Tcpdump パケットキャプチャの切り捨て

概要

管理インターフェイス上の Tcpdump パケットキャプチャは、デフォルトでは、プラットフォームに応じて、各パケットから68バイトまたは96バイトのデータをキャプチャします。pa-200、pa-500、および pa-2000 シリーズは、各パケットから68バイトのデータをキャプチャします。既定値を超える金額は切り捨てられます。pa-3000、pa-4000、pa-5000、pa-7000 および VM シリーズを含む他のすべてのプラットフォームは、各パケットから96バイトのデータを取り込みます。パケット全体をキャプチャしない場合があるため、96バイトを超える値は切り捨てられます。

たとえば、ldap をキャプチャする場合、このメッセージはパケットキャプチャに表示されます: "[キャプチャ中に制限されたパケットサイズ: LDAP が切り捨てられました]"

> tcpdump フィルタ "not ポート 22"

ctrl キーを押しながら C キーを押すとキャプチャを停止

tcpdump: eth0 でリスニング, リンク型 EN10MB (イーサネット), キャプチャサイズ96バイト

^ キャプチャされた C120 パケット

解決方法

PAN-OS 6.0 から、tcpdump は、0-65535 の間の値を取るスナップショットの長さ (Snaplen) を設定するオプションを持っています。

Snaplen を1500に設定するには、次の手順に従います。

> tcpdump フィルタ "not ポート 22" snaplen 1500

ctrl キーを押しながら C キーを押すとキャプチャを停止

tcpdump: eth0 でリスニング, リンク型 EN10MB (イーサネット), キャプチャサイズ1500バイト

^ C20 パケットをキャプチャ

注: snaplen を ' 0 ' に設定すると、パケット全体をキャッチするのに必要な長さを使用することになります。この例では、65535バイトに設定されます。プロトコルまたはパケットをキャプチャできる最小数に Snaplen を制限することをお勧めします。

> tcpdump フィルタ "not ポート 22" snaplen 0

ctrl キーを押しながら C キーを押すとキャプチャを停止

tcpdump: eth0 でリスニング, リンク型 EN10MB (イーサネット), キャプチャサイズ65535バイト

^ キャプチャされた C81 パケット

また見なさい

パケット キャプチャ (tcpdump) 管理インターフェイスにする方法

所有者: dreputi