パケット キャプチャの開始:
Symptom
あなたのためにそれを修正させてください: パケット キャプチャ-
A 管理者がセキュリティの傑作を終えて数分後に遭遇する典型的な状況 policy は、その新しいネットワークthingamajigがインストールされて以来、なぜいくつかの不明瞭なアプリケーションが面白い動作をしているのかという疑問です。 これは、トラブルシューティングの開始位置です。
過去の割賦では、 設定方法と設定方法のいくつかの側面を firewall 最初から確認しました。
管理者の処分でより高度なツールの 1 つは、パケット キャプチャを実行し、セッション カウンターを確認する機能です。
注: この資料で説明されている詳細の一部は、パフォーマンスに影響を与えます。 不明な場合は、Palo Alto サポート パーソナルと協力して、メンテナンス期間中にパケットをキャプチャしてください。
Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
Resolution
最初に行くのは、 の [パケット キャプチャ] メニュー GUI で、フィルタの管理、キャプチャ ステージの追加、キャプチャのダウンロードが簡単に行えます。
私たちは始める前に知っておくべきいくつかのことがあります。
- 4 つのフィルターは、さまざまな属性を追加できます。
- パケット キャプチャはセッション ベースであるため、単一のフィルタで client2server と server2client の両方をキャプチャできます。
- (これは次の項目を説明します) インターフェイスでデータ プレーン ・対パケットがキャプチャされます。
- 事前解析の一致は、エンジンが正しく受け入れない受信パケットの問題のトラブルシューティングに役立つデータ プレーン ・上で実行エンジンによって処理される前に、すべてのファイルをキャプチャすることが機能です。 このオプションは、サポートによって指示された場合にのみ使用し、 すべてをキャプチャするので、1 日の低ボリューム時間に使用する必要があります。
- フィルタ リングを有効にすると、新しいセッション フィルタ リング用にマークされたキャプチャすることができますが、既存のセッションは、フィルタ リングされていない、それらをキャプチャできるように再起動する必要があります。
- オフロードを一時的に無効にする必要がありますので、オフロードされたセッションをキャプチャできません。 オフロードされたセッションは、セッションの詳細を表示する「layer7 処理:完了」を 表示 します。 これにより、一致するパケットが によって処理されることによってパフォーマンスに影響が及ぼす可能性があることに注意 CPU してください。 メンテナンス期間中にこれを実行し、必要に応じてサポートの助けを借りてください。
覚えておくべきことはたくさんありますが、さまざまなプロトコルのパケットキャプチャで手を試した後、それはすべて理にかなっています I 。
フィルターのいくつかを追加してみましょう。
フィルタ 1 と 3 は実際のフィルタです: ポート 80 ~ I IP HTTP 198.51.100.97 およびポート 22 から TCP SSH 198.51.100.1 への接続を行う 192.168.0.34 のクライアントからの接続 TCP を確認する必要があります。
フィルタ 2 と 4 は、私の "backup" フィルタです: I パケット キャプチャはセッション対応ですが、戻りパケットがアップストリームに何か起こり、それが原因でルールに一致 NAT しない(アップストリーム デバイスがソース ポートをマングルしたり、シーケンス番号に奇数を行う)、 I 通常は、一致しないためにドロップされる任意の迷子パケットをキャッチする戻りルールを設定します。
メモ: フィルターができるだけ正確であることを確認してください。 192.168.0.0/16 や 0.0.0.0/0 などのサブネット全体に一致するフィルタを実行しないでください。
ここで[フィルタリング]ボタンを に切り替えると ON 、条件に一致する新しいセッションにフィルタが適用されます。
A フィルタが機能しているかどうかを確認する簡単な方法は、新しいセッションが開始された場合にグローバル カウンタが増加しているかどうかを確認することです。
から CLI 、 I 次のコマンドを実行します。
> show counter global filter delta yes packet-filter yes Global counters: Elapsed time since last sampling: 2.647 seconds -------------------------------------------------------------------------------- Total counters shown: 0 --------------------------------------------------------------------------------
カウンターは表示されません。
- 'delta yes' I は、このコマンドを最後に実行してから増加したカウンタを表示する必要があることを示 I します。
- 'パケット フィルタはい' I は、フィルタに一致するグローバル カウンタのみを表示することを示します。
I今すぐ私のブラウザを更新し、コマンドをもう一度実行します。
> show counter global filter packet-filter yes delta yes Global counters: Elapsed time since last sampling: 2.630 seconds name value rate severity category aspect description -------------------------------------------------------------------------------- pkt_sent 22 8 info packet pktproc Packets transmitted pkt_outstanding 22 8 info packet pktproc Outstanding packet to be transmitted session_allocated 4 1 info session resource Sessions allocated session_installed 4 1 info session resource Sessions installed appid_proc 2 0 info appid pktproc The number of packets processed by Application identification appid_use_dfa_1 2 0 info appid pktproc The number of packets using the second DFA table nat_dynamic_port_xlat 4 1 info nat resource The total number of dynamic_ip_port NAT translate called dfa_sw 8 3 info dfa pktproc The total number of dfa match using software ctd_sml_opcode_set_file_type 1 0 info ctd pktproc sml opcode set file type aho_sw 5 1 info aho pktproc The total usage of software for AHO ctd_pkt_slowpath 4 1 info ctd pktproc Packets processed by slowpath -------------------------------------------------------------------------------- Total counters shown: 11 --------------------------------------------------------------------------------
