l’équipement hôte, car l’échantillonnage des interfaces ne capture pas les paquets provenant de l’équipement hôte.
Fichiers de capture de paquets
Lorsque la capture de paquets est activée sur une interface, l’ensemble du paquet, y compris l’en-tête de couche 2, est capturé et stocké dans un fichier. Vous pouvez spécifier la taille maximale du paquet à capturer, jusqu’à 1 500 octets. La capture de paquets crée un fichier pour chaque interface physique.
La création et le stockage des fichiers s’effectuent de la manière suivante. Supposons que vous nommez le fichier pcap-filede capture de paquets . La capture de paquets crée plusieurs fichiers (un par interface physique), en suffisant chaque fichier avec le nom de l’interface physique ; par exemple, pcap-file.fe-0.0.1 pour l’interface fe-0.0.1Gigabit Ethernet . Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint la taille maximale, le fichier est renommé pcap-file.fe-0.0.1.0. Lorsque le fichier nommé pcap-file.fe-0.0.1 atteint à nouveau la taille maximale, le fichier nommé pcap-file.fe-0.0.1.0 est renommé pcap-file.fe-0.0.1.1 et pcap-file.fe-0.0.1 renommé pcap-file.fe-0.0.1.0. Ce processus se poursuit jusqu’à ce que le nombre maximal de fichiers soit dépassé et que le fichier le plus ancien soit écrasé. Le pcap-file.fe-0.0.1 fichier est toujours le dernier.
Les fichiers de capture de paquets ne sont pas supprimés même après avoir désactivé la capture de paquets sur une interface.
Analyse des fichiers de capture de paquets
Les fichiers de capture de paquets sont stockés au format libpcap dans le /var/tmp
répertoire. Vous pouvez spécifier des droits d’utilisateur ou d’administrateur pour les fichiers.
Les fichiers de capture de paquets peuvent être ouverts et analysés hors ligne avec tcpdump ou tout analyseur de paquets qui reconnaît le format libpcap. Vous pouvez également utiliser FTP ou le protocole SCP (Session Control Protocol) pour transférer les fichiers de capture de paquets vers un équipement externe.
Désactiver la capture des paquets avant d’ouvrir le fichier pour analyse ou de le transférer vers un équipement externe avec FTP ou SCP. La désactivation de la capture des paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.
Exemple : Activer la capture de paquets sur un équipement
Cet exemple montre comment activer la capture de paquets sur un équipement, analyser le trafic réseau et résoudre les problèmes réseau.
Conditions préalables
Avant de commencer :
Établissez une connectivité de base.
Configurez les interfaces réseau. Consultez le guide de l’utilisateur des interfaces pour les équipements de sécurité.
Présentation
Dans cet exemple, vous définissez la taille de capture de paquets maximale dans chaque fichier comme 500 octets. La plage est de 68 à 1 500, et la valeur par défaut est de 68 octets. Vous spécifiez le nom de fichier cible du fichier de capture de paquets en tant que pcap-file. Vous spécifiez ensuite le nombre maximal de fichiers à capturer comme 100. La plage est de 2 à 10 000, et la valeur par défaut est de 10 fichiers. Vous définissez la taille maximale de chaque fichier à 1 024 octets. La plage est de 1 024 à 104 857 600, et la valeur par défaut est de 512 000 octets. Enfin, vous spécifiez que tous les utilisateurs ont l’autorisation de lire les fichiers de capture de paquets.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set forwarding-options packet-capture maximum-capture-size 500 set forwarding-options packet-capture file filename pcap-file files 100 size 1024 world-readable
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur cli en mode de configuration.
Pour permettre la capture de paquets sur un équipement :
Définissez la taille maximale de capture des paquets.
[edit] user@host# edit forwarding-options user@host# set packet-capture maximum-capture-size 500
Spécifiez le nom de fichier cible.
