パケット キャプチャの開始:

パケット キャプチャの開始:

1055709
Created On 09/25/18 19:02 PM - Last Modified 01/18/24 15:51 PM


Symptom


あなたのためにそれを修正させてください: パケット キャプチャ-

A 管理者がセキュリティの傑作を終えて数分後に遭遇する典型的な状況 policy は、その新しいネットワークthingamajigがインストールされて以来、なぜいくつかの不明瞭なアプリケーションが面白い動作をしているのかという疑問です。 これは、トラブルシューティングの開始位置です。

過去の割賦では、 設定方法と設定方法のいくつかの側面を firewall 最初から確認しました。

管理者の処分でより高度なツールの 1 つは、パケット キャプチャを実行し、セッション カウンターを確認する機能です。

: この資料で説明されている詳細の一部は、パフォーマンスに影響を与えます。 不明な場合は、Palo Alto サポート パーソナルと協力して、メンテナンス期間中にパケットをキャプチャしてください。



Environment


  • 任意 PAN-OS の .
  • パロ アルト Firewall .


Resolution


最初に行くのは、 の [パケット キャプチャ] メニュー GUI で、フィルタの管理、キャプチャ ステージの追加、キャプチャのダウンロードが簡単に行えます。

[モニタ] タブに移動し、[パケット キャプチャ] をクリックしてパケット キャプチャに移動します。 仮想システムが all に設定されていることを確認します。
[パケット キャプチャ] メニューの設定では、次のオプションを実行できます: フィルタリングの構成、キャプチャの構成、すべての設定のクリア、およびキャプチャ ファイルの抽出

私たちは始める前に知っておくべきいくつかのことがあります。

  • 4 つのフィルターは、さまざまな属性を追加できます。
  • パケット キャプチャはセッション ベースであるため、単一のフィルタで client2server と server2client の両方をキャプチャできます。
  • (これは次の項目を説明します) インターフェイスでデータ プレーン ・対パケットがキャプチャされます。
  • 事前解析の一致は、エンジンが正しく受け入れない受信パケットの問題のトラブルシューティングに役立つデータ プレーン ・上で実行エンジンによって処理される前に、すべてのファイルをキャプチャすることが機能です。 このオプションは、サポートによって指示された場合にのみ使用し、 すべてをキャプチャするので、1 日の低ボリューム時間に使用する必要があります。
  • フィルタ リングを有効にすると、新しいセッション フィルタ リング用にマークされたキャプチャすることができますが、既存のセッションは、フィルタ リングされていない、それらをキャプチャできるように再起動する必要があります。
  • オフロードを一時的に無効にする必要がありますので、オフロードされたセッションをキャプチャできません。 オフロードされたセッションは、セッションの詳細を表示する「layer7 処理:完了」を 表示 します。 これにより、一致するパケットが によって処理されることによってパフォーマンスに影響が及ぼす可能性があることに注意 CPU してください。 メンテナンス期間中にこれを実行し、必要に応じてサポートの助けを借りてください。

覚えておくべきことはたくさんありますが、さまざまなプロトコルのパケットキャプチャで手を試した後、それはすべて理にかなっています I 。

 

フィルターのいくつかを追加してみましょう。

パケット キャプチャ フィルタを編集するユーザーの例

 

フィルタ 1 と 3 は実際のフィルタです: ポート 80 ~ I IP HTTP 198.51.100.97 およびポート 22 から TCP SSH 198.51.100.1 への接続を行う 192.168.0.34 のクライアントからの接続 TCP を確認する必要があります。

 

フィルタ 2 と 4 は、私の "backup" フィルタです: I パケット キャプチャはセッション対応ですが、戻りパケットがアップストリームに何か起こり、それが原因でルールに一致 NAT しない(アップストリーム デバイスがソース ポートをマングルしたり、シーケンス番号に奇数を行う)、 I 通常は、一致しないためにドロップされる任意の迷子パケットをキャッチする戻りルールを設定します。

メモ: フィルターができるだけ正確であることを確認してください。 192.168.0.0/16 や 0.0.0.0/0 などのサブネット全体に一致するフィルタを実行しないでください。

 

