Uso de la captura de paquetes para analizar el tráfico de red
Descripción general de la captura de paquetes
La captura de paquetes es una herramienta que le ayuda a analizar el tráfico de red y solucionar problemas de red. La herramienta de captura de paquetes captura paquetes de datos en tiempo real que viajan a través de la red para monitoreo y registro.
La captura de paquetes se admite en interfaces físicas, interfaces reth e interfaces de túnel, como gr, ip y lsq-/ls. Sin embargo, la captura de paquetes no se admite en la interfaz de túnel seguro (st0).
Los paquetes se capturan como datos binarios, sin modificaciones. Puede leer la información del paquete sin conexión con un analizador de paquetes como Wireshark o tcpdump. Si necesita capturar rápidamente paquetes destinados o que se originan en el motor de enrutamiento y analizarlos en línea, puede usar la herramienta de diagnóstico de captura de paquetes J-Web.
La herramienta de captura de paquetes no admite la captura de paquetes IPv6.
Puede utilizar el editor de configuración de J-Web o el editor de configuración de CLI para configurar la captura de paquetes.
Los administradores de red y los ingenieros de seguridad utilizan la captura de paquetes para realizar las siguientes tareas:
Supervise el tráfico de red y analice los patrones de tráfico.
Identificar y solucionar problemas de red.
Detecte brechas de seguridad en la red, como intrusiones no autorizadas, actividad de spyware o análisis de ping.
La captura de paquetes funciona como un muestreo de tráfico en el dispositivo, excepto que captura paquetes enteros, incluido el encabezado de capa 2, y guarda el contenido en un archivo en formato libpcap. La captura de paquetes también captura fragmentos IP.
No puede habilitar la captura de paquetes y el muestreo de tráfico en el dispositivo al mismo tiempo. A diferencia del muestreo de tráfico, no hay operaciones de rastreo para la captura de paquetes.
Puede habilitar la captura de paquetes y la duplicación de puertos simultáneamente en un dispositivo.
Esta sección contiene los siguientes temas:
- Captura de paquetes en interfaces de dispositivos
- Filtros de firewall para la captura de paquetes
- Archivos de captura de paquetes
- Análisis de archivos de captura de paquetes
Captura de paquetes en interfaces de dispositivos
La captura de paquetes es compatible con las interfaces T1, T3, E1, E3, serie, Gigabit Ethernet, ADSL, G.SHDSL, PPPoE y RDSI.
Para capturar paquetes en una interfaz RDSI, configure la captura de paquetes en la interfaz del marcador. Para capturar paquetes en una interfaz PPPoE, configure la captura de paquetes en la interfaz lógica PPPoE.
La captura de paquetes admite PPP, Cisco HDLC, Frame Relay y otras encapsulaciones ATM. La captura de paquetes también admite las encapsulaciones PPP multivínculo (MLPPP), Multilink Frame Relay de extremo a extremo (MLFR) y Multilink Frame Relay UNI/NNI (MFR).
Puede capturar todos los paquetes IPv4 que fluyen en una interfaz en la dirección de entrada o salida. Sin embargo, en el tráfico que omite el módulo de software de flujo (paquetes de protocolo como ARP, OSPF y PIM), los paquetes generados por el motor de enrutamiento no se capturan a menos que haya configurado y aplicado un filtro de firewall en la interfaz en la dirección de salida.
Las interfaces de túnel solo admiten la captura de paquetes en la dirección de salida.
Utilice el editor de configuración de J-Web o el editor de configuración de CLI para especificar el tamaño máximo del paquete, el nombre de archivo que se utilizará para almacenar los paquetes capturados, el tamaño máximo de archivo, el número máximo de archivos de captura de paquetes y los permisos de archivo.
Para los paquetes capturados en interfaces T1, T3, E1, E3, serie e ISDN en la dirección de salida (salida), el tamaño del paquete capturado puede ser 1 byte menor que el tamaño máximo de paquete configurado debido al bit de prioridad de pérdida de paquetes (PLP).
Para modificar la encapsulación en una interfaz con la captura de paquetes configurada, debe deshabilitar la captura de paquetes.