カウンターの束があることがわかります。 I'この記事の下部にグローバルカウンタに関する詳細情報へのリンクを追加しました。 しかし、今のところ、カウンターがある限り、私たちする必要がありますに行ってもよかった。
次の段階を構成するつもり-4 があります。
- ドロップ ステージは、パケットが破棄される場所です。 理由はさまざまであり、この部分では、ドロップが policy 拒否、検出された脅威、またはその他のものによるものかどうかを特定するのに役立つ可能性があります。
- receive ステージは、 firewall パケットがエンジンに入る前にパケットが入る前にキャプチャ firewall されます。 NAT設定すると、これらのパケットはプリプレです NAT 。
- transmit ステージは、それらがエンジンからどのように出力するかをパケットをキャプチャ firewall します。 NAT構成されている場合、これらは post- NAT になります。
- firewall ステージでパケットをキャプチャ firewall します。
すべてのステージでは、出力ファイルの名前を割り当てるし、パケットまたはバイト カウントの最大値を設定できます。
必要なすべてのステージが設定されたら、キャプチャ ボタンを に切り替えたり、 ON を使用して CLI 、指定したフィルタに一致する既存のセッションをクリアすることができます。 これは、フィルタが有効になる前からアクティブなセッションがないことを確認するためです。 次に、capture on コマンドを使用して、以下に示すようにキャプチャを開始します。
> show session all => Note down the session number matching the configured filters. > clear session id <id#> => This is to clear any existing session that matches the filters configured. Example: > show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 27240 web-browsing ACTIVE FLOW NS 192.168.0.34[61003]/trust/6 (198.51.100.230[31047]) vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80]) ....(output omitted).... > clear session id 27240 session 27240 cleared > debug dataplane packet-diag set capture on Packet capture is enabled
今キャプチャしたいセッションを起動できます。 セッションが開始しているかどうかことを確認、表示セッション コマンドを使用します。
> show session all -------------------------------------------------------------------------------- ID Application State Type Flag Src[Sport]/Zone/Proto (translated IP[Port]) Vsys Dst[Dport]/Zone (translated IP[Port]) -------------------------------------------------------------------------------- 32637 web-browsing ACTIVE FLOW NS 192.168.0.34[61903]/trust/6 (198.51.100.230[31547]) vsys1 198.51.100.97[80]/ISP1 (198.51.100.97[80]) 32635 ssh ACTIVE FLOW NS 192.168.0.34[61901]/trust/6 (198.51.100.230[52812]) vsys1 198.51.100.1[22]/ISP1 (198.51.100.1[22])
完了したら、ボタンを切り替えて位置に戻 OFF すか、debug コマンドを使用してキャプチャをオフにすることができます。
> debug dataplane packet-diag set capture off Packet capture is disabled > debug dataplane packet-diag clear filter-marked-session all Unmark All sessions in packet debug注: デバッグ後にパケット キャプチャをオフにすることを忘れないでください。 そうしないと、に課税 CPU され、パフォーマンスの問題を引き起こす可能性があります。
Wireshark で分析できるダウンロード可能なキャプチャ ファイルが表示されます。
Pcaps をダウンロードした後は、送信をマージし、ファイルをまとめて受信する必要があります。
- 受信ステージは、クライアントのプライベートから IP web サーバーへのパブリック IP 、および Web サーバーから外部への戻りパケットを持ちます IP firewall IP (受信ステージは前です NAT 。
- 送信ステージは firewall 、外部 IP ( クライアント ) NAT をサーバーパブリック に IP 、 クライアントプライベート に戻る 。 IP IP
ストリームをフォローしようとすると少し混乱する可能性があるため TCP 、この 2 つのファイルの重要な違いに注意してください。
これら 2 つの段階により、 NAT 正しく適用されているかどうかを確認できます。 クライアントとサーバーの両方の観点から送受信されるパケットの間に違いがあるかどうかを確認することもできます。
マージされた結果このようなものになります、何が受信されたパケットあたりを送られているかを比較することができます。
A システムを通過するパケットの流れを理解するのに役立ついくつかの記事を示します。
管理飛行機
管理面での接続問題を解決するには、有用な情報をキャプチャする組み込み tcpdump を使用できます。