ここで[フィルタリング]ボタンを に切り替えると ON 、条件に一致する新しいセッションにフィルタが適用されます。

[フィルタの構成] で、フィルタ処理が位置に切り替わります。 ON

 

A フィルタが機能しているかどうかを確認する簡単な方法は、新しいセッションが開始された場合にグローバル カウンタが増加しているかどうかを確認することです。

から CLI 、 I 次のコマンドを実行します。

 

> show counter global filter delta yes packet-filter yes

Global counters:
Elapsed time since last sampling: 2.647 seconds

--------------------------------------------------------------------------------
Total counters shown: 0
--------------------------------------------------------------------------------
 

カウンターは表示されません。

  • 'delta yes' I は、このコマンドを最後に実行してから増加したカウンタを表示する必要があることを示 I します。
  • 'パケット フィルタはい' I は、フィルタに一致するグローバル カウンタのみを表示することを示します。

I今すぐ私のブラウザを更新し、コマンドをもう一度実行します。

 

> show counter global filter packet-filter yes delta yes

Global counters:
Elapsed time since last sampling: 2.630 seconds

name value rate severity category aspect description
--------------------------------------------------------------------------------
pkt_sent                     22 8 info packet pktproc Packets transmitted
pkt_outstanding              22 8 info packet pktproc Outstanding packet to be transmitted
session_allocated            4  1 info session resource Sessions allocated
session_installed            4  1 info session resource Sessions installed
appid_proc                   2  0 info appid pktproc The number of packets processed by Application identification
appid_use_dfa_1              2  0 info appid pktproc The number of packets using the second DFA table
nat_dynamic_port_xlat        4  1 info nat resource The total number of dynamic_ip_port NAT translate called
dfa_sw                       8  3 info dfa pktproc The total number of dfa match using software
ctd_sml_opcode_set_file_type 1  0 info ctd pktproc sml opcode set file type
aho_sw                       5  1 info aho pktproc The total usage of software for AHO
ctd_pkt_slowpath             4  1 info ctd pktproc Packets processed by slowpath
--------------------------------------------------------------------------------
Total counters shown: 11
--------------------------------------------------------------------------------
 

カウンターの束があることがわかります。 I'この記事の下部にグローバルカウンタに関する詳細情報へのリンクを追加しました。 しかし、今のところ、カウンターがある限り、私たちする必要がありますに行ってもよかった。

 

次の段階を構成するつもり-4 があります。

  • ドロップ ステージは、パケットが破棄される場所です。 理由はさまざまであり、この部分では、ドロップが policy 拒否、検出された脅威、またはその他のものによるものかどうかを特定するのに役立つ可能性があります。
  • receive ステージは、 firewall パケットがエンジンに入る前にパケットが入る前にキャプチャ firewall されます。 NAT設定すると、これらのパケットはプリプレです NAT 。
  • transmit ステージは、それらがエンジンからどのように出力するかをパケットをキャプチャ firewall します。 NAT構成されている場合、これらは post- NAT になります。
  • firewall ステージでパケットをキャプチャ firewall します。

 

すべてのステージでは、出力ファイルの名前を割り当てるし、パケットまたはバイト カウントの最大値を設定できます。

ファイル名が drop.pcap に設定されたパケット キャプチャ ステージ

 

キャプチャを設定し、3つのファイルが生成されます(受信、送信、ドロップ)

 

必要なすべてのステージが設定されたら、キャプチャ ボタンを に切り替えたり、 ON を使用して CLI 、指定したフィルタに一致する既存のセッションをクリアすることができます。 これは、フィルタが有効になる前からアクティブなセッションがないことを確認するためです。 次に、capture on コマンドを使用して、以下に示すようにキャプチャを開始します。

> show session all        => Note down the session number matching the configured filters.
> clear session id <id#>  => This is to clear any existing session that matches the filters configured.

Example:
 > show session all
-------------------------------------------------------------------------------- 
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port]) 
Vsys                                          Dst[Dport]/Zone (translated IP[Port]) 
-------------------------------------------------------------------------------- 
27240        web-browsing   ACTIVE  FLOW  NS   192.168.0.34[61003]/trust/6  (198.51.100.230[31047]) 
vsys1                                          198.51.100.97[80]/ISP1  (198.51.100.97[80]) 
....(output omitted)....