Filtros de firewall para la captura de paquetes
Cuando se habilita la captura de paquetes en un dispositivo, se capturan y almacenan todos los paquetes que fluyen en la dirección especificada en la configuración de captura de paquetes (entrante, saliente o ambos). La configuración de una interfaz para capturar todos los paquetes puede degradar el rendimiento del dispositivo. Puede controlar el número de paquetes capturados en una interfaz con filtros de firewall y especificar varios criterios para capturar paquetes para flujos de tráfico específicos.
También debe configurar y aplicar los filtros de firewall adecuados en la interfaz si necesita capturar paquetes generados por el dispositivo host, ya que el muestreo de interfaz no captura paquetes que se originan en el dispositivo host.
Archivos de captura de paquetes
Cuando la captura de paquetes está habilitada en una interfaz, todo el paquete, incluido el encabezado de capa 2, se captura y almacena en un archivo. Puede especificar el tamaño máximo del paquete a capturar, hasta 1500 bytes. La captura de paquetes crea un archivo para cada interfaz física.
La creación y el almacenamiento de archivos se llevan a cabo de la siguiente manera. Supongamos que asigna al archivo de captura de paquetes el nombre pcap-file. La captura de paquetes crea múltiples archivos (uno por interfaz física), sufijando cada archivo con el nombre de la interfaz física; por ejemplo, pcap-file.fe-0.0.1 para la interfaz fe-0.0.1Gigabit Ethernet . Cuando el archivo denominado pcap-file.fe-0.0.1 alcanza el tamaño máximo, se cambia el nombre pcap-file.fe-0.0.1.0del archivo . Cuando el archivo denominado pcap-file.fe-0.0.1 vuelva a alcanzar el tamaño máximo, se cambiará el nombre pcap-file.fe-0.0.1.1 al archivo denominado pcap-file.fe-0.0.1.0 y pcap-file.fe-0.0.1 se le cambiará el nombre pcap-file.fe-0.0.1.0. Este proceso continúa hasta que se supera el número máximo de archivos y se sobrescribe el archivo más antiguo. El pcap-file.fe-0.0.1 archivo es siempre el archivo más reciente.
Los archivos de captura de paquetes no se quitan incluso después de deshabilitar la captura de paquetes en una interfaz.
Análisis de archivos de captura de paquetes
Los archivos de captura de paquetes se almacenan en formato libpcap en el /var/tmp
directorio. Puede especificar privilegios de usuario o administrador para los archivos.
Los archivos de captura de paquetes se pueden abrir y analizar sin conexión con tcpdump o cualquier analizador de paquetes que reconozca el formato libpcap. También puede utilizar FTP o el Protocolo de control de sesión (SCP) para transferir los archivos de captura de paquetes a un dispositivo externo.
Desactive la captura de paquetes antes de abrir el archivo para analizarlo o transferirlo a un dispositivo externo con FTP o SCP. La desactivación de la captura de paquetes garantiza que el búfer de archivos interno se vacíe y que todos los paquetes capturados se escriban en el archivo.
Captura de paquetes desde el modo operativo
La depuración de rutas de datos o de extremo a extremo proporciona rastreo y depuración en varias unidades de procesamiento a lo largo de la ruta de procesamiento de paquetes. La captura de paquetes es una de las funciones de depuración de rutas de datos. Puede ejecutar la captura de paquetes desde el modo operativo con un impacto mínimo en el sistema de producción sin confirmar las configuraciones.
Puede capturar los paquetes mediante filtros para definir qué paquetes capturar. El filtro de paquetes puede filtrar paquetes según la interfaz lógica, el protocolo, el prefijo de la dirección IP de origen, el puerto de origen, el prefijo de la dirección IP de destino y el puerto de destino. Puede modificar el nombre de archivo, el tipo de archivo, el tamaño de archivo y el tamaño de captura de la salida de captura de paquetes. También puede extender los filtros en dos filtros e intercambiar los valores de los filtros.
La captura de paquetes desde el modo operativo se admite en SRX4600, SRX5400, SRX5600 y SRX5800.
Para capturar paquetes desde el modo operativo, debe realizar los pasos siguientes:
-
Desde el modo operativo, defina el filtro de paquetes para rastrear el tipo de tráfico en función de sus requisitos mediante el comando de la
request packet-capture start
CLI. Consulte solicitar inicio de captura de paquetes para ver las opciones de filtro de captura de paquetes disponibles. - Capture los paquetes necesarios.
