Capture de paquets tcpdump tronquée

Vue d’ensemble

Tcpdump capture de paquets sur l'interface de gestion, par défaut, capture 68 octets ou 96 octets de données de chaque paquet, selon la plate-forme. Les séries PA-200, PA-500 et PA-2000 capturent 68 octets de données de chaque paquet. Tout montant par rapport à la valeur par défaut est tronqué. Toutes les autres plates-formes, qui comprennent PA-3000, PA-4000, PA-5000, PA-7000 et VM Series capture 96 octets de données de chaque paquet. Tout montant au-dessus de 96 octets est tronqué, car vous risquez de ne pas capturer le paquet entier.

Par exemple, lors de la capture de LDAP, ce message s'affiche dans la capture de paquets: «[taille du paquet limitée lors de la capture: LDAP tronqué]»

> tcpdump filtre "pas le port 22"

Appuyez sur Ctrl-C pour arrêter la capture

tcpdump: Listening sur eth0, Link-type EN10MB (Ethernet), capture taille 96 octets

^ paquets C120 capturés

Résolution

De Pan-OS 6,0, tcpdump a une option pour définir la longueur d'instantané (Snaplen), qui prend une valeur entre 0-65535.

Procédez comme suit pour définir le Snaplen à 1500:

> tcpdump filtre "pas le port 22" snaplen 1500

Appuyez sur Ctrl-C pour arrêter la capture

tcpdump: Listening sur eth0, Link-type EN10MB (Ethernet), capture taille 1500 octets

^ C20 paquets capturés

Remarque: la définition de snaplen sur' 0 'signifie que vous utiliserez la longueur requise pour intercepter des paquets entiers. Dans cet exemple, il sera défini à 65535 octets. Il est recommandé de limiter le Snaplen au plus petit nombre possible pour capturer le protocole ou le paquet.

> tcpdump filtre "pas le port 22" snaplen 0

Appuyez sur Ctrl-C pour arrêter la capture

tcpdump: Listening sur eth0, Link-type EN10MB (Ethernet), capture taille 65535 octets

^ paquets C81 capturés

Voir aussi

Comment faire pour la Capture des paquets (tcpdump) sur l’Interface de gestion

propriétaire : dreputi