> clear session id 27240
session 27240 cleared

> debug dataplane packet-diag set capture on 

Packet capture is enabled
 

 

今キャプチャしたいセッションを起動できます。 セッションが開始しているかどうかことを確認、表示セッション コマンドを使用します。

 

> show session all

--------------------------------------------------------------------------------
ID          Application    State   Type Flag  Src[Sport]/Zone/Proto (translated IP[Port])
Vsys                                          Dst[Dport]/Zone (translated IP[Port])
--------------------------------------------------------------------------------
32637        web-browsing   ACTIVE  FLOW  NS   192.168.0.34[61903]/trust/6  (198.51.100.230[31547])
vsys1                                          198.51.100.97[80]/ISP1  (198.51.100.97[80])
32635        ssh            ACTIVE  FLOW  NS   192.168.0.34[61901]/trust/6  (198.51.100.230[52812])
vsys1                                          198.51.100.1[22]/ISP1  (198.51.100.1[22])
 

完了したら、ボタンを切り替えて位置に戻 OFF すか、debug コマンドを使用してキャプチャをオフにすることができます。

 

> debug dataplane packet-diag set capture off 
Packet capture is disabled 

> debug dataplane packet-diag clear filter-marked-session all
Unmark All sessions in packet debug
  : デバッグ後にパケット キャプチャをオフにすることを忘れないでください。 そうしないと、に課税 CPU され、パフォーマンスの問題を引き起こす可能性があります。

Wireshark で分析できるダウンロード可能なキャプチャ ファイルが表示されます。

キャプチャを設定すると、3つのファイルが生成されます(受信.pcapと送信.pcap)

 

Pcaps をダウンロードした後は、送信をマージし、ファイルをまとめて受信する必要があります。

  • 受信ステージは、クライアントのプライベートから IP web サーバーへのパブリック IP 、および Web サーバーから外部への戻りパケットを持ちます IP firewall IP (受信ステージは前です NAT 。
  • 送信ステージは firewall 、外部 IP ( クライアント ) NAT をサーバーパブリック に IP 、 クライアントプライベート に戻る 。 IP IP

ストリームをフォローしようとすると少し混乱する可能性があるため TCP 、この 2 つのファイルの重要な違いに注意してください。

受信側のパケット キャプチャは、送信元と宛先アドレスを示す WireShark で開 IP かれました。

送信元アドレスと宛先アドレスを示す WireShark で開かれた Transmit.pcap パケット キャプチャ IP 。

 

これら 2 つの段階により、 NAT 正しく適用されているかどうかを確認できます。 クライアントとサーバーの両方の観点から送受信されるパケットの間に違いがあるかどうかを確認することもできます。

 

マージされた結果このようなものになります、何が受信されたパケットあたりを送られているかを比較することができます。

受信.pcapと送信.pcapは、WireSharkビュー内で一緒にメガーされています

 

A システムを通過するパケットの流れを理解するのに役立ついくつかの記事を示します。

グローバル カウンターの意義は何ですか。

パケット フロー シーケンス PAN-OS

 

 

管理飛行機

 

管理面での接続問題を解決するには、有用な情報をキャプチャする組み込み tcpdump を使用できます。

admin@myNGFW> tcpdump filter "port 53"
Press Ctrl-C to stop capturing

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
16 packets captured
32 packets received by filter
0 packets dropped by kernel
The resulting output is stored in a mgmt.pcap file on the management plane: 