- Puede usar el comando de la
request packet-capture stop
CLI para detener la captura de paquetes o, después de recopilar el número solicitado de paquetes, la captura de paquetes se detiene automáticamente. - Vea o analice el informe de datos del paquete capturado.
Las limitaciones de capturar paquetes desde el modo operativo son:
La captura de paquetes en modo de configuración y la captura de paquetes en modo operativo no pueden coexistir.
La captura de paquetes en modo operativo es una operación única y el sistema no almacena el historial de este comando.
Debe utilizar la captura de paquetes en modo operativo con una tasa baja de flujo de tráfico.
Consulte también
Ejemplo: Habilitar la captura de paquetes y configurar el filtro de firewall en un dispositivo
En este ejemplo se muestra cómo habilitar la captura de paquetes y configurar un filtro de firewall para la captura de paquetes y aplicarlo a una interfaz lógica en un dispositivo. Puede configurar el filtro de firewall para restringir o filtrar la cantidad de tráfico que se va a capturar y para analizar el tráfico de red y solucionar problemas de red.
Requisitos
Antes de empezar:
-
Establecer conectividad básica.
-
Configure las interfaces de red. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En este ejemplo, el tamaño máximo de captura de paquetes en cada archivo se establece en 500 bytes. El intervalo va de 68 a 1500 y el valor predeterminado es de 68 bytes. Especifique el nombre de archivo de destino para el archivo de captura de paquetes como archivo pcap. A continuación, especifique el número máximo de archivos que desea capturar como 100. El intervalo es de 2 a 10.000 y el valor predeterminado es 10 archivos. Establecer el tamaño máximo de cada archivo en 1024 bytes. El intervalo es de 1.024 a 104.857.600 y el valor predeterminado es 512.000 bytes.
Establezca un filtro de firewall denominado dest-all y un nombre de término denominado dest-term para capturar paquetes desde una dirección de destino específica, que es 192.168.1.1/32. Defina la condición de coincidencia para aceptar los paquetes de muestra. Finalmente, aplique el filtro dest-all a todos los paquetes salientes en la interfaz fe-0/0/1.
Si aplica un filtro de firewall en la interfaz de circuito cerrado, afecta a todo el tráfico hacia y desde el motor de enrutamiento. Si el filtro de firewall tiene una sample
acción, se muestrean los paquetes hacia y desde el motor de enrutamiento. Si la captura de paquetes está habilitada, los paquetes hacia y desde el motor de enrutamiento se capturan en los archivos creados para las interfaces de entrada y salida.
Especifique que todos los usuarios tengan permiso para leer los archivos de captura de paquetes.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
set forwarding-options packet-capture maximum-capture-size 500 set forwarding-options packet-capture file filename pcap-file files 100 size 1024 world-readable set firewall filter dest-all term dest-term from destination-address 192.168.1.1/32 set firewall filter dest-all term dest-term then sample accept set firewall filter dest-all term allow-all-else then accept set interfaces fe-0/0/1 unit 0 family inet filter output dest-all set interfaces fe-0/0/1 unit 0 family inet filter input dest-all
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para habilitar la captura de paquetes en un dispositivo:
Establezca el tamaño máximo de captura de paquetes.
[edit] user@host# edit forwarding-options user@host# set packet-capture maximum-capture-size 500
Especifique el nombre de archivo de destino.
[edit forwarding-options] user@host# set packet-capture file filename pcap-file
Especifique el número máximo de archivos que desea capturar.
[edit forwarding-options] user@host# set packet-capture file files 100
Especifique el tamaño máximo de cada archivo.
[edit forwarding-options] user@host# set packet-capture file size 1024
Especifique que todos los usuarios tengan permiso para leer el archivo.
[edit forwarding-options] user@host# set packet-capture file world-readable
Configure el filtro de firewall para la captura de paquetes.