[edit forwarding-options] user@host# set packet-capture file filename pcap-file
Spécifiez le nombre maximal de fichiers à capturer.
[edit forwarding-options] user@host# set packet-capture file files 100
Spécifiez la taille maximale de chaque fichier.
[edit forwarding-options] user@host# set packet-capture file size 1024
Spécifiez que tous les utilisateurs ont l’autorisation de lire le fichier.
[edit forwarding-options] user@host# set packet-capture file world-readable
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la run show forwarding-options
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# run show forwarding-options packet-capture { file filename pcap-file files 100 size 1k world-readable; maximum-capture-size 500; }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration de capture de paquets
But
Vérifiez que la capture de paquets est configurée sur l’équipement.
Action
Depuis le mode de configuration, saisissez la run show forwarding-options
commande. Vérifiez que la sortie affiche la configuration de fichier prévue pour la capture des paquets.
Vérification des paquets capturés
But
Vérifiez que le fichier de capture des paquets est stocké dans le /var/tmp
répertoire et que les paquets peuvent être analysés hors ligne.
Action
Désactiver la capture de paquets.
À l’aide de FTP, transférez un fichier de capture de paquets (par exemple),
126b.fe-0.0.1
vers un serveur sur lequel vous avez installé des outils d’analyse de paquets (par exemple,tools-server
).Depuis le mode de configuration, connectez-vous à l’aide de
tools-server
FTP.[edit] user@host# run ftp tools-server Connected to tools-server.mydomain.net 220 tools-server.mydomain.net FTP server (Version 6.00LS) ready Name (tools-server:user):remoteuser 331 Password required for
remoteuser
. Password: 230 User remoteuser logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>Accédez au répertoire où les fichiers de capture de paquets sont stockés sur l’équipement.
ftp> lcd /var/tmp Local directory now /cf/var/tmp
Copiez le fichier de capture de paquets que vous souhaitez analyser sur le serveur, par exemple
126b.fe-0.0.1
.ftp> put 126b.fe-0.0.1 local: 126b.fe-0.0.1 remote: 126b.fe-0.0.1 200 PORT command successful. 150 Opening BINARY mode data connection for '126b.fe-0.0.1'. 100% 1476 00:00 ETA 226 Transfer complete. 1476 bytes sent in 0.01 seconds (142.42 KB/s)
Revenir au mode de configuration.
ftp> bye 221 Goodbye. [edit] user@host#
Ouvrez le fichier de capture de paquets sur le serveur avec tcpdump ou n’importe quel analyseur de paquets prenant en charge le format libpcap et examinez le résultat.
root@server% tcpdump -r 126b.fe-0.0.1 -xevvvv
01:12:36.279769 Out 0:5:85:c4:e3:d1 > 0:5:85:c8:f6:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 33133, offset 0, flags [none], proto: ICMP (1), length: 84) 14.1.1.1 > 15.1.1.1: ICMP echo request seq 0, length 64 0005 85c8 f6d1 0005 85c4 e3d1 0800 4500 0054 816d 0000 4001 da38 0e01 0101 0f01 0101 0800 3c5a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 01:12:36.279793 Out 0:5:85:c8:f6:d1 > 0:5:85:c4:e3:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 41227, offset 0, flags [none], proto: ICMP (1), length: 84) 15.1.1.1 > 14.1.1.1: ICMP echo reply seq 0, length 64 0005 85c4 e3d1 0005 85c8 f6d1 0800 4500 0054 a10b 0000 3f01 bb9a 0f01 0101 0e01 0101 0000 445a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 root@server%
Exemple : Configurer la capture de paquets sur une interface
Cet exemple montre comment configurer la capture de paquets sur une interface pour analyser le trafic.
Conditions préalables
Avant de commencer :
Établissez une connectivité de base.
Configurez les interfaces réseau. Consultez le guide de l’utilisateur des interfaces pour les équipements de sécurité.