admin@myNGFW> view-pcap mgmt-pcap mgmt.pcap
15:24:07.512889 IP 10.0.0.1.36606 > 10.0.0.98.domain:  49243+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:07.513106 IP 10.0.0.98.domain > 10.0.0.1.36606:  49243 NXDomain 0/1/0 (100)
15:24:17.196515 IP 10.0.0.1.45455 > 10.0.0.98.domain:  3126+ PTR? 0.0.0.10.in-addr.arpa. (41)
15:24:17.196762 IP 10.0.0.98.domain > 10.0.0.1.45455:  3126 NXDomain 0/1/0 (100)
15:24:31.126186 IP 10.0.0.1.57230 > 10.0.0.98.domain:  2978+ A? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.126196 IP 10.0.0.1.57230 > 10.0.0.98.domain:  55173+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:24:31.161436 IP 10.0.0.98.domain > 10.0.0.1.57230:  2978 4/0/0[|domain]
15:24:31.194586 IP 10.0.0.98.domain > 10.0.0.1.57230:  55173 2/0/0[|domain]
15:25:56.746679 IP 10.0.0.1.46048 > 10.0.0.98.domain:  43532+ A? wildfire.paloaltonetworks.com. (47)
15:25:56.746689 IP 10.0.0.1.46048 > 10.0.0.98.domain:  16653+ AAAA? wildfire.paloaltonetworks.com. (47)
15:25:56.794940 IP 10.0.0.98.domain > 10.0.0.1.46048:  43532 1/0/0 (63)
15:25:56.795553 IP 10.0.0.98.domain > 10.0.0.1.46048:  16653 0/1/0 (131)
15:25:59.038459 IP 10.0.0.1.51804 > 10.0.0.98.domain:  23806+ A? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.038471 IP 10.0.0.1.51804 > 10.0.0.98.domain:  31471+ AAAA? panos.wildfire.paloaltonetworks.com. (53)
15:25:59.071431 IP 10.0.0.98.domain > 10.0.0.1.51804:  23806 4/0/0[|domain]
15:25:59.113552 IP 10.0.0.98.domain > 10.0.0.1.51804:  31471 2/0/0[|domain]
 

管理インターフェイスでパケット キャプチャ (tcpdump) を取得する方法の詳細については、この記事を参照してください。

 


 



Additional Information


1. パケット キャプチャ ファイルのサイズを制御するには、1 つのファイルが 200 MB に制限され、サイズを超えると 2 番目のファイルが自動的に作成されます、両方のファイルは、プライマリ pcap ファイルがアクティブなキャプチャ データを書き込むために使用され、バッファーとして使用されるリング バッファーとして機能します。 プライマリ pcap が再び容量に達すると、バッファファイルは破棄され、プライマリファイルは * pcap に名前が変更され、新しいプライマリファイルが開始されます。 詳細については、パケット キャプチャ ファイル PAN-OS サイズの制限事項

2.小さなキャプチャの場合、すべてを1つのファイルにキャプチャすると便利なため、すべてのステージを同じファイル名にキャプチャすることができます。 上記のサイズの制限と、各ステージの視認性の低下にご注意ください。 推奨される方法は、ステージごとに個別のファイルを常に持つことです。

PAN-OS 8.1.0 以降、ソースサブネットとネットワークサブネットに対してフィルタを追加できるのは、 および NOT WebGUを介してのみCLI使用できますI。

admin@firewall> debug dataplane packet-diag set filter match 
+ destination           Destination IP address
+ destination-netmask   Destination netmask              <<<< new option for network
+ destination-port      Destination port
+ ingress-interface     Ingress traffic interface name
+ ipv6-only             IPv6 packet only
+ lacp                  LACP packet
+ non-ip                Non-IP packet
+ protocol              IP protocol value
+ source                Source IP address
+ source-netmask        Source netmask                     <<<< new option for network
+ source-port           Source port
  |                     Pipe through a command
  <Enter>               Finish input
 
admin@firewall> debug dataplane packet-diag set filter match source 192.168.1.0 source-netmask 24

admin@firewall> debug dataplane packet-diag set filter match destination 192.168.2.0 destination-netmask 24

admin@firewall> debug dataplane packet-diag show setting 

DP dp0:

--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
  Enabled:                   no
  Match pre-parsed packet:   no            
  Index 1: 192.168.1.0/24[0]->0.0.0.0/0[0], proto 0 <<<<<<<<< network is captured /24
           ingress-interface any, egress-interface any, exclude non-IP
  Index 2: 0.0.0.0/0[0]->192.168.2.0/24[0], proto 0 <<<<<<<<< network is captured /24
           ingress-interface any, egress-interface any, exclude non-IP
--------------------------------------------------------------------------------
 

: ネットワーク全体のキャプチャを有効にする場合は、大量のパケットが大量に CPU 消費され、トラフィックに影響を与える可能性があります。



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTJCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language