在某些情况下, 需要进行分析/验证, 以确定是否通过管理界面发送/接收通信量。在身份验证测试过程中, 其中一个示例是验证请求是否从设备发送到 LDAP 或 Radius 服务器。另一个示例是确定设备是否通过 SNMP 服务器进行轮询/访问。从 PAN OS 5.0 开始, 它是可能知道 PCAP 流量从管理界面。该选项是严格基于 CLI 的使用 tcpdump。
示例如下:
由于捕获是严格/隐式地使用管理界面, 因此无需手动指定与传统 tcpdump 的接口。例如:
admin@myNGFW >> tcpdump 过滤器 "主机10.16.0.106 而不是端口 22"
按 Ctrl C 停止捕获
tcpdump: 侦听 eth0, 链接类型 EN10MB (以太网), 捕获大小96字节
注意: 筛选器必须括在引号中, 如中所:
>> tcpdump 过滤器 "主机10.16.0.106 而不是端口 22"
捕获完成后, 按 Ctrl C 停止捕获:
admin@myNGFW >> tcpdump 过滤器 "主机10.16.0.106 而不是端口 22"
按 ctrl+c 停止捕获
tcpdump: 侦听 eth0, 链路类型 EN10MB (以太网), 捕获大小96字节
^ C 6 数据包捕获
了由筛选器接收的12个数据包
内核丢弃的0个数据包
要查看 CLI 上的 PCAP, 运行 "视图-PCAP" 命令。例如:
admin@myNGFW >查看-pcap 管理-pcap 管理 pcap
15:42:57.834414 ip 10.16.0.106.https 10.192.1. 0.61513: P 196197148:196197179 (31) ack 2821691363 赢 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834477 IP 10.16.0.106.https > 10.192.1. 0.61513: F 31:31 (0) ack 1 赢 66 <nop,nop,timestamp 9463094="" 700166797="">
15:42:57.834910 IP 10.192.1. 0.61513 >> 10.16.0.106.https:.</nop,nop,timestamp> </nop,nop,timestamp> ack 31 赢 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:57.834933 IP 10.192.1. 0.61513 > 10.16.0.106.https:.</nop,nop,timestamp> ack 32 赢 4095 <nop,nop,timestamp 700231236="" 9463094="">
15:42:58.142807 ip 10.192.1. 0.61513 > 10.16.0.106.https: F 1:1 (0) ack 32 赢 4096 <nop,nop,timestamp 700231542="" 9463094="">
15:42:58.142831 IP 10.16.0.106.https > 10.192.1. 0.61513:.</nop,nop,timestamp> </nop,nop,timestamp> ack 2 赢66<nop,nop,timestamp 9463125="" 700231542=""></nop,nop,timestamp>
下面是几个筛选器示例 (虽然不只限于这些选项), 可供参考/使用/应用:
- 按端口筛选
>> tcpdump 过滤器 "端口 80 " - 按源 IP 过滤
tcpdump 过滤器 "src x.x.x. x" - 按目标 IP
>> tcpdump 过滤器 "dst x.x.x. x" 筛选 - 按主机筛选 (src) IP
> tcpdump 过滤器 "主机 x.x.x. x" - 按主机 (src 和 dst) IP 进行筛选, 不包括 SSH 通信
> tcpdump 筛选器 "主机 x.x.x. x 而不是端口 22"
此外, 您还可以通过 SCP 或 TFTP 手动导出 PCAP, 即:
>> scp 出口管理-pcap 从管理 pcap 到
<value>目标 (username@host: 路径)</value>
>> tftp 出口管理-pcap 从管理 pcap 到
<value>tftp 主机</value>
注意: 默认情况下, PA-200、PA-500 和 PA-2000 上每个数据包的最大限制为68字节 (快照长度). 对于 PA-3000、PA-4000 和 PA-5000, 默认限制为每个数据包96个字节。要扩展此限制, 请使用 "snaplen" 选项。
admin@myNGFW > tcpdump snaplen
<value> <0-65535>Snarf snaplen 每个数据包中的数据字节.</0-65535> </value> (0 表示使用所需长度来捕获整个数据包)
admin@myNGFW>> tcpdump snaplen 0
按 Ctrl-C 停止捕获
tcpdump: 侦听 eth0, 链接类型 EN10MB (以太网),捕获大小65535字节
请参见
Tcpdump 数据包捕获被截断
所有者: 布莱恩