Présentation
Dans cet exemple, vous créez une interface appelée fe-0/0/1, puis configurez la direction du trafic pour lequel vous activez la capture de paquets sur l’interface logique comme entrant et sortant.
Sur le trafic qui contourne le module logiciel de flux (paquets de protocole comme ARP, OSPF et PIM), les paquets générés par le moteur de routage ne sont capturés que si vous avez configuré et appliqué un filtre de pare-feu sur l’interface dans le sens de sortie.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
edit interfaces fe-0/0/1 set unit 0 family inet sampling input output
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur cli en mode de configuration.
Pour configurer la capture de paquets sur une interface :
Créez une interface.
[edit] user@host# edit interfaces fe-0/0/1
Configurez la direction du trafic.
[edit interfaces fe-0/0/1] user@host# set unit 0 family inet sampling input output
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Exemple : Configurer un filtre de pare-feu pour la capture de paquets
Cet exemple montre comment configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique.
Conditions préalables
Avant de commencer :
Établissez une connectivité de base.
Configurez les interfaces réseau. Consultez le guide de l’utilisateur des interfaces pour les équipements de sécurité.
Présentation
Dans cet exemple, vous définissez un filtre de pare-feu appelé dest-all et un nom appelé dest-term pour capturer des paquets à partir d’une adresse de destination spécifique, qui est 192.168.1.1/32. Vous définissez la condition de correspondance pour accepter les paquets échantillonés. Enfin, vous appliquez le filtre dest-all à tous les paquets sortants sur l’interface fe-0/0/1.
Si vous appliquez un filtre de pare-feu sur l’interface de bouclage, cela affecte tout le trafic vers et depuis le moteur de routage. Si le filtre de pare-feu comporte une sample
action, les paquets vers et depuis le moteur de routage sont échantillonnées. Si la capture de paquets est activée, les paquets vers et depuis le moteur de routage sont capturés dans les fichiers créés pour les interfaces d’entrée et de sortie.
topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set firewall filter dest-all term dest-term from destination-address 192.168.1.1/32 set firewall filter dest-all term dest-term then sample accept edit interfaces set interfaces fe-0/0/1 unit 0 family inet filter output dest-all
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de Junos OS CLI .
Pour configurer un filtre de pare-feu pour la capture de paquets et l’appliquer à une interface logique :
Spécifiez le filtre de pare-feu et son adresse de destination.
[edit] user@host# edit firewall user@host# set filter dest-all term dest-term from destination-address 192.168.1.1/32
Définissez la condition de correspondance et son action.
[edit firewall] user@host# set filter dest-all term dest-term then sample accept
Appliquez le filtre à tous les paquets sortants.
[edit interfaces] user@host# set interfaces fe-0/0/1 unit 0 family inet filter output dest-all
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la run show firewall filter dest-all
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# run show firewall filter dest-all term dest-term { from { destination-address 192.168.1.1/32; } then { sample; accept; } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérification du filtre de pare-feu pour la configuration de capture de paquets
But
Vérifiez que la configuration fonctionne correctement.
Vérifiez que le filtre de pare-feu pour la capture des paquets est configuré.
Action
Depuis le mode de configuration, saisissez la run show firewall filter dest-all
commande. Vérifiez que la sortie indique la configuration prévue du filtre de pare-feu pour la capture des paquets envoyés à l’adresse de destination.
Exemple : Configurer la capture de paquets pour le débogage de chemin de données
Cet exemple montre comment configurer la capture de paquets pour surveiller le trafic qui transite par l’équipement. La capture de paquets déverse ensuite les paquets dans un format de fichier PCAP qui peut être ultérieurement examiné par l’utilitaire tcpdump.
Conditions préalables
Avant de commencer, consultez Débogage du chemin de données (procédure CLI).
