Captura de paquetes tcpdump truncado
Resolution
Resumen
Tcpdump captura de paquetes en la interfaz de administración, de forma predeterminada, captura 68 bytes o 96 bytes de datos de cada paquete, dependiendo de la plataforma. Las series PA-200, PA-500 y PA-2000 capturan 68 bytes de datos de cada paquete. Cualquier cantidad sobre el valor predeterminado se trunca. Todas las demás plataformas, que incluyen PA-3000, PA-4000, PA-5000, PA-7000 y la serie VM capturan 96 bytes de datos de cada paquete. Cualquier cantidad por encima de 96 bytes se trunca, ya que es posible que no capture todo el paquete.
Por ejemplo, al capturar LDAP, este mensaje aparece en la captura de paquetes: "[tamaño de paquete limitado durante la captura: LDAP truncado]"
> filtro tcpdump "Not Port 22"
Presione Ctrl-C para detener la captura
tcpdump: escuchar en eth0, Link-Type EN10MB (Ethernet), capturar tamaño 96 bytes
^ C120 paquetes capturados
Resolución
Desde pan-os 6,0, tcpdump tiene una opción para establecer la longitud de la instantánea (Snaplen), que toma un valor entre 0-65535.
Siga estos pasos para establecer el Snaplen en 1500:
> filtro tcpdump "Not Port 22" snaplen 1500
Presione Ctrl-C para detener la captura
tcpdump: escuchar en eth0, Link-Type EN10MB (Ethernet), capturar tamaño 1500 bytes
^ paquetes de C20 capturados
Nota: el ajuste de snaplen a ' 0 ' significa que usará la longitud requerida para capturar paquetes enteros. En este ejemplo, se establecerá en 65535 bytes. Es una buena práctica limitar el Snaplen al número más pequeño posible para capturar el protocolo o el paquete.
> tcpdump filtro "Not Port 22" snaplen 0
Presione Ctrl-C para detener la captura
tcpdump: escuchar en eth0, Link-Type EN10MB (Ethernet), capturar tamaño 65535 bytes
^ C81 paquetes capturados
Ver también
Cómo captura de paquete (tcpdump) en el interfaz de administración
Propietario: dreputi