[edit] user@host# edit firewall user@host# set filter dest-all term dest-term from destination-address 192.168.1.1/32
Defina la condición de coincidencia y su acción. El término
allow-all-else
se utiliza para asegurarse de que el SRX no deje caer ningún otro tráfico.[edit firewall] user@host# set filter dest-all term dest-term then sample accept user@host# set filter dest-all term allow-all-else then accept
Aplique el filtro de firewall en la interfaz para capturar los paquetes entrantes y salientes.
[edit interfaces] user@host# set fe-0/0/1 unit 0 family inet filter output dest-all user@host# set fe-0/0/1 unit 0 family inet filter input dest-all
Confirme activar la captura de paquetes.
user@host# commit
Desactive la captura de paquetes para detener la colección de objetos.
user@host# rollback 1 user@host# commit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el run show forwarding-options
comandoy run show firewall filter dest-all
s. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# run show forwarding-options packet-capture { file filename pcap-file files 100 size 1k world-readable; maximum-capture-size 500; }
[edit] user@host# run show firewall filter dest-all term dest-term { from { destination-address 192.168.1.1/32; } then { sample; accept; } } term allow-all-else { then accept; }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Comprobación del filtro de firewall para la configuración de captura de paquetes
- Verificación de paquetes capturados
Comprobación del filtro de firewall para la configuración de captura de paquetes
Propósito
Compruebe que el filtro de firewall para la captura de paquetes esté configurado en el dispositivo.
Acción
En el modo de configuración, escriba el run show forwarding-options
y run show firewall filter dest-all
comando s. Compruebe que el resultado muestra la configuración de archivo prevista para capturar los paquetes enviados a la direcciónde destino.
Propósito
Verifique que los paquetes capturados estén almacenados en el /var/tmp
directorio del dispositivo.
Acción
Desde el modo operativo, ingrese el comando file list /var/tmp/
.
user@host> file list /var/tmp/ | match pcap-file* pcap-file fe-0.0.1
Verificación de paquetes capturados
Propósito
Compruebe que el archivo de captura de paquetes está almacenado en el /var/tmp
directorio y que los paquetes se pueden analizar sin conexión.
Acción
Desactive la captura de paquetes.
Mediante FTP, transfiera un archivo de captura de paquetes (por ejemplo,
126b.fe-0.0.1
) a un servidor donde haya instalado herramientas de análisis de paquetes (por ejemplo,tools-server
).Desde el modo de configuración, conéctese mediante
tools-server
FTP.[edit] user@host# run ftp tools-server Connected to tools-server.mydomain.net 220 tools-server.mydomain.net FTP server (Version 6.00LS) ready Name (tools-server:user):remoteuser 331 Password required for
remoteuser
. Password: 230 User remoteuser logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>Desplácese hasta el directorio donde se almacenan los archivos de captura de paquetes en el dispositivo.
ftp> lcd /var/tmp Local directory now /cf/var/tmp
Copie el archivo de captura de paquetes que desea analizar en el servidor, por ejemplo
126b.fe-0.0.1
.ftp> put 126b.fe-0.0.1 local: 126b.fe-0.0.1 remote: 126b.fe-0.0.1 200 PORT command successful. 150 Opening BINARY mode data connection for '126b.fe-0.0.1'. 100% 1476 00:00 ETA 226 Transfer complete. 1476 bytes sent in 0.01 seconds (142.42 KB/s)
Vuelva al modo de configuración.
ftp> bye 221 Goodbye. [edit] user@host#
Abra el archivo de captura de paquetes en el servidor con tcpdump o cualquier analizador de paquetes que admita el formato libpcap y revise la salida.
root@server% tcpdump -r 126b.fe-0.0.1 -xevvvv
01:12:36.279769 Out 0:5:85:c4:e3:d1 > 0:5:85:c8:f6:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 33133, offset 0, flags [none], proto: ICMP (1), length: 84) 14.1.1.1 > 15.1.1.1: ICMP echo request seq 0, length 64 0005 85c8 f6d1 0005 85c4 e3d1 0800 4500 0054 816d 0000 4001 da38 0e01 0101 0f01 0101 0800 3c5a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 01:12:36.279793 Out 0:5:85:c8:f6:d1 > 0:5:85:c4:e3:d1, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 63, id 41227, offset 0, flags [none], proto: ICMP (1), length: 84) 15.1.1.1 > 14.1.1.1: ICMP echo reply seq 0, length 64 0005 85c4 e3d1 0005 85c8 f6d1 0800 4500 0054 a10b 0000 3f01 bb9a 0f01 0101 0e01 0101 0000 445a 981e 0000 8b5d 4543 51e6 0100 aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 root@server%
Ejemplo: Configurar la captura de paquetes en una interfaz
En este ejemplo se muestra cómo configurar la captura de paquetes en una interfaz para analizar el tráfico.