Présentation
Un filtre est défini pour filtrer le trafic ; puis un profil d’action est appliqué au trafic filtré. Le profil d’action spécifie une variété d’actions sur l’unité de traitement. L’une des actions prises en charge est le vidage des paquets, qui envoie le paquet au moteur de routage et le stocke sous forme propriétaire pour être lu à l’aide de la show security datapath-debug capture
commande.
Le débogage des chemins de données est pris en charge sur SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit]
hiérarchie, puis entrez commit
à partir du mode de configuration.
set security datapath-debug capture-file my-capture set security datapath-debug capture-file format pcap set security datapath-debug capture-file size 1m set security datapath-debug capture-file files 5 set security datapath-debug maximum-capture-size 400 set security datapath-debug action-profile do-capture event np-ingress packet-dump set security datapath-debug packet-filter my-filter action-profile do-capture set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configurationdans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer la capture de paquets :
Modifiez l’option security datapath-debug pour les multiples unités de traitement le long du chemin de traitement des paquets :
[edit] user@host# edit security datapath-debug
Activez le fichier de capture, le format du fichier, la taille du fichier et le nombre de fichiers. Le nombre de taille limite la taille du fichier de capture. Une fois la taille limite atteinte, si le numéro de fichier est spécifié, le fichier de capture est pivoté vers le nom de fichier x, où x il est incrémenté automatiquement jusqu’à ce qu’il atteigne l’index spécifié et revienne à zéro. Si aucun index de fichiers n’est spécifié, les paquets seront jetés une fois la limite de taille atteinte. La taille par défaut est de 512 kilooctets.
[edit security datapath-debug] user@host# set capture-file my-capture format pcap size 1m files 5 [edit security datapath-debug] user@host# set maximum-capture-size 400
Activez le profil d’action et définissez l’événement. Définissez le profil d’action comme do-capture et le type d’événement comme np-ingress :
[edit security datapath-debug] user@host# edit action-profile do-capture [edit security datapath-debug action-profile do-capture] user@host# edit event np-ingress
Activer le vidage des paquets pour le profil d’action :
[edit security datapath-debug action-profile do-capture event np-ingress] user@host# set packet-dump
Activez les options de filtrage, d’action et de filtrage des paquets. Le filtre de paquets est défini sur mon filtre, le profil d’action est défini sur do-capture et l’option de filtre est définie sur préfixe source 1.2.3.4/32.
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter action-profile do-capture
[edit security datapath-debug] user@host# set security datapath-debug packet-filter my-filter source-prefix 1.2.3.4/32
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security datapath-debug
commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
security { datapath-debug { capture-file { my-capture format pcap size 1m files 5; } } maximum-capture-size 100; action-profile do-capture { event np-ingress { packet-dump } } packet-filter my-filter { source-prefix 1.2.3.4/32 action-profile do-capture } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la capture de paquets
- Vérification de la capture du débogage des chemins de données
- Vérification du compteur de débogage des chemins de données
Vérification de la capture de paquets
But
Vérifiez si la capture de paquets fonctionne.
Action
Depuis le mode opérationnel, saisissez la commande pour lancer la request security datapath-debug capture start
capture de paquets et saisissez la commande pour arrêter la request security datapath-debug capture stop
capture de paquets.
Pour afficher les résultats, depuis le mode opérationnel cli, accédez au shell UNIX local et accédez au répertoire /var/log/my-capture. Le résultat peut être lu à l’aide de l’utilitaire tcpdump.
Vérification de la capture du débogage des chemins de données
But
Vérifiez les détails du fichier de capture de chemin d’accès aux données.
Action
Depuis le mode opérationnel, saisissez la show security datapath-debug capture
commande.
user@host>show security datapath-debug capture
Une fois le dépannage terminé, assurez-vous de supprimer ou de désactiver toutes les configurations de traceoptions (sans se limiter aux traceoptions de flux) et l’ensemble de la configuration de déboguement de chemin de données de sécurité. Si des configurations de débogage restent actives, elles continueront d’utiliser le processeur et les ressources mémoire de l’équipement.
