Tcpdump 数据包捕获被截断
Resolution
概述
默认情况下, 管理接口上的 Tcpdump 数据包捕获从每个数据包中捕获68个字节或96个字节的数据, 具体取决于平台。PA-200、PA-500 和 PA-2000 系列从每个数据包中捕获68个字节的数据。默认情况下的任何金额都将被截断。所有其他平台 (包括 PA-3000、PA-4000、PA-5000、PA-7000 和 VM 系列) 都从每个数据包中捕获96个字节的数据。任何超过96字节的金额都将被截断, 因为您可能无法捕获整个数据包。
例如, 在捕获 LDAP 时, 此消息出现在数据包捕获中: "[捕获期间的数据包大小受限: LDAP 截断]"
>> tcpdump 过滤器 "不端口 22"
按 Ctrl-C 停止捕获
tcpdump: 监听 eth0, 链路类型 EN10MB (以太网), 捕获大小96字节
^ 被捕获的 C120 数据包
解决办法
从 PAN OS 6.0, tcpdump 有一个选项来设置快照长度 (Snaplen), 它需要一个介于0-65535 之间的值。
按照以下步骤将 Snaplen 设置为 1500:
>> tcpdump 过滤器 "不端口 22" snaplen 1500
按 Ctrl-C 停止捕获
tcpdump: 监听 eth0, 链路类型 EN10MB (以太网), 捕获大小1500字节
^ 被捕获的 C20 数据包
注意:将 snaplen 设置为 "0" 意味着您将使用所需的长度来捕获整个数据包. 在此示例中, 它将被设置为65535个字节。很好的做法是将 Snaplen 限制为最小的数字, 以捕获协议或数据包。
>> tcpdump 过滤器 "不端口 22" snaplen 0
按 Ctrl-C 停止捕获
tcpdump: 监听 eth0, 链路类型 EN10MB (以太网), 捕获大小65535字节
^ 被捕获的 C81 数据包
请参见
所有者: dreputi