패킷 캡처를 위한 IDP 유틸리티 | Junos OS

패킷 캡처 이해하기

SRX300, SRX320, SRX340, SRX345, SRX550 SRX550HM 디바이스에서는 침입 탐지 및 방지(IDP) 검증 프로세스를 개선하기 위해 패킷 캡처(PCAP) 트래픽에 대해서만 컨텍스트 및 관련 데이터를 표시하고 지우는 CLI 명령이 도입되었습니다.

inet 모드 또는 투명 모드에서 패킷 캡처 유틸리티를 실행하여 프로토콜 컨텍스트를 생성할 수 있습니다. UNIX 쉘 프롬프트(%)에서 명령줄 PCAP 피더 유틸리티 도구를 실행해야 합니다.

PCAP 피더 유틸리티는 트래픽에서 사용할 수 있는 한 쌍의 원본 및 대상 IPv4 주소, 패킷이 공급될 인터페이스 및 이러한 PCAP가 삽입되는 인터페이스에 대해 구성된 IPV4 주소를 사용합니다. PCAP가 이러한 인터페이스에 공급되면 PCAP 및 데이터와 연결된 컨텍스트 목록이 컨텍스트에 대해 일치합니다. 컨텍스트, 히트 및 관련 데이터는 PCAP 피더에서 생성된 트래픽에 대해서만 표시됩니다. 실시간 트래픽 통계는 캡처되지 않습니다. 패킷을 공급하는 동안 인터페이스의 서브넷 IP에 패킷을 공급해야 합니다. 패킷을 인터페이스 IP에 공급하는 경우, 침입 탐지 및 방지(IDP) 보안 처리가 컨텍스트를 감지하지 못할 수 있습니다. 인터페이스 IP를 제외한 다른 모든 서브넷 IP를 사용할 수 있습니다.

PCAP 피더 유틸리티 도구를 통해 새 PCAP를 실행하기 전에 다음 clear contexts 명령을 사용하여 기존 컨텍스트 및 데이터를 지우십시오.

Inet 모드 PCAP 피더에 사용되는 샘플 명령:

또는

투명 모드 PCAP 피더에 사용되는 샘플 명령:

또는

표 1 은 위에 제공된 샘플 출력에서 PCAP 피더 도구 필드를 정의합니다.

표 1:
`Fields`	`Description`
pcap --조용한	콘솔에 로그가 표시되지 않도록 합니다.
pcap --verbose	콘솔에 로그를 표시할 수 있습니다
인터페이스-ip1	PCAP 패킷을 공급하기 위한 첫 번째 인터페이스의 IP 주소
인터페이스-ip2	PCAP 패킷을 공급하기 위한 다른 인터페이스의 IP 주소
PCAP-IP1	PCAP에 표시된 IP 주소
PCAP-IP2	PCAP에 표시된 다른 IP 주소
인터페이스1	SRX 디바이스의 인터페이스 1
인터페이스2	SRX 디바이스의 인터페이스 1

PCAP 피더는 다음을 지원하지 않습니다.

IPv6 (IPv6)
FTP와 같은 다중 채널 프로토콜

예: inet 모드에서 패킷 캡처 피더 구성

이 예에서는 inet 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.

요구 사항
개요
구성
확인

요구 사항

시작하기 전에:

네트워크 인터페이스를 구성합니다.

개요

관련 IDP 정책으로 PCAP 피더를 실행하여 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP는 자동 모드에서 pcap-ip1 6.0.0.1 및 pcap-ip2 7.0.0.1을 사용하여 공급됩니다.

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.

의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.

정책을 구성합니다.

영역을 구성하고 인터페이스를 할당합니다.

포워딩 인터페이스를 구성합니다.

결과

구성 모드에서 및 show applications 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오.

구성 확인

목적
행동

목적

PCAP 피더 툴을 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp attack context .

샘플 출력

명령 이름

예: 투명 모드에서 패킷 캡처 피더 구성

이 예에서는 투명 모드에서 패킷 캡처(PCAP) 피더를 실행하여 프로토콜 컨텍스트를 생성하는 방법을 설명합니다.

요구 사항
개요
구성
확인

요구 사항

시작하기 전에:

네트워크 인터페이스를 구성합니다.

개요

관련 IDP 정책으로 일부 PCAP 피더를 실행하여 패킷 캡처에서 실행 중인 패킷에서 관련 프로토콜 컨텍스트를 가져옵니다. 이 예에서 PCAP 피더 pcap-ip 2 7.0.0.1 는 패킷을 공급하기 위해 자동 모드에서 사용됩니다.

구성

절차

CLI 빠른 구성
단계별 절차
결과

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

애플리케이션을 생성하여 침입 탐지 및 방지(IDP) 정책과 연결하려면 다음을 수행합니다.

구성 그룹을 설정합니다.

의미 있는 이름을 할당하여 정책을 만들고, 규칙 베이스를 정책과 연결하고, 규칙 베이스에 규칙을 추가하고, 규칙에 대한 일치 기준을 정의합니다.

정책을 구성합니다.

영역을 구성하고 인터페이스를 할당합니다.

포워딩 인터페이스를 구성합니다.

VLAN-ID를 구성합니다.

결과

구성 모드에서 및 show applications 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오.

구성 확인

목적
행동

목적

PCAP 피더 툴을 사용하여 PCAP를 실행한 후 침입 탐지 및 방지(IDP) 공격 컨텍스트를 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security idp attack context .

샘플 출력

명령 이름

플랫폼별 패킷 캡처 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인할 수 있습니다.

다음 표를 사용하여 플랫폼에 대한 플랫폼별 동작을 검토합니다.

플랫폼	다름
SRX 시리즈 방화벽	패킷 캡처를 지원하는 SRX300, SRX320, SRX340 및 SRX345 패킷 캡처를 지원하는 방화벽은 `request security idp pcap-analysis` 사용자가 현재 분석 상태를 보고 패킷 캡처 트래픽을 위해 특별히 이전에 처리된 데이터를 재설정할 수 있는 명령을 지원합니다.

이 페이지 내용

패킷 캡처를 위한 침입 탐지 및 방지(IDP) 유틸리티

패킷 캡처 이해하기

예: inet 모드에서 패킷 캡처 피더 구성

요구 사항

개요

구성

절차

CLI 빠른 구성

단계별 절차

결과

확인

구성 확인

목적

행동

샘플 출력

명령 이름

예: 투명 모드에서 패킷 캡처 피더 구성

요구 사항

개요

구성

절차

CLI 빠른 구성

단계별 절차

결과

확인

구성 확인

목적

행동

샘플 출력

명령 이름

플랫폼별 패킷 캡처 동작