Vérification du compteur de débogage des chemins de données
But
Vérifiez les détails du compteur de débogage de chemin de données.
Action
Depuis le mode opérationnel, saisissez la show security datapath-debug counter
commande.
Désactiver la capture de paquets
Vous devez désactiver la capture de paquets avant d’ouvrir le fichier de capture de paquets pour analyse ou de transférer le fichier vers un équipement externe. La désactivation de la capture des paquets garantit que la mémoire tampon interne du fichier est vidée et que tous les paquets capturés sont écrits dans le fichier.
Pour désactiver la capture de paquets, saisissez à partir du mode de configuration :
[edit forwarding-options] user@host# set packet-capture disable
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Modifier l’encapsulation sur les interfaces avec la capture de paquets configurée
Avant de modifier l’encapsulation sur une interface d’équipement configurée pour la capture de paquets, vous devez désactiver la capture de paquets et renommer le dernier fichier de capture de paquets. Sinon, la capture de paquets enregistre les paquets avec différentes encapsulations dans le même fichier de capture de paquets. Les fichiers de paquets contenant des paquets avec différentes encapsulations ne sont pas utiles, car les outils d’analyse de paquets comme tcpdump ne peuvent pas analyser de tels fichiers.
Après avoir modifié l’encapsulation, vous pouvez réenabler la capture de paquets en toute sécurité sur l’équipement.
Pour modifier l’encapsulation sur les interfaces avec la capture de paquets configurée :
- Désactiver la capture de paquets (voir Désactiver la capture de paquets).
- Entrez
commit
depuis le mode de configuration. - Renommez le dernier fichier de capture de paquets sur lequel vous modifiez l’encapsulation avec l’extension
.chdsl
. - Modifiez l’encapsulation sur l’interface à l’aide de l’interface utilisateur J-Web ou de l’éditeur de configuration CLI.
- Si vous avez fini de configurer l’équipement, saisissez
commit
à partir du mode de configuration. - Capture de paquets réenable (voir exemple : Activation de la capture de paquets sur un équipement).
- Si vous avez fini de configurer l’équipement, saisissez
commit
à partir du mode de configuration.
Supprimer les fichiers de capture de paquets
La suppression des fichiers de capture de paquets du répertoire /var/tmp supprime temporairement les fichiers de capture de paquets. Les fichiers de capture de paquets pour l’interface sont automatiquement créés à nouveau la prochaine fois qu’une modification de configuration de capture de paquets est validée ou dans le cadre d’une rotation des fichiers de capture de paquets.
Pour supprimer un fichier de capture de paquets :
- Désactiver la capture de paquets (voir Désactiver la capture de paquets).
- Supprimez le fichier de capture de paquets pour l’interface.
- Capture de paquets réenable (voir exemple : Activation de la capture de paquets sur un équipement).
- Si vous avez fini de configurer l’équipement, saisissez
commit
à partir du mode de configuration.
Afficher les en-têtes de paquets
Saisissez la monitor traffic
commande pour afficher les en-têtes de paquets transmis via des interfaces réseau avec la syntaxe suivante :
L’utilisation de la monitor traffic
commande peut dégrader les performances du système. Nous vous recommandons d’utiliser des options de filtrage, telles que count
et matching
pour minimiser l’impact sur le débit des paquets sur le système.
user@host> monitor traffic <absolute-sequence> <count number> <interface interface-name> <layer2-headers> <matching "expression"> <no-domain-names> <no-promiscuous> <no-resolve> <no-timestamp> <print-ascii> <print-hex> <size bytes> <brief | detail | extensive>
Tableau 1 décrit les options de monitor traffic
commande.
