Cómo captura de paquete (tcpdump) en el interfaz de administración
Resolution
Puede haber casos en los que se requiere análisis/verificación para determinar si el tráfico se está enviando/recibiendo a través de la interfaz de administración. Un ejemplo de ello sería durante la prueba de autenticación para comprobar si las solicitudes se envían desde el dispositivo al servidor LDAP o RADIUS. Otro ejemplo sería determinar si un dispositivo está siendo sondeado/accesible a través de un servidor SNMP. A partir de PAN-OS 5,0 es posible conocer PCAP tráfico desde/hacia la interfaz de gestión. La opción es estrictamente basado en CLI utilizando tcpdump.
Ejemplo a continuación:
Como las capturas son estrictamente/implícitamente utilizando la interfaz de administración, no hay necesidad de especificar manualmente las interfaces como con un tcpdump tradicional. Por ejemplo:
admin @ myNGFW > tcpdump Filter "host 10.16.0.106 y no Port 22"
presione Ctrl-C para detener la captura de
tcpdump: escuchar en eth0, tipo de enlace EN10MB (Ethernet), capturar tamaño 96 bytes
Nota: los filtros deben estar encerrados en Comillas, como en:
> tcpdump filtro "host 10.16.0.106 y no Port 22"
Cuando se complete una captura, presione Ctrl-C para detener la captura:
admin @ myNGFW > tcpdump Filter "host 10.16.0.106 y no Port 22"
presione Ctrl-C para detener la captura de
tcpdump: escuchar en eth0, tipo de enlace EN10MB (Ethernet), tamaño de captura 96 bytes
^ C 6 paquetes capturados
12 paquetes recibidos por filtro
0 paquetes caidos por kernel
Para ver el PCAP en la CLI, ejecute el comando View-pcap. Por ejemplo:
admin @ myNGFW > View-pcap MGMT-pcap MGMT. pcap
15:42:57.834414 IP 10.16.0.106. https > 10.192.1.0.61513: P 196197148:196197179 (31) ACK 2821691363 Win 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834477 IP 10.16.0.106. https > 10.192.1.0.61513: F 31:31 (0) ACK 1 Win 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834910 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 31 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:57.834933 IP 10.192.1.0.61513 > 10.16.0.106. https:.</nop,nop,timestamp> ACK 32 Win 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:58.142807 IP 10.192.1.0.61513 > 10.16.0.106. https: F 1:1 (0) ACK 32 Win 4096 <nop,nop,timestamp 700231542="" 9463094="">
15:42:58.142831 IP 10.16.0.106. https > 10.192.1.0.61513:.</nop,nop,timestamp> </nop,nop,timestamp> ACK 2 Win 66<nop,nop,timestamp 9463125="" 700231542=""></nop,nop,timestamp>
A continuación se muestran algunos ejemplos de filtros (aunque no limitados únicamente a estas opciones) que pueden ser referenciados/utilizados/aplicados:
- Filtro por puerto
> filtro tcpdump "puerto 80" - Filtrar por fuente IP
> filtro tcpdump "src x . x. x" - Filtrar por destino IP
> tcpdump filtro "DST x . x. x" - Filtrar por host (src & DST) IP
> filtro tcpdump "host x. x. x" - Filtrar por host (src & DST) IP, excluyendo tráfico ssh
> filtro tcpdump "host x. x. x y no puerto 22"
Además, puede exportar manualmente el PCAP a través de SCP o TFTP, es decir:
> SCP export MGMT-pcap de MGMT. pcap a
<value>Destination (nombredeusuario @ host: path)</value>
> TFTP export MGMT-pcap de MGMT. pcap a
<value>TFTP host</value>
Nota: por defecto, hay un límite máximo de 68 bytes (longitud instantánea) por paquete en PA-200, PA-500 y PA-2000. Para el PA-3000, PA-4000 y PA-5000, el límite por defecto es de 96 bytes por paquete. Para extender este límite, utilice la opción "snaplen".
admin @ myNGFW > tcpdump snaplen
<value> <0-65535>snarf snaplen bytes de datos de cada paquete.</0-65535> </value> (0 significa utilizar la longitud requerida para capturar paquetes enteros)
admin @ myNGFW> tcpdump snaplen 0
presione Ctrl-C para detener la captura de
tcpdump: escuchar en eth0, tipo de enlace EN10MB (Ethernet), capturar tamaño 65535 bytes
Ver también
Captura de paquetes tcpdump truncado
Propietario: Bryan