Requisitos
Antes de empezar:
Establecer conectividad básica.
Configure las interfaces de red. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En este ejemplo, se crea una interfaz denominada fe-0/0/1 y, a continuación, se configura la dirección del tráfico para el que se habilita la captura de paquetes en la interfaz lógica como entrante y saliente.
En el tráfico que omite el módulo de software de flujo (paquetes de protocolo como ARP, OSPF y PIM), los paquetes generados por el motor de enrutamiento no se capturan a menos que haya configurado y aplicado un filtro de firewall en la interfaz en la dirección de salida.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
edit interfaces fe-0/0/1 set unit 0 family inet sampling input output
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar la captura de paquetes en una interfaz:
Cree una interfaz.
[edit] user@host# edit interfaces fe-0/0/1
Configure la dirección del tráfico.
[edit interfaces fe-0/0/1] user@host# set unit 0 family inet sampling input output
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Deshabilitar la captura de paquetes
Debe deshabilitar la captura de paquetes antes de abrir el archivo de captura de paquetes para analizarlo o transferirlo a un dispositivo externo. La desactivación de la captura de paquetes garantiza que el búfer de archivos interno se vacíe y que todos los paquetes capturados se escriban en el archivo.
Para deshabilitar la captura de paquetes, ingrese desde el modo de configuración:
[edit forwarding-options] user@host# set packet-capture disable
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Modificar la encapsulación en interfaces con la captura de paquetes configurada
Antes de modificar la encapsulación en una interfaz de dispositivo configurada para la captura de paquetes, debe deshabilitar la captura de paquetes y cambiar el nombre del archivo de captura de paquetes más reciente. De lo contrario, la captura de paquetes guarda los paquetes con diferentes encapsulaciones en el mismo archivo de captura de paquetes. Los archivos de paquetes que contienen paquetes con diferentes encapsulaciones no son útiles, porque las herramientas de análisis de paquetes como tcpdump no pueden analizar dichos archivos.
Después de modificar la encapsulación, puede volver a habilitar la captura de paquetes de forma segura en el dispositivo.
Para cambiar la encapsulación en interfaces con captura de paquetes configurada:
- Desactive la captura de paquetes (consulte Deshabilitar captura de paquetes).
- Ingrese
commit
desde el modo de configuración. - Cambie el nombre del último archivo de captura de paquetes en el que va a cambiar la encapsulación con la
.chdsl
extensión. - Cambie la encapsulación en la interfaz mediante la interfaz de usuario de J-Web o el editor de configuración de CLI.
- Cuando termine de configurar el dispositivo, ingrese
commit
en el modo de configuración. - Vuelva a habilitar la captura de paquetes (consulte Ejemplo: Habilitar la captura de paquetes en un dispositivo).
- Cuando termine de configurar el dispositivo, ingrese
commit
en el modo de configuración.
Eliminar archivos de captura de paquetes
La eliminación de archivos de captura de paquetes del directorio /var/tmp solo elimina temporalmente los archivos de captura de paquetes. Los archivos de captura de paquetes para la interfaz se crean automáticamente de nuevo la próxima vez que se confirma un cambio en la configuración de captura de paquetes o como parte de una rotación de archivos de captura de paquetes.
Para eliminar un archivo de captura de paquetes:
- Desactive la captura de paquetes (consulte Deshabilitar captura de paquetes).
- Elimine el archivo de captura de paquetes de la interfaz.
- Vuelva a habilitar la captura de paquetes (consulte Ejemplo: Habilitar la captura de paquetes en un dispositivo).
- Cuando termine de configurar el dispositivo, ingrese
commit
en el modo de configuración.