Option |
Description |
---|---|
|
(Facultatif) Affiche les nombres absolus de séquence TCP. |
|
(Facultatif) Affiche le nombre spécifié d’en-têtes de paquets. Spécifiez une valeur à partir de |
|
(Facultatif) Affiche les en-têtes de paquets pour le trafic sur l’interface spécifiée. Si une interface n’est pas spécifiée, l’interface numérotée la plus basse est surveillée. |
|
(Facultatif) Affiche l’en-tête de paquet de couche liaison sur chaque ligne. |
|
(Facultatif) Affiche les en-têtes de paquets qui correspondent à une expression entre guillemets (« »). Tableau 2 grâce à Tableau 4 des conditions de correspondance de liste, des opérateurs logiques et des opérateurs arithmétiques, binaires et relationnels que vous pouvez utiliser dans l’expression. |
|
(Facultatif) Supprime l’affichage de la partie du nom de domaine du nom de l’hôte. |
|
(Facultatif) not Spécifie de placer l’interface surveillée en mode promiscuous. En mode promiscuous, l’interface lit chaque paquet qui y parvient. En mode non-autorisé, l’interface ne lit que les paquets qui lui sont adressés. |
|
(Facultatif) Supprime l’affichage des noms d’hôte. |
|
(Facultatif) Supprime l’affichage des horodatages d’en-tête de paquet. |
|
(Facultatif) Affiche chaque en-tête de paquet au format ASCII. |
|
(Facultatif) Affiche chaque en-tête de paquet, à l’exception des en-têtes de couche de liaison, au format hexadécimal. |
|
(Facultatif) Affiche le nombre d’octets pour chaque paquet que vous spécifiez. Si un en-tête de paquet dépasse cette taille, l’en-tête de paquet affiché est tronqué. La valeur par défaut est |
|
(Facultatif) Affiche un minimum d’informations sur l’en-tête de paquet. C’est la valeur par défaut. |
|
(Facultatif) Affiche des informations d’en-tête de paquets modérément détaillées. Pour certains protocoles, vous devez également utiliser l’option |
|
(Facultatif) Affiche le niveau d’informations d’en-tête de paquet le plus complet. Pour certains protocoles, vous devez également utiliser l’option |
Pour quitter la monitor traffic
commande et revenir à l’invite de commandes, appuyez sur Ctrl-C.
Pour limiter les informations d’en-tête de paquet affichées par la monitor traffic
commande, incluez l’option matching "expression"
. Une expression se compose d’une ou plusieurs conditions de correspondance répertoriées dans Tableau 2, jointes entre guillemets (« »). Vous pouvez combiner les conditions de correspondance à l’aide des opérateurs logiques répertoriés dans (indiqués dans Tableau 3 l’ordre de priorité la plus élevée à la plus faible).
Par exemple, pour afficher les en-têtes de paquets TCP ou UDP, saisissez :
user@host> monitor traffic matching “tcp || udp”
Pour comparer les types d’expressions suivants, utilisez les opérateurs relationnels répertoriés dans Tableau 4 (répertoriés de la priorité la plus élevée au plus faible) :
Arithmétique : expressions qui utilisent les opérateurs arithmétiques répertoriés dans Tableau 4.
Binaire : expressions qui utilisent les opérateurs binaires répertoriés dans Tableau 4.