admin@myNGFW> tcpdump filter "port 53" Press Ctrl-C to stop capturing tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 16 packets captured 32 packets received by filter 0 packets dropped by kernel The resulting output is stored in a mgmt.pcap file on the management plane: admin@myNGFW> view-pcap mgmt-pcap mgmt.pcap 15:24:07.512889 IP 10.0.0.1.36606 > 10.0.0.98.domain: 49243+ PTR? 0.0.0.10.in-addr.arpa. (41) 15:24:07.513106 IP 10.0.0.98.domain > 10.0.0.1.36606: 49243 NXDomain 0/1/0 (100) 15:24:17.196515 IP 10.0.0.1.45455 > 10.0.0.98.domain: 3126+ PTR? 0.0.0.10.in-addr.arpa. (41) 15:24:17.196762 IP 10.0.0.98.domain > 10.0.0.1.45455: 3126 NXDomain 0/1/0 (100) 15:24:31.126186 IP 10.0.0.1.57230 > 10.0.0.98.domain: 2978+ A? panos.wildfire.paloaltonetworks.com. (53) 15:24:31.126196 IP 10.0.0.1.57230 > 10.0.0.98.domain: 55173+ AAAA? panos.wildfire.paloaltonetworks.com. (53) 15:24:31.161436 IP 10.0.0.98.domain > 10.0.0.1.57230: 2978 4/0/0[|domain] 15:24:31.194586 IP 10.0.0.98.domain > 10.0.0.1.57230: 55173 2/0/0[|domain] 15:25:56.746679 IP 10.0.0.1.46048 > 10.0.0.98.domain: 43532+ A? wildfire.paloaltonetworks.com. (47) 15:25:56.746689 IP 10.0.0.1.46048 > 10.0.0.98.domain: 16653+ AAAA? wildfire.paloaltonetworks.com. (47) 15:25:56.794940 IP 10.0.0.98.domain > 10.0.0.1.46048: 43532 1/0/0 (63) 15:25:56.795553 IP 10.0.0.98.domain > 10.0.0.1.46048: 16653 0/1/0 (131) 15:25:59.038459 IP 10.0.0.1.51804 > 10.0.0.98.domain: 23806+ A? panos.wildfire.paloaltonetworks.com. (53) 15:25:59.038471 IP 10.0.0.1.51804 > 10.0.0.98.domain: 31471+ AAAA? panos.wildfire.paloaltonetworks.com. (53) 15:25:59.071431 IP 10.0.0.98.domain > 10.0.0.1.51804: 23806 4/0/0[|domain] 15:25:59.113552 IP 10.0.0.98.domain > 10.0.0.1.51804: 31471 2/0/0[|domain]
管理インターフェイスでパケット キャプチャ (tcpdump) を取得する方法の詳細については、この記事を参照してください。
Additional Information
1. パケット キャプチャ ファイルのサイズを制御するには、1 つのファイルが 200 MB に制限され、サイズを超えると 2 番目のファイルが自動的に作成されます、両方のファイルは、プライマリ pcap ファイルがアクティブなキャプチャ データを書き込むために使用され、バッファーとして使用されるリング バッファーとして機能します。 プライマリ pcap が再び容量に達すると、バッファファイルは破棄され、プライマリファイルは * pcap に名前が変更され、新しいプライマリファイルが開始されます。 詳細については、パケット キャプチャ ファイル PAN-OS サイズの制限事項
2.小さなキャプチャの場合、すべてを1つのファイルにキャプチャすると便利なため、すべてのステージを同じファイル名にキャプチャすることができます。 上記のサイズの制限と、各ステージの視認性の低下にご注意ください。 推奨される方法は、ステージごとに個別のファイルを常に持つことです。
PAN-OS 8.1.0 以降、ソースサブネットとネットワークサブネットに対してフィルタを追加できるのは、 および NOT WebGUを介してのみCLI使用できますI。
admin@firewall> debug dataplane packet-diag set filter match + destination Destination IP address + destination-netmask Destination netmask <<<< new option for network + destination-port Destination port + ingress-interface Ingress traffic interface name + ipv6-only IPv6 packet only + lacp LACP packet + non-ip Non-IP packet + protocol IP protocol value + source Source IP address + source-netmask Source netmask <<<< new option for network + source-port Source port | Pipe through a command <Enter> Finish input
admin@firewall> debug dataplane packet-diag set filter match source 192.168.1.0 source-netmask 24
admin@firewall> debug dataplane packet-diag set filter match destination 192.168.2.0 destination-netmask 24
admin@firewall> debug dataplane packet-diag show setting
DP dp0:
--------------------------------------------------------------------------------
Packet diagnosis setting:
--------------------------------------------------------------------------------
Packet filter
Enabled: no
Match pre-parsed packet: no
Index 1: 192.168.1.0/24[0]->0.0.0.0/0[0], proto 0 <<<<<<<<< network is captured /24
ingress-interface any, egress-interface any, exclude non-IP
Index 2: 0.0.0.0/0[0]->192.168.2.0/24[0], proto 0 <<<<<<<<< network is captured /24
ingress-interface any, egress-interface any, exclude non-IP
-------------------------------------------------------------------------------- 注: ネットワーク全体のキャプチャを有効にする場合は、大量のパケットが大量に CPU 消費され、トラフィックに影響を与える可能性があります。