Mostrar encabezados de paquetes
Escriba el comando para mostrar los monitor traffic
encabezados de los paquetes transmitidos a través de interfaces de red con la siguiente sintaxis:
El uso del comando puede degradar el rendimiento del monitor traffic
sistema. Se recomienda usar opciones de filtrado, como count
y matching
, para minimizar el impacto en el rendimiento de paquetes en el sistema.
user@host> monitor traffic <absolute-sequence> <count number> <interface interface-name> <layer2-headers> <matching "expression"> <no-domain-names> <no-promiscuous> <no-resolve> <no-timestamp> <print-ascii> <print-hex> <size bytes> <brief | detail | extensive>
Tabla 1 Describe las opciones de monitor traffic
comando.
La opción |
Description |
---|---|
|
(Opcional) Muestra los números de secuencia TCP absolutos. |
|
(Opcional) Muestra el número especificado de encabezados de paquete. Especifique un valor de |
|
(Opcional) Muestra los encabezados de los paquetes para el tráfico en la interfaz especificada. Si no se especifica una interfaz, se supervisa la interfaz con el número más bajo. |
|
(Opcional) Muestra el encabezado del paquete de capa de vínculo en cada línea. |
|
(Opcional) Muestra encabezados de paquetes que coinciden con una expresión entre comillas (" "). Tabla 2 Mediante Tabla 4 condiciones de coincidencia de lista, operadores lógicos y operadores aritméticos, binarios y relacionales que puede utilizar en la expresión. |
|
(Opcional) Suprime la presentación de la parte del nombre de dominio del nombre de host. |
|
(Opcional) Especifica not que se coloque la interfaz supervisada en modo promiscuo. En el modo promiscuo, la interfaz lee todos los paquetes que le llegan. En el modo no promiscuo, la interfaz lee sólo los paquetes dirigidos a ella. |
|
(Opcional) Suprime la presentación de nombres de host. |
|
(Opcional) Suprime la visualización de las marcas de tiempo de los encabezados de los paquetes. |
|
(Opcional) Muestra cada encabezado de paquete en formato ASCII. |
|
(Opcional) Muestra cada encabezado de paquete, excepto los encabezados de capa de vínculo, en formato hexadecimal. |
|
(Opcional) Muestra el número de bytes para cada paquete que especifique. Si el encabezado de un paquete supera este tamaño, el encabezado del paquete mostrado se trunca. El valor predeterminado es |
|
(Opcional) Muestra información mínima del encabezado del paquete. Este es el valor predeterminado. |
|
(Opcional) Muestra la información del encabezado del paquete con detalles moderados. Para algunos protocolos, también debe usar la |
|
(Opcional) Muestra el nivel más extenso de información de encabezado de paquete. Para algunos protocolos, también debe usar la |
Para salir del monitor traffic
comando y volver al símbolo del sistema, presione Ctrl-C.
Para limitar la información del encabezado del paquete que muestra el monitor traffic
comando, incluya la matching "expression"
opción. Una expresión consta de una o más condiciones de coincidencia enumeradas en Tabla 2, entre comillas (" "). Puede combinar condiciones de coincidencia mediante los operadores lógicos enumerados en (mostrados en Tabla 3 orden de mayor a menor prioridad).
Por ejemplo, para mostrar encabezados de paquetes TCP o UDP, escriba:
user@host> monitor traffic matching “tcp || udp”
Para comparar los siguientes tipos de expresiones, utilice los operadores relacionales enumerados en (enumerados de Tabla 4 mayor a menor prioridad):
Aritmética: expresiones que utilizan los operadores aritméticos enumerados en Tabla 4.
Binario: expresiones que utilizan los operadores binarios enumerados en Tabla 4.