Accesseur de données de paquets : expressions qui utilisent la syntaxe suivante :
protocol [byte-offset <size>]
Remplacez par
protocol
n’importe quel protocole dans Tableau 2. Remplacezbyte-offset
par le décalage d’octet, à partir du début de l’en-tête de paquet, à utiliser pour la comparaison. Le paramètre facultatifsize
représente le nombre d’octets examinés dans l’en-tête du paquet : 1, 2 ou 4 octets.Par exemple, la commande suivante affiche tout le trafic multicast :
user@host> monitor traffic matching “ether[0] & 1 !=0”
Condition de correspondance |
Description |
---|---|
Type d’entité | |
|
Correspond aux en-têtes de paquets qui contiennent l’adresse ou le nom d’hôte spécifié. Vous pouvez préprésenter l’une des conditions de correspondance de protocole suivantes, suivie d’un espace, à |
|
Fait correspondre les en-têtes de paquets aux adresses source ou de destination contenant l’adresse réseau spécifiée. |
|
Correspond aux en-têtes de paquets contenant l’adresse réseau et le masque de sous-réseau spécifiés. |
|
Correspond aux en-têtes de paquets contenant le numéro ou le nom du port TCP ou UDP de source ou de destination spécifié. |
Directionnelle | |
|
Correspond aux en-têtes de paquets contenant la destination spécifiée. Les conditions de correspondance directionnelle peuvent être prédépendées à n’importe quelle condition de correspondance du type d’entité, suivie d’un espace. |
|
Correspond aux en-têtes de paquets contenant la source spécifiée. |
|
Correspond aux en-têtes de paquets contenant la destination source and spécifiée. |
|
Correspond aux en-têtes de paquets contenant la destination source or spécifiée. |
Longueur des paquets | |
|
Correspond aux paquets avec des longueurs inférieures ou égales à la valeur spécifiée, en octets. |
|
Fait correspondre les paquets avec des longueurs supérieures ou égales à la valeur spécifiée, en octets. |
Protocole | |
|
Correspond à tous les paquets ARP. |
|
Correspond à toutes les trames Ethernet. |
|
Correspond aux trames Ethernet broadcast ou multicast. Cette condition de correspondance peut être prévue avec |
|
Fait correspondre les trames Ethernet à l’adresse ou au type de protocole spécifié. Les arguments |
|
Correspond à tous les paquets ICMP. |
|
Correspond à tous les paquets IP. |
|
Correspond aux paquets IP de diffusion ou multicast. |
|
Fait correspondre les paquets IP à l’adresse ou au type de protocole spécifié. Les arguments |
|
Correspond à tous les messages de routage IS-IS. |
|
Correspond à tous les paquets RARP. |
|
Correspond à tous les paquets TCP. |
|
Correspond à tous les paquets UDP. |
Opérateur logique |
Description |
---|---|
|
Logique NON. Si la première condition ne correspond pas, la condition suivante est évaluée. |
|
Logique ET. Si la première condition correspond, la condition suivante est évaluée. Si la première condition ne correspond pas, la condition suivante est ignorée. |
|
Ou logique. Si la première condition correspond, la condition suivante est ignorée. Si la première condition ne correspond pas, la condition suivante est évaluée. |
|
Les opérateurs de groupe pour remplacer l’ordre de priorité par défaut. Les parenthèses sont des caractères spéciaux, chacun d’entre eux doit être précédé d’une barre arrière (\). |
Opérateur |
Description |
---|---|
Opérateur arithmétique | |
|
Opérateur d’ajout. |
|
Opérateur de soustraction. |
|
Opérateur de division. |
Opérateur binaire | |
|
Dans le sens du bit et. |
|
Ou exclusive ou bitwise. |
|
Ou inclusive par bit. |
Opérateur relationnel | |
|
Une correspondance se produit si la première expression est inférieure ou égale à la seconde. |
|
Une correspondance se produit si la première expression est supérieure ou égale à la seconde. |
|
Une correspondance se produit si la première expression est inférieure à la seconde. |
|
Une correspondance se produit si la première expression est supérieure à la seconde. |
|
Une correspondance se produit si la première expression est égale à la seconde. |
|
Une correspondance se produit si la première expression n’est pas égale à la seconde. |
Voici un exemple de sortie de la monitor traffic
commande :
user@host> monitor traffic count 4 matching “arp” detail
Listening on fe-0/0/0, capture size 96 bytes 15:04:16.276780 In arp who-has 193.1.1.1 tell host1.site2.net 15:04:16.376848 In arp who-has host2.site2.net tell host1.site2.net 15:04:16.376887 In arp who-has 193.1.1.2 tell host1.site2.net 15:04:16.601923 In arp who-has 193.1.1.3 tell host1.site2.net