Descriptor de acceso de datos de paquetes: expresiones que utilizan la sintaxis siguiente:
protocol [byte-offset <size>]
Reemplazar
protocol
por cualquier protocolo en Tabla 2. Reemplacebyte-offset
con el desplazamiento de bytes, desde el principio del encabezado del paquete, para usarlo en la comparación. El parámetro opcionalsize
representa el número de bytes examinados en el encabezado del paquete: 1, 2 o 4 bytes.Por ejemplo, el siguiente comando muestra todo el tráfico de multidifusión:
user@host> monitor traffic matching “ether[0] & 1 !=0”
Condición de coincidencia |
Description |
---|---|
Tipo de entidad | |
|
Hace coincidir los encabezados de los paquetes que contienen la dirección o el nombre de host especificados. Puede anteponer cualquiera de las siguientes condiciones de coincidencia de protocolo, seguidas de un espacio, a |
|
Hace coincidir los encabezados de los paquetes con las direcciones de origen o destino que contienen la dirección de red especificada. |
|
Hace coincidir los encabezados de los paquetes que contienen la dirección de red especificada y la máscara de subred. |
|
Hace coincidir los encabezados de los paquetes que contienen el número o nombre de puerto TCP o UDP de origen o destino especificados. |
Direccional | |
|
Hace coincidir los encabezados de los paquetes que contienen el destino especificado. Las condiciones de coincidencia direccional se pueden anteponer a cualquier condición de coincidencia de tipo de entidad, seguida de un espacio. |
|
Hace coincidir los encabezados de paquete que contienen el origen especificado. |
|
Hace coincidir los encabezados de los paquetes que contienen el destino de origen and especificado. |
|
Hace coincidir los encabezados de los paquetes que contienen el destino de origen or especificado. |
Longitud del paquete | |
|
Hace coincidir paquetes con longitudes menores o iguales al valor especificado, en bytes. |
|
Hace coincidir paquetes con longitudes mayores o iguales que el valor especificado, en bytes. |
Protocolo | |
|
Hace coincidir todos los paquetes ARP. |
|
Hace coincidir todas las tramas Ethernet. |
|
Hace coincidir las tramas de difusión o multidifusión de Ethernet. Esta condición de coincidencia puede anteponerse con |
|
Hace coincidir las tramas Ethernet con la dirección o el tipo de protocolo especificados. Los argumentos |
|
Hace coincidir todos los paquetes del ICMP |
|
Hace coincidir todos los paquetes IP. |
|
Hace coincidir los paquetes de difusión o de multidifusión IP. |
|
Hace coincidir los paquetes IP con la dirección o el tipo de protocolo especificados. Los argumentos |
|
Hace coincidir todos los mensajes de enrutamiento IS-IS. |
|
Hace coincidir todos los paquetes RARP. |
|
Hace coincidir todos los paquetes TCP. |
|
Hace coincidir todos los paquetes UDP. |
Operador lógico |
Description |
---|---|
|
NOT lógica. Si la primera condición no coincide, se evalúa la siguiente. |
|
Lógica Y. Si la primera condición coincide, se evalúa la siguiente. Si la primera condición no coincide, se omite la siguiente. |
|
Lógica O. Si la primera condición coincide, se omite la siguiente. Si la primera condición no coincide, se evalúa la siguiente. |
|
Agrupe los operadores para anular el orden de precedencia predeterminado. Los paréntesis son caracteres especiales, cada uno de los cuales debe ir precedido de una barra diagonal inversa (\). |
Operador |
Description |
---|---|
Operador aritmético | |
|
Operador de suma. |
|
Operador de sustracción. |
|
Operador de división. |
Operador binario | |
|
Operación a nivel de bits Y. |
|
Operación a nivel de bits exclusiva O. |
|
Operación a nivel de bits inclusiva O. |
Operador relacional | |
|
Se produce una coincidencia si la primera expresión es menor o igual que la segunda. |
|
Se produce una coincidencia si la primera expresión es mayor o igual que la segunda. |
|
Se produce una coincidencia si la primera expresión es menor que la segunda. |
|
Se produce una coincidencia si la primera expresión es mayor que la segunda. |
|
Se produce una coincidencia si la primera expresión es igual a la segunda. |
|
Se produce una coincidencia si la primera expresión no es igual a la segunda. |
A continuación se muestra un ejemplo de salida del monitor traffic
comando:
user@host> monitor traffic count 4 matching “arp” detail
Listening on fe-0/0/0, capture size 96 bytes 15:04:16.276780 In arp who-has 193.1.1.1 tell host1.site2.net 15:04:16.376848 In arp who-has host2.site2.net tell host1.site2.net 15:04:16.376887 In arp who-has 193.1.1.2 tell host1.site2.net 15:04:16.601923 In arp who-has 193.1.1.3 tell